올해 초에 국내 최대 규모의 디시인사이드(dcinside.com) 커뮤니티 사이트를 포털 검색을 통해 접속하는 과정에서 "api.tistory.us" 웹 서버로 납치가 이루어지는 이슈에 대해 언급한 적이 있었습니다.

당시 분석 내용에서는 장기간에 걸쳐서 디시인사이드 갤러리에 접속하는 과정에서 납치가 이루어지고 있었으며 이를 통해 광고 수익을 얻으려는 금전적 목적의 납치 행위로 파악하였습니다.

흥미로운 점은 2014년 3월경 납치를 통해 연결되는 "api.tistory.us" 웹 서버가 해킹으로 의심되는 공격을 받아 취약점(Exploit)을 이용한 악성코드 유포를 통해 금융 정보를 탈취하려는 시도도 있었습니다.

 

위와 같은 일련의 문제로 인하여 그 후 어떤 조치가 이루어졌는지 알 수는 없지만 납치를 수행하던 공격자가 연결되는 방식을 변경하였다는 제보가 들어와서 재확인을 해 보았습니다.

 

이번에 확인된 디시인사이드 갤러리 납치 행위는 네이버(Naver), 다음(Daum) 포털 검색 과정에서 동일하게 발생하는 것을 확인하였으며, 기존과 마찬가지로 특정 경로를 통해 접속할 경우에만 발생하고 있습니다.

실제 납치가 이루어지는 동작 모습을 확인해보면 네이버(Naver) 검색 서비스를 이용하여 디시인사이드 갤러리 게시판으로 연결하는 과정에서 특정 웹 사이트에 등록된 스크립트가 납치가 이루어지고 있습니다.

 

해당 웹 사이트는 국내에서 운영되는 오디오 기기 관련 사이트로 아마 공격자가 웹 서버 해킹을 통해 관리자 몰래 납치 행위를 수행하는 스크립트를 몰래 추가한 것으로 추정됩니다.(※ 해킹된 웹 사이트는 정상적으로 운영되는 것으로 판단되며 일부 URL 주소는 모자이크 처리를 하였습니다. )

  • h**p://www.april**sic.com/js.php

스크립트를 확인해보면 사용자가 디시인사이드 갤러리(gall.dcinside.com) 게시판으로 연결할 때 리다이렉트 방식으로 1초만에 지정된 웹 사이트로 납치가 이루어지도록 되어 있습니다.

 

하지만 테스트 당시에는 리다이렉트로 넘어갈 웹 사이트 주소가 포함되어 있지 않는 문제로 화면과 같이 "잠시 기다려 주세요."에서 더 이상의 진행이 이루어지지 않고 있습니다.

 

이번 역시 포털 검색을 통해 디시인사이드 갤러리로 연결되는 과정에서 어떤 방식으로 간헐적으로 납치가 이루어지는지 최종 사용자 환경에서는 파악이 불가능하며, 이는 디시인사이드 서버 관리자 및 관련 웹 호스팅 업체가 해결할 일로 판단됩니다.

이전과 마찬가지로 위와 같은 납치에 사용되는 연결 고리는 악성코드 유포로 연결될 수 있다는 점에서 웹 보안 기능을 이용하여 "www.april**sic.com/js.php" URL 주소를 차단값에 등록하여 연결되지 않도록 사전 차단하시길 권장합니다.(※ 일부 모자이크 처리된 URL 주소는 음악(music)을 의미합니다. )

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..