포스팅 내용

국내외 보안동향

유명 웹사이트 다수, 방문자 포트 스캔해

List of well-known web sites that port scan their visitors


많은 유명 웹사이트에서 사용자의 로컬 컴퓨터에 원격 접속 프로그램이 있는지 확인하기 위해 포트를 스캔하는 사기 방지 스크립트를 사용하고 있는 것으로 나타났습니다.


지난주, eBay.com 사이트에서 방문자 컴퓨터의 포트를 스캐닝한다는 소식이 보도되었습니다.


이 포트 스캐닝은 LexisNexis의 ThreatMetrix 사기 방지 스크립트가 실행하며, 해킹된 컴퓨터가 사기성 구매를 시도하는지 탐지하기 위한 것으로 나타났습니다.


이 기능이 실행될 경우 웹소켓을 사용하여 방문자의 컴퓨터에서 TCP 포트 14개를 스캔합니다.

 


<이미지 출처: https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/>



이 포트는 모두 원격 접속 프로그램이 합법적인 목적으로 사용하기 위한 것입니다. 하지만 악성 목적으로도 사용되는 것으로 알려져 있습니다. 


이 포트 및 식별자, 관련 애플리케이션은 아래 목록에서 확인하실 수 있습니다.





BleepingComputer에서는 포트 63333의 타깃 프로그램을 아직까지 찾아낼 수 없었습니다. 이름이 ‘REF’로 되어있는 것으로 미루어 볼 때, 이 포트는 테스트를 위한 것으로 보입니다.


모든 온라인 쇼핑몰은 사기를 탐지하기 위한 방법을 사용해야 합니다. 하지만 방문자의 허가 없이 포트를 스캔하는 것은 다소 침해적이라는 의견이 많습니다.



유명 대규모 사이트 다수, 동일한 스크립트 사용해


BleepingComputer는 다른 사이트에서도 이 악성 툴을 사용하고 있는지 확인하기 위해 보안 회사인 DomainTools에 연락을 취했습니다.


웹사이트가 ThreatMetrix의 사기 방지 스크립트를 로드할 때, 이들은 고객의 이름으로 된 online-metrix.net 호스트네임을 통해 스크립트를 로드하는 것으로 나타났습니다.


예를 들어, eBay 사이트는 h-ebay.online-metrix.net의 CNAME DNS 레코드인 src.ebay-us.com에서 ThreatMetrix 스크립트를 로드합니다.


DomainTools는 BleepingComputer에 유사한 이름을 가진 online-metrix.net 호스트명 387개를 전달했습니다.


BleepingComputer는 이 목록을 통해 많은 대기업의 웹사이트를 방문하고 이들이 방문자의 포트를 스캐닝하는지 확인했습니다.


테스트한 사이트들 중 Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree, WePay에서 포트를 스캐닝하는 것이 밝혀졌습니다.

       


<방문자 컴퓨터의 포트를 스캐닝하는 사이트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/>



각 사이트는 포트 스캐닝 스크립트를 사용할 때 다른 방식을 사용했습니다.


예를 들어 Citibank, Ameriprise, TIAA-CREF는 사이트의 메인 페이지를 방문한 즉시 사용자 컴퓨터의 포트를 스캔했습니다.


TD Bank, Chick-fil-A, Lendup, Equifax IQ connect, Sky, GumTree, WePay는 사용자가 로그인 시도 시에만 포트를 스캔했습니다.


BeachBody.com은 사용자가 구매를 진행할 시에만 포트를 스캔했습니다.


목록 확인 결과, 다른 유명한 회사들 또한 ThreatMetrix의 스크립트를 사용하고 있었습니다.


이 목록에는 Netflix, Target, Walmart, ESPN, Lloyd Bank, HSN, Telecharge, Ticketmaster, TripAdvisor, PaySafeCard가 포함되어 있었으며, 심지어 마이크로소프트 또한 포함되어 있을 가능성이 있었습니다.


이 사이트에서 포트 스캔 기능을 트리거할 수 없었지만, 방문하지 않았던 페이지에서 사용되었을 가능성이 있습니다.


DomainTools에서 공유한 고유 호스트 이름 목록은 여기에서 확인하실 수 있습니다.


이러한 포트 스캔은 해킹된 컴퓨터를 탐지하기 위해 사용된다고 생각됩니다. 이 목록에 대한 확인을 위해 NexisLexis 측에 연락을 취했지만 아직까지 답변을 받을 수 없었습니다.



ThreatMetrix의 포트 스캔을 차단하는 법


ThreatMetrix의 포트 스캔이 침해적이고 개인정보 보호에 위협이 된다고 생각한다면, 파이어폭스나 uBlock Origin 애드 블록커를 통해 이를 차단할 수 있습니다.


하지만 uBlock은 새로운 마이크로소프트 에지 브라우저나 크롬 브라우저에서는 DNS CNAME 레코드를 언클락할 수 없는 적절한 권한이 없기 때문에 포트 스캔을 차단하는 것이 불가능합니다.


또한 Brave 브라우저를 테스트 결과 아래와 같이 포트 스캔이 허용되었습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/>





출처:

https://www.bleepingcomputer.com/news/security/list-of-well-known-web-sites-that-port-scan-their-visitors/

티스토리 방명록 작성
name password homepage