스크립트기반 공격위협 및 대응

정종훈(한국인터넷진흥원)

목차

1. 스크립트 공격 개념 및 피해사례

2. HTML5 기능 악용 공격 시나리오

3. 스크립트 공격 대응 기술 소개(R&D)

1. 스크립트 공격 개념 및 피해사례-개요

• 악성코드 없이 웹 페이지에 삽입된 스크립트만으로 피해를 유발 공격

① 공격자는 다수의 불특정 사용자들이 방문하는 웹 사이트에 악성 스크립트를 삽입

②③ 불특정 다수의 사용자들이 웹 브라우저를 통해 악성 스크립트가 삽입된 웹

페이지 방문시 사용자 PC 상에서 악성 스크립트가 실행

④ 기업/개인 정보 유출 및 DDoS 공격, 내부 네트워크 스캐닝 등 다양한 피해 유발

공격자웹 서버

2 웹 페이지 접속요청

내부네트워크

기 업 망

일반 사용자

1 악성스크립트 등록

4 DDoS 공격

타겟 /희생 서버

네트워크스캐닝

FW등보안장비

3 악성스크립트 다운로드

4 개인/기업정보탈취 전송

3 악성스크립트 다운로드

1. 스크립트 공격 개념 및 피해사례-피해사례

• 웹 페이지의 스크립트를 이용한 신종 공격으로의 출현 및 피해 급증

- 웹 사이트의 게시글 및 광고배너 등을 이용한 스크립트 기반 대규모 DDoS공격 발생※ ’13년 국내 6.25공격 → ’14년 중국 소후티비 → ’15년 GitHub(오픈소스 공유 사이트), IMGUR(사진 공유 사이트)등

구 분 악성코드 기반 사이버 공격 스크립트 기반 사이버 공격

실행 도구 OS상에서 자체 실행 가능한 악성 프로그램 웹 브라우저 통해서 스크립트 실행가능

공격경로 추적

좀비 PC의 악성코드

감염 경로(경유지/유포지) 등을 추적

공격 경로 추적이 어려움

(웹 브라우저 종료 시 공격에 관련된 데이터 모두 삭제)

공격 효과 좀비 PC 수에 비례 웹 사이트 방문자 수에 비례

<웹 기반 사이버 공격>

해커웹 사이트

사용자

웹 사이트 공격

사용자 사용자 사용자

악성코드(자체실행)

악성스크립트(웹브라우저)

악성코드 기반 공격 악성 스크립트 기반 공격

1. 스크립트 공격 개념 및 피해사례-환경변화

• 웹 기반 사이버 공격의 증가 및 스크립트 기반 신종 공격 형태 진화

- 웹 사이트를 매개로 악성코드 감염, 개인 정보 유출 등을 유발하는 웹 기반 공격 증가※ 웹 어플리케이션을 통한 공격이 전체 사이버 공격 중 36% 를 차지(2014.08, ABI Search)

- HTML5를 비롯한 스크립트 취약점 공개로 인한 신종 공격의 위협 노출

- 스크립트 기반 DDoS공격 및 HTML5 취약점 악용 공격 도구가 공개되고 있음

웹 기반 사이버 공격의 증가스크립트 및 HTML5 취약점 및

공격 시나리오 공개

스크립트 및 HTML5 공격 도구공개

WEB-BASED ENTERPRISE SECURITY(ABI Search, 2014.08)

HTML5 공격 도구 공개

스크립트 DDoS 공격 도구

1. 스크립트 공격 개념 및 피해사례-HTML5 확산

• ’14년 10월 W3C에서 HTML5 표준안 확정 발표

- 국내에서 ActiveX, Silverlight로 제공되는 부가 기능을 HTML5로 대체하는 추세

- 100대 웹사이트(전체인터넷 이용량의 73.5%)의 ActiveX HTML5로 전환 지원 : ’17년 90% 목표 (미래부)

• HTML5의 신규 기능과 스크립트를 악용한 공격에 대한 보안 기술 필

- HTML5의 신규 API, 태그, 속성을 이용한 공격 시나리오 및 공격 도구 공개 등 보안 이슈 발생

HTML5 지원 단말 증가

HTML, JavaScript등신종 웹 공격 증가에따른 대응 기술 필요

HTML5의 표준화로 인한 도입 활성화

부가 기능을HTML5로 구현

HTML/JS의 취약점 악용 공격 건수 급증(MS Security Intelligence Report, 2014)

HTML5의 확산으로인한 신규 공격 탐지기술 개발 필요 HTML5 모바일 앱/웹 시장 증가

2. HTML5 기능 악용 공격 시나리오-개요

• HTML5 신규 기능(API+CSS 등) 악용 25개의 공격 시나리오

- DoS 공격 : 웹 워커, 신규 요소 등을 이용 사용자 혹은 타겟 대상 서비스 거부공격

- 정보유출 : 위치정보, 키로거 정보 등의 사용자 정보 유출

- 정보조작 : 웹 스토리지, 히스토리 등 사용자 브라우저 정보의 조작

- 요청위조 : CORS, 웹 소켓 등을 이용한 악의적인 메시징

- 사회공학적 공격 : 자동 완성, 진동 등을 이용한 사용자를 속이는 공격

HTML5의 신규 태그와 속성 정보의 결합을 통해 등을 이용한 정보조작/사회공학적 공격

CORS, 웹 워커, 웹 소켓 등 리소스 교환, 백그라운드 동작, 다중 접속 유발을 통한 DDoS, 정보유출 공격

위치 정보 유출, Vibration 공격 등 모바일 디바이스에 사용 가능한 정보 유출 및 리소스 고갈 공격

HTML5 신규 기능 악용 공격

DoS 공격 (5종) 정보조작 (4종) 요청위조 (3종) 사회공학적 공격 (3종) 정보유출 (10종)

•웹워커 봇넷•Client DoS•Server-Sent Event Botnet•Vibration 공격•SVG 반복 호출을 이용한 DoS 공격

•웹 스토리지 조작• Indexed DB 조작•웹캐시 조작•히스토리 조작

•CORS를 이용한CSRF 공격•웹 소켓Hijacking(중복)•Cross Site Printing

•Notification을 이용한 공격•자동 완성을 이용한정보 유출•Vibration API를 이용한 Faking Telephone Call

•ClickJacking•웹 스토리지 정보 유출•웹 소켓Hijacking(중복)•웹 소켓 데이터 탈취•SVG를 이용한키로거 공격

•MouseLogger•네트워크 정보 유출•위치 정보 유출•ProtocolSchemaAPI를 이용한 정보유출• Indexed DB 정보유출

2. HTML5 기능 악용 공격 시나리오-DDoS공격

• 자바 스크립트의 정상 API를 통한 DDoS공격 시나리오

- 웹 서버에 악성 스크립트를 삽입하여 웹 서버나 웹 서버에 방문한 사용자가 공격 대

상에 대해 웹 트래픽을 발생시키도록 하는 DDoS 공격

- 기존 좀비 PC를 이용한 DDoS 공격과는 다르게 단순히 일반 사용자가 악성 스크립트

가 삽입된 웹 페이지를 방문하는 것만으로도 DDoS 공격이 가능

[DDoS 공격 시나리오]

웹 페이지 방문자를 이용한 공격

공격자는 다수의 사용자들이 방문하는 웹 서버를 해킹

해킹한 서버의 웹 페이지에 DDoS 공격 스크립트 업로드

사용자들이 웹 페이지 방문 시, 사용자의 웹 브라우저에서

DDoS 공격 스크립트가 실행됨

공격 대상 서버에 다량의 HTTP 요청 메시지 발생

1

2

3

4

2. HTML5 기능 악용 공격 시나리오-SVG KeyLogger

• HTML5의 SVG를 악용한 Keylogger 공격

- HTML5 신규 요소인 SVG를 이용한 공격으로, 공격자가 SVG 이미지를 대상 사이트에

업로드하고 대상 사이트에 접속한 사용자의 키 입력을 SVG의 accessKey 이벤트로

사용자의 키 입력을 수집

※ SVG : 이미지를 벡터로 표현한 XML 형태의 이미지 양식. <svg>태그와별도의 이미지로 구현 가능

※ accessKey 이벤트 : SVG에서 애니메이션을 위하여 특정 키 입력을 확인하는 이벤트

절차

공격자가 웹 사이트에 SVG 파일 업로드

사용자가 웹 사이트에 접속

사용자의 웹 브라우저에서 SVG의 accessKey 이벤트 실행

사용자가 누르는 모든 키가 accessKey 이벤트를 통해 공격자

에게 전송

공격자는 자신에게 온 키 입력 값을 통해 사용자의 비밀번호

유추

1

2

3

4

5

[SVG를 악용한 공격 시나리오]

공격자

③ SVG의 accessKey 이벤트로 공격자에게 특정 키 입력을 알림

① 공격자가 SVG이미지 업로드

사용자

② 사용자가 자신의비밀번호 입력

2. HTML5 기능 악용 공격 시나리오-Printing

• 자바스크립트 메시지 전송을 이용한 Cross Site Printing

- 자바스크립트에서 XMLHttpRequest를 이용하여, 사용자의 내부 네트워크 기기에 메

시지를 전송하여, 네트워크 프린터에 메시지를 보내 광고 문구를 출력하게 만듦

※ Cross Site Printing : 외부에서 프린터에 출력 메시지를 보내는 공격

※ XMLHttpRequest : 자바스크립트로 GET/POST 메시지를 보내는 신규 API

절차

공격자가 공격 코드를 웹 사이트에 삽입

사용자가 웹 사이트에 접속

사용자의 웹 브라우저에서 XMLHttpRequest로 사용자

내부 네트워크에 POST 메시지 전송

사용자 내부 네트워크에 있던 프린터가 POST 메시지

를 받고 해당 메시지 출력

1

2

3

4

[Cross Site Printing 공격 시나리오]

…

POST /HTTP/1.1Host: 172.16.16.78:9100…

BIG SALE!!!!CONTACT US!!

공격자

① 공격자가공격 코드 삽입

② 사용자가웹 사이트 접속

사용자

네트워크 프린터

③ 사용자가 내부 네트워크로POST 메시지 전송

④ 네트워크 프린터가수신한 메시지를 출력

내부 네트워크

2. HTML5 기능 악용 공격 시나리오-봇넷 공격

• SSE를 이용한 Botnet DoS 공격

- SSE(Server-Sent Events)는 서버로부터 주기적으로 데이터를 받는 신규 API로,SSE를 이용하여 웹 사이트에 접속한 사용자들이 Bot처럼 DoS 공격 수행

※ SSE : 서버의 동적 페이지로부터 주기적으로 데이터를 수신하는API. Time 서버와 동기화 등에 쓸 수 있음

절차

공격자가 SSE 코드를 웹 사이트에 삽입

사용자가 웹 사이트에 접속

SSE를 통해 DoS를 유발하는 공격 명령을 전달 받음

사용자가 수신한 명령을 Bot처럼 자기도 모르게 수행함

피해 서버는 영문을 모른 채 사용자들로부터 다량의 트

래픽을 수신받아 DoS 상태에 빠짐

1

2

3

4

5

[SSE를 이용한 Botnet DoS]

공격자의 서버C&C

① 공격자가공격 코드 삽입

③ SSE를 통해서공격 명령을 전달받음

사용자

② 사용자가웹 사이트 접속

//DoS 유발

COR.send();

④ 사용자가 Bot처럼DoS 공격

피해 서버

3. 스크립트 공격 대응기술(R&D)-기존기술의 한계

• 기존 보안 기술을 통한 스크립트 기반 사이버 공격 대응 한계

- 외부 링크를 통한 리소스 호출(Src, Include 등) 이용 → 기존 보안 장비에서 탐지율 떨어짐

- 스크립트 난독화, 정상 API(내장함수) 사용 → 기존 방화벽, IDS/IPS 등에서 탐지 불가능

- 스크립트 자체로는 실행이 불가능 함 → 기존 백신 등 악성코드 탐지 솔루션은 대응 불가

방화벽악성 스크립트배포 서버

웹 트래픽(HTTP Traffic)

침입방지시스템(IPS)사용자 PC

암호화된트래픽

정상 함수사용 스크립트

[HTTPS(SSL) 암호 트래픽]

[난독화된 자바 스크립트]

[6.25 사이버 공격 스크립트]

네트워크 레벨 웹 컨텐츠분석 및 악성 스크립트차단 기술 필요

웹 서버

웹방화벽

백신SW

실행 파일형태만 검사

사용자 PC단 악성 스크립트탐지·차단기술 필요

기존 보안 장비에서 사용 가능한경량 시그니처 생성/배포 기술

필요

3. 스크립트 공격 대응기술(R&D)-목표

목표

연구결과물

(2017년)

네트워크 레벨 스크립트 기반 사이버 공격 탐지/차단 기술(네트워크 단)

호스트 레벨 악성 스크립트 탐지 및 실행 방지 기술(사용자 PC 단)

악성 스크립트 배포 웹 사이트 점검 기술(독립적 운영)

악성 스크립트 탐지 시그니처 관리 시스템(네트워크, 사용자 PC단 관리 시스템)

스크립트 기반 사이버 공격 사전 예방 및 대응 기술 개발

Internet

Internet

악성 스크립트감염 서버

악성 스크립트감염 서버자주 접속하는 외부

서비스 서버

서비스서버

사내 주요 서비스 서버네트워크 기반 악성 스크립트

탐지/차단 시스템

호스트 기반 악성 스크립트탐지/차단 소프트웨어

악성 스크립트실행 (정보 유출 등)

악성 스크립트실행 PC(DDoS 공격)

HTML5 안전성 검증을 위한문서 서명 및 검증 기술,취약점 스캐닝 기술 (연구)

외부 서비스 서버모니터링

탐지

스크립트 기반DDoS 공격

악성스크립트 배포웹사이트 점검 시스템

악성 스크립트

차단차단

정보 유출, DDoS공격 등

탐지시그니처 관리시스템

시그니처 시그니처

3. 스크립트 공격 대응기술(R&D)-네트워크 단

• 웹 컨텐츠에 대한 정적/동적 분석을 통한 악성 스크립트 탐지

- 시그니처 매칭 검사, 난독화 검사 등을 통한 악성 스크립트 정적 분석 기술

- 샌드박스 기반 자바스크립트 엔진을 통한 악성 스크립트 동적 분석 기술

①악성 스크립트 실행 → ②API 후킹 → ③Call Trace 추출 → ④탐지용 Call Trace Signature 유사도 비교

사용자

프록시서버

웹 서버

HTTPRequest

HTTPResponse

HTTPRequest

HTTPResponse

외부JS

외부JS

[HTML문서 생성]

[외부 JS 추출]

① 분석 컨텐츠 생성

② 시그니처 매칭(정적 분석)

③ 샌드박스 기반 동적 분석시그니처 저장소

자바스크립트 엔진 실행

<HTML><Script>…</Script></HTML>

API Call Trace 추출 유사도 비교

함수명위치정보

파라메터정보

Sim-Hash 알고리즘이용 유사도 비교

정적 분석 시그니처

Call Trace 시그니처

HTML5 태그/API 저장소

시그니처 검사 난독화 검사 태그/API검사

시그니처 매칭

탐지결과 확인

악성여부/악성유형소스코드 위치등..

문자열길이체크

엔트로피 계산

특수문자 사용빈도

취약한HTML5 태그사용률

취약한JS API사용률

3. 스크립트 공격 대응기술(R&D)-PC 단

• 호스트 레벨 악성 스크립트 실행 방지 기술- (분석대상수집) LocalProxy로 브라우저에서 발생하는 패킷을 수집/분석하여 대상 추출

- (악성분석) 구글 BreakPad를 이용한 메모리 스캔과 V8 JS엔진을 실행하여 난독화 탐지

`

호스트레벨 악성 스크립트 실행방지 S/W

분석 수집 모듈 Local Proxy

분석 결과 후 처리

트래픽 수집Request /Response 처리

스크립트 / URL 추출

악성 URL 분석

스크립트 정적 분석

실시간 처리

분석 결과 저장

사용자 웹 브라우저

웹 페이지 요청

외부 웹 서버

안전한 페이지Redirection

스크립트 정밀 분석

메모리 분석

동적 분석

난독화 처리

웹 페이지 수신분석 요청분석 결과 수신

분석 에이전트 모듈

메모리 스캔

사용자 PC

원본 스크립트추출

난독화스크립트

JS엔진 실행

3. 스크립트 공격 대응기술(R&D)-웹사이트 점검

• 악성 스크립트 배포 웹 사이트 점검 기술 (웹 취약점 스캐너)- 병렬 분산 처리를 통한 고속 웹 컨텐츠 수집(1일 100만개) 및 대용량 정보 저장 관리

- 수집 웹 컨텐츠에 대한 4단계 정밀 분석 수행

- 탐지 정보 및 웹 사이트에 대한 수치화된 위험도 점수 산출

위험도 점수 산출정밀 분석(4단계)웹 컨텐츠 고속 수집

1일 100만개 컨텐츠 수집

가상화 플랫폼

수집 에이전트 매니져

Crawler

Crawler

Crawler

Crawler

…

가상화를 통한 병렬 수집 처리

웹 컨텐츠 저장소

수집 정보 저장

웹 페이지 구성 요소(HTML 태그, 스크립트, URL) 정밀 분석

77

52

45

125

5

32

스크립트 변조

탐지

스크립트 정적

분석 탐지

스크립트

난독화 탐지

취약 태그

속성 탐지

블랙리스트

URL 탐지

행위 분석

탐지

웹 사이트 내 탐지 정보

웹 사이트위험도 점수 산출

탐지 위험도 수치화

스크립트변조검사

원본 코드 변조 코드

평문 코드 난독화 코드

취약 패턴

악성 패턴

스크립트패턴검사

스크립트난독화검사

HTML태그검사

3. 스크립트 공격 대응기술(R&D)-행위분석(1/2)

• HTML5 악성 행위 분석 시스템- (Core Tire) 가상 웹 브라우저를 이용한 안전한 분석/자동 이벤트 실행 플랫폼 구현

- (Application Tire) 악성 행위 과정, 연관성을 기반으로 한 정밀 악성 판별 모듈 구현

“HTML5 문서 행위 분석 프레임워크 구현”

Application Tier

REST-API

Interface

행위 노드 생성 Layer

행위 노드 생성 행위 노드 입체화

악성 행위 판별 Layer

FSM 순차비교플랫폼관리

API관리

악성행위 분류

웹 애뮬레이터 Layer

문서 파서 이벤트 실행 이벤트 기록 네트워크 모니터

가상 브라우저 Layer

자바스크립트 엔진 렌더링 엔진(DOM, Image 처리)

HTML5 문서 처리결과

DB-Handler

DBIO

Core Tier

네트워크 WebStorage

3. 스크립트 공격 대응기술(R&D)-행위분석(2/2)

• 입체화된 행위를 바탕으로 악성 행위 판별

- 기록된 행위를 입체화(행위 트리)하여 FSM으로 표현된 악성 행위와 비교* FSM : Finite State Machine, 각 단계별로다양한 이동 조건을 가지는 분류

- 악성 행위 요소, 순서, 관련성을 반영하여 분석 가능

01 img

DOM

02 onclick

EVENT

03 send

JavaScript

04 button

DOM…

…

악성행위 판별

FSM DataBase

행위노드1 행위노드2 행위노드3 행위노드N

행위정보 노드화(실행순서 기반)

행위 노드 생성

…

3. 스크립트 공격 대응기술(R&D)-대시보드

• 통합 대시보드 제공

- 스크립트 공격 대응 시스템 점검결과, 발생 추이 등 각종 처리 결과의 시각화

웹 사이트 점검 현황

HTML5 행위 분석 현황

감사합니다