URL 필터링 우회시켜 주는 유령, 고스트 호스트

HTTP 호스트 필드값만 정상적으로 바꾸면 실제 IP 확인 안해
이미 공격자들이 활용 중... 스팸 및 랜섬웨어 배포 중

[보안뉴스 문가용 기자] 악성이라고 알려진 도메인으로부터 오는 트래픽을 막기 위해 네트워크 담당자들이 사용하는 여러 가지 방법 중에 URL 필터링이라는 기술이 있다. 하지만 존재하는 모든 방어 체제가 그렇듯, 해커들의 파훼법이 등장했다. 해커들의 새로운 URL 필터링 우회 작전을 발견한 건 보안 전문업체인 사이렌(Cyren)의 전문가들이다.

URL 필터링을 우회하기 위해 해커들이 사용하는 이 작전을 사이렌의 전문가들은 고스트 호스트(Ghost Host)라고 부른다. “해커들은 방어자들이 마련하고 있는 호스트와 도메인 블랙리스트를 피할 수만 있다면 URL 필터링을 바보로 만들 수 있다는 것을 간파했습니다. 나쁜 도메인 이름들을 서로 바꾸고 나서, HTTP 호스트 필드에 악성이지 않은 호스트 이름을 대신 무작위로 삽입하는 것이죠.”

실제로는 악성 C&C IP와의 연결을 이룬 채, 호스트 이름을 합법적인 것으로 바꿔 호스트와 도메인 블랙리스트를 우회하는 것이 이 작전의 핵심이다. “말 그대로 유령과 같은 호스트를 전면에 내세워 URL 블랙리스팅에 걸리지 않는 겁니다” 사이렌의 전문가, 게펜 추르(Geffen Tzur)의 설명이다.

“멀웨어의 HTTP 헤더에 이런 유령 호스트가 사용됩니다. 그런데 실제 연결은 다른 IP에 호스팅된 엉뚱한 곳과 이루어지죠. HTTP 호스트 헤더를 검사하는 네트워크 보안 시스템은 밑단에서의 실제 연결을 확인하지는 않습니다. 그러므로 헤더만 멀쩡하고 악성 IP와 연결되는 일이 발생하는 것이죠.”

사이렌은 네커스(Necurs)라는 봇넷을 수사하다가 고스트 호스트를 우연히 발견했다고 한다. 사이렌이 발견했을 당시, 고스트 봇넷은 스팸, 랜섬웨어 등을 퍼트리고 있었다고 한다. 고스트 호스트의 실제 웹사이트(정상 웹사이트)와 실제로 연결된 서버(악성 서버)와의 관계는 아직 파악이 되지 않고 있는 상태다.

추르는 “멀웨어 공격자들은 HTTP 요청들을 마음대로 주무를 수 있다”며 “이 말은 곧 URL 필터링 시스템을 간단히 회피할 수 있다는 것”이라고 설명한다. “이렇게 HTTP 호스트 필드에 정상적이고 합법적인 이름을 집어넣어 탐지 시스템을 속이는 기법은, 저로서는 처음 본 공격방법입니다. 실제로 보고된 예도 없는 것으로 알고 있습니다.”

이 방법은 보안의 기본인 블랙리스트를 피해갈 수 있다는 점에서 매우 효과적이면서 또한 간단하기도 하다. “오픈소스 HTTP 클라이언트를 사용하는 것만큼 간단한 일입니다. 그리고 헤더의 트래픽과 실제 트래픽을 다르게 설정해주는 HTTP 클라이언트 임플러멘테이션(implementation)들은 다수 존재합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)