Zero-Day Bug Allowed Attackers to Register Malicious Domains
베리사인(Verisign)과 구글, 아마존, 디지털오션(DigitalOcean) 등 SaaS 서비스에 영향을 미치는 제로데이 취약점으로 인해 공격자가 .com 및 .net 을 사용하는 악성 동형이의어 도메인명을 등록할 수 있었던 것으로 나타났습니다. 이 악성 도메인은 조직을 노린 내부, 피싱, 소셜 엔지니어링 공격에 사용될 수 있었습니다.
이로 인해 일반 최상위 도메인(.com, .net 등)과 일부 SaaS 회사의 서브도메인에 누구나 동형이의어 도메인을 등록할 수 있었습니다.
현재 베리사인과 아마존(S3)에서만 이 문제를 해결한 상태입니다. 베리사인 측은 동형이의어 문자를 사용한 도메인을 등록할 수 없도록 일반 최상위 도메인 등록 정책을 변경했습니다.
이 문제는 Soluable의 연구원인 Hamilton이 라틴어 문자(예: 유니코드 라틴 국제 음성 기호(IPA) 확장)를 사용하여 도메인을 등록하려고 시도하는 과정에서 발견되었습니다.
<이미지 출처: https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day>
동형이의어 문자를 사용하는 도메인, 흔히 악성 목적으로 사용돼
이 문제를 악용할 경우 IDN 동형이의어 공격과 매우 유사한 공격이 가능해져 비슷한 위험을 초래할 수 있습니다.
동형이의어 공격은 공격자가 알려진 조직 및 회사의 이름과 비슷하거나 동일해 보이는 새로운 도메인을 등록하고, 유효한 인증서로 할당하여 이루어집니다.
보통 스캠 캠페인의 일부로 피해자를 악성 사이트로 이동시키거나 크리덴셜을 탈취하려는 목적으로 사용됩니다.
동형이의어 공격은 새로운 것이 아닙니다. 웹 브라우저는 주소창에 유니코드 문자를 퓨니코드(Punycode)로 대체하여 표시하고, 베리사인 및 기타 등록 기관은 동형이의어 문자 사용을 제한하는 정책을 시행 중이지만, 유니코드 라틴 국제 음성 기호(IPA) 확장 문자세트는 차단이 되지 않았던 것으로 나타났습니다.
아래는 라틴 문자를 대체하여 사용할 수 있는 유니코드 라틴 IPA 확장 문자 일부입니다.
a |
g |
l |
ɑ |
ɡ |
ɩ |
이미 2017년부터 악용되어온 취약점
공격자는 유명한 회사의 도메인 또는 서브 도메인과 구별이 어려운 동형이의어 도메인을 등록하여 해당 회사의 직원과 고객, 사용자를 노리는 고도의 타깃형 피싱 및 소셜 엔지니어링 공격을 실행할 수 있습니다.
Hamilton은 “2017년부터 지금까지 십여 개가 넘는 동형이의어 도메인이 활성화된 HTTPS 인증서를 보유하고 있습니다. 유명한 금융, 인터넷 쇼핑, 기술, 기타 포츈 100 사이트 또한 포함되어 있었습니다.”라 밝혔습니다.
그는 테스트한 동형이의어 도메인 300곳 중 15곳이 써드파티에서 등록 및 생성한 HTTPS 인증서를 가지고 있었으며, 악성 목적을 띈 것으로 추측되는 비공식 jQuery 라이브러리를 호스팅하는 동형이의어 도메인 또한 발견했다고 밝혔습니다.
연구 과정의 일부로, Hamilton은 유니코드 라틴 IPA 확장 문자를 사용하여 아래와 같은 동형이의어 도메인을 등록했습니다. 이 중 일부는 정식 사이트 도메인 소유자에게 이관되었습니다.
amɑzon.com
Chɑse.com
Sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
Washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
베리사인, 해당 문제 수정
.com, .net, .edu를 포함한 기타 최상위 레벨 도메인 정식 등록 기관인 베리사인(Verisign)은 동형이의문자를 사용하여 도메인을 등록하는 것을 금지하여 이 문제를 수정했습니다.
이 제로데이 취약점이 공개된 후 동형이의 문자로 생성이 가능한 도메인을 나열하고 해당 사이트의 인증서 투명성(CT) 로그를 확인할 수 있는 툴이 개발되어 공개되었습니다.
더욱 자세한 정보는 Hamilton의 보고서에서 확인하실 수 있습니다.
참고 :
https://www.soluble.ai/blog/public-disclosure-emoji-to-zero-day
시스코, Webex 플레이어의 심각도 높은 원격 코드 실행 취약점 수정 (0) | 2020.03.06 |
---|---|
PwndLocker 랜섬웨어의 취약점 발견, 복호화 가능해져 (0) | 2020.03.06 |
MS, Windows Server 2012의 Internet Explorer10 지원 종료! (0) | 2020.03.05 |
취약점으로 인해 Let's Encrypt 300만개의 TLS 인증서 폐지 (0) | 2020.03.05 |
SpaceX, 테슬라 납품업체의 데이터 훔치는데 DopplePaymer 랜섬웨어 이용돼 (0) | 2020.03.04 |
댓글 영역