>> 기술지원 비용 안내 <<

티스토리 뷰

 

최근 구글 검색 엔진을 통해 검색한 결과 링크를 이용하는 새로운 형태의 공격이 출현했습니다. 이러한 형태는 어베스트!에서 이미 진단하여 처리하고 있습니다만, 사용자들의 이해를 돕기 위해 공격 형태 및 방법에 대한 세부 자료를 공개합니다.

 

아래 그림은 구글의 검색 엔진에서 특정한 단어를 검색한 화면입니다.

 

구글이 보여 주는 링크는 긴 경우에는 짧게 보여주게 되므로 코드의 일부가 보이지 않게 됩니다. 공격코드는 ID=0 뒤에 나타나는 것으로 통상적으로 SQL 인젝션 공격 코드입니다.

즉, display.php 파일 자체에는 악성 코드가 삽입되어 있지 않으며, 구글에서 링크를 클릭하는 순간에 삽입되게 됩니다.

 

아래 화면은 구글의 링크에서 생략된 코드 값이 삽입된 HTML 코드입니다. 이 코드는 서버에 저장되지 않기 때문에 서버에서는 이 코드를 찾을 수 없습니다. HTML 코드 내에는 일부 키워드가 포함되어 있고 악성 코드 배포 서버로 연결하는 링크가 포함되어 있습니다.

 

아래 화면은 악성코드 배포 서버로부터 리디렉터션 스크립트를 로드하기 위한 HTML 코드입니다. 브라우저에 스크립트가 실행되는 순간 감염이 진행됩니다.

 

특징:

  • SQL 인젝션 공격에 취약한 웹사이트에 링크를 연결하여 이를 검색 엔진에 등록.
  • SQL 인젝션 공격에 취약한 웹사이트에는 영향을 미치지 않고, 구글에서 사용자가 링크를 클릭하는 순간에 코드가 삽입.
  • 인터넷 상에 악성 코드를 저장하는 새로운 방식으로 출현 – 검색 엔진 데이터베이스에 저장.
  • 최근 구글 검색엔진에서는 이러한 URL 코드가 삽입된 레코드 제거
  • 마이크로소프트의 최신 검색 엔진인 BING에서도 동일하게 영향을 미치고 있으며 현재에도 악성 링크를 여전히 제공하고 있음.

 

감사합니다.

신고
댓글