07. 도메인 쉐도잉

1. 도메인 쉐도잉

 

드라이브-바이-다운로드에서 악성코드 유포지로 흘러가는 길목(경유지)에 사용되는 도메인들이 수 많은 서브 도메인으로 구성되는 기술이다. 탐지 및 블랙리스팅 형태의 솔루션을 우회하기 위해 사용되는 기술이다.

 

서브 도메인이 여러개가 합쳐져서 하나의 도메인을 이루기 때문에 침해사고 대응의 입장에서는 당연하게도 추적하기 매우 어려운 구조를 지닌다. 최초 경유지에 삽입된 악성 스크립트를 따라서 추적을 진행한 뒤, 감염시킨 악성코드를 분석해 대응하는 구조를 가질수는 있지만 사실상 최초 경유지 이후 나오는 도메인들이 수 많은 서브 도메인이 합쳐져 만들어지다보니 그걸 다 따라가면서 추적한다는게 불가능하다. 많은 서브 도메인이 다 한 국가에 있을거라는 보장도 없으며 얼마나 많은 서브 도메인이 존재하는지도 추측 불가능하기 때문에..

 

도메인 쉐도잉 기술에서는 중계지와 유포지가 서브 도메인으로 구성되고 페이지를 새롭게 랜더링 할때마다 랜딩 페이지 명이 서브 도메인 명들을 합친 것으로 새롭게 변경된다.

 

도메인 쉐도잉 도식 / 출처:Cisco Blog

위 그림은 도메인 쉐도잉과 패스트 플럭스의 도식도인데, 패스트 플럭스는 이후 글에서 정리하도록 하겠다. 도메인 쉐도잉은 위 도식도처럼 이루어진다. 많은 서브 도메인을 가지고 있는 상태에서 많은 서브 도메인을 합쳐서 하나의 도메인을 구성하고 그 도메인을 통해 최종 유포지까지 도달해 악성코드를 감염시키는 형태다.

사용자가 접속한 입장에서 보자면 아래와 같다.

 

사용자가 접속한 도메인 -> 합쳐진 서브도메인으로 이루어진 도메인 -> 최종 유포지

                                                                          (1번 혹은 수 많이 반복)

Drive-by-Download / 출처:Cisco Blog 

위 그림은 단순 멀버타이징 기법을 이용한 드라이브바이다운로드로 악성코드가 유포되는 것이 설명된 그림이다.

 

2. 최근 동향

 

최근 동향에서는 
1차적으로 (흔히쓰는단어.특정단어.com or net)
2차경유로 (랜덤문자열.랜덤단어.club or info 등) 으로 보인다.

 

3. 결론

 

경유지 자체도 수 많은 서브 도메인을 합쳐놓다보니 각 도메인에 따른 아이피도 엄청나 추적이 사실상 불가능하다.

결론적으로보자면 최초 유포지로부터 경유지들을 다 탐색하고 해당 경유지에 따른 서브 도메인을 다 수집한 뒤에 경유지 도메인에 따른 공격을 합치는 식으로 OSINT를 진행한다면 추적이 가능할 것 같다.