2020.05.07

매일 악성 '코로나' 도메인 1,700개 생성 <팔로알토>

Sasha Karen | ARN
86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다.

매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다. 

이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.
 
ⓒDreamstime

팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다.

유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다.

대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다.

악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다.

첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다.

그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다.

첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다.

유닛 42가 한 분석은 몇몇 경우에 다수의 도메인이 단일 IP 주소로 해석될 수 있고 단일 도메인이 다수의 IP 주소와 연관될 수 있음을 발견하였다.

두 시나리오 모두 다중 연결을 수반하기 때문에 악의적인 행위자는 3단계 방화벽에서 IP 블랙리스트를 차단하고 프로세스에서 안전한 도메인에 접근할 수 없는 반면 강력한 7단계 방화벽은 나쁜 도메인을 좋은 도메인에서 분리할 수 있다고 첸은 지적했다.

첫 번째 시나리오는 일반적으로 도메인이 아마존 클라우드프론트(Amazon Cloudfront)나 클라우드플레어(Cloudflare) 같은 CDN(콘텐츠 전송 네트워크)에서 호스팅될 때 발생한다고 첸은 설명했다.

첸은 “CDN에서 가까운 지리적 위치에 있는 수백 또는 수천 개의 도메인이 에지 서버의 동일한 IP로 해석될 수 있다”라고 밝혔다. 

CDN은 에지 서버에서 정적인 웹 콘텐츠를 캐싱하여 네트워크 대기 시간을 줄이고 서비스 가용성을 향상한다.

그러나 악의적인 도메인은 동일한 CDN의 다른 양성 도메인과 동일한 IP를 공유하기 때문에 악의적인 도메인의 표지 역할도 한다.

첸은 “우리의 분석에서 클라우드플레어 IP 23.227.38[.]64는 150개 이상의 위험하거나 악의적인 도메인과 관련이 있다. 예를 들어, covid-safe[.]shop, cubrebocascovid[.]com, www.covidkaukes[.], protection-contre-le-coronavirus[.]com 같은 데이터 세트에서 2,000개 이상의 다른 양성 도메인도 동일한 IP로 분석된다”라고 설명했다. 

한편, 두 번째 시나리오는 모두 동일한 콘텐츠를 제공하는 중복 호스트 세트를 가진 도메인일 수도 있고 CDN에 있을 수도 있다며 첸은 다음과 같이 말을 이었다.

"도메인에 여러 개의 중복 호스트가 있는 경우 DNS는 이 도메인에 대해 여러 개의 A 레코드를 보유한다."

도메인이 CDN에서 호스팅되는 경우 도메인은 클라이언트의 위치에 따라 다른 IP 주소로 확인할 수 있다. 클라이언트가 이 도메인에 대한 DNS 서버를 쿼리할 때 가장 가까운 에지 서버의 IP가 항상 반환된다.

“도메인 covid19-fr.johanrin[.]com은 각 IP가 아마존 클라우드프론트 엣지 서버에 속하는 28개의 서로 다른 IP로 바뀐다. 예를 들어, 52.85.151[.]68, 99.84.191[.] 82, 13.249.44[.]82, 54.192.30[.]118이다"라고 첸은 전했다. 

이 연구는 코로나바이러스를 주제로 한 일련의 사이버보안 경고 중 최신이다.

코비드-19의 공포를 이용한 사이버보안 범죄 시도는 이전에도 있었다. 마이크로소프트 오피스 365와 어도비 브랜드를 사칭하는 메일, 문자 메시지 사기, 현지 회사 및 국제 조직을 가장한 사기, 사용자를 생물학적 바이러스로부터 보호한다고 주장하는 가짜 바이러스 백신 소프트웨어 메시지 등이 대표적이다. ciokr@idg.co.kr



2020.05.07

매일 악성 '코로나' 도메인 1,700개 생성 <팔로알토>

Sasha Karen | ARN
86,600개 이상의 악성 신규 도메인 중 2,829개가 퍼블릭 클라우드에서 발견되었다.

매일 1,700개가 넘는 악성 코로나바이러스 주제로 한 도메인이 생성되고 있다. 새로운 연구 결과에 따르면 이들 중 소수가 퍼블릭 클라우드에 호스팅돼 있지만, 덜 복잡한 방화벽일수록 부분적으로 뚫을 가능성이 더 크다. 

이는 팔로알토 네트웍스의 위협 인텔리전스팀 유닛 42가 3월 9일부터 4월 26일까지 코로나바이러스 전염병 관련 키워드로 120만 개의 새로 등록된 도메인(NRD) 이름을 분석한 결과다.
 
ⓒDreamstime

팔로알토 네트웍스의 URL 필터링 결과 86,600개 이상의 도메인이 ‘위험’하거나 ‘악의적인’ 범주로 분류되었으며 오토포커스 제품, WHOIS 도메인 데이터베이스, IP 지리적 위치로 보강되었다.

유닛 42의 클라우드 취약성 및 익스플로잇 선임 연구원인 제이 첸의 블로그 게시물에 따르면 악성 도메인 대부분인 29,007개가 미국에서 호스팅됐고 다음은 이탈리아로 2,877개, 독일은 2,564개, 러시아는 2,456개가 호스팅됐다. 호주는 534개의 악성 도메인만 보유했다.

대부분 악성 도메인에는 79.8%의 악성코드가 포함되어 있다. 피싱 시도는 20%에 이르렀으며, 커맨드 앤드 컨트롤(C2) 악성코드는 0.2%였다.

악의적인 도메인의 소수인 2,829개는 퍼블릭 클라우드에서 호스팅되는 것으로 밝혀졌다. 이 중 대부분은 아마존웹서비스(AWS)에서 79.2%, 구글 클라우드 플랫폼(GCP)은 14.6%, 마이크로소프트 애저는 5.9%, 알리바바는 0.3%로 각각 집계됐다.

첸은 더 높은 가격과 엄격한 스크리닝 및 모니터링 프로세스 때문에 퍼블릭 클라우드에서 호스팅되는 악성 도메인이 거의 없을 것이라고 가정했다.

그러나 퍼블릭 클라우드 도메인의 위협을 과소평가해서는 안 된다.

첸은 “악성 행위자가 클라우드 리소스를 활용하여 탐지를 회피하고 공격을 증폭시키기 때문에 클라우드에서 발생하는 위협을 방어하기가 더 어려울 수 있다”라고 밝혔다.

유닛 42가 한 분석은 몇몇 경우에 다수의 도메인이 단일 IP 주소로 해석될 수 있고 단일 도메인이 다수의 IP 주소와 연관될 수 있음을 발견하였다.

두 시나리오 모두 다중 연결을 수반하기 때문에 악의적인 행위자는 3단계 방화벽에서 IP 블랙리스트를 차단하고 프로세스에서 안전한 도메인에 접근할 수 없는 반면 강력한 7단계 방화벽은 나쁜 도메인을 좋은 도메인에서 분리할 수 있다고 첸은 지적했다.

첫 번째 시나리오는 일반적으로 도메인이 아마존 클라우드프론트(Amazon Cloudfront)나 클라우드플레어(Cloudflare) 같은 CDN(콘텐츠 전송 네트워크)에서 호스팅될 때 발생한다고 첸은 설명했다.

첸은 “CDN에서 가까운 지리적 위치에 있는 수백 또는 수천 개의 도메인이 에지 서버의 동일한 IP로 해석될 수 있다”라고 밝혔다. 

CDN은 에지 서버에서 정적인 웹 콘텐츠를 캐싱하여 네트워크 대기 시간을 줄이고 서비스 가용성을 향상한다.

그러나 악의적인 도메인은 동일한 CDN의 다른 양성 도메인과 동일한 IP를 공유하기 때문에 악의적인 도메인의 표지 역할도 한다.

첸은 “우리의 분석에서 클라우드플레어 IP 23.227.38[.]64는 150개 이상의 위험하거나 악의적인 도메인과 관련이 있다. 예를 들어, covid-safe[.]shop, cubrebocascovid[.]com, www.covidkaukes[.], protection-contre-le-coronavirus[.]com 같은 데이터 세트에서 2,000개 이상의 다른 양성 도메인도 동일한 IP로 분석된다”라고 설명했다. 

한편, 두 번째 시나리오는 모두 동일한 콘텐츠를 제공하는 중복 호스트 세트를 가진 도메인일 수도 있고 CDN에 있을 수도 있다며 첸은 다음과 같이 말을 이었다.

"도메인에 여러 개의 중복 호스트가 있는 경우 DNS는 이 도메인에 대해 여러 개의 A 레코드를 보유한다."

도메인이 CDN에서 호스팅되는 경우 도메인은 클라이언트의 위치에 따라 다른 IP 주소로 확인할 수 있다. 클라이언트가 이 도메인에 대한 DNS 서버를 쿼리할 때 가장 가까운 에지 서버의 IP가 항상 반환된다.

“도메인 covid19-fr.johanrin[.]com은 각 IP가 아마존 클라우드프론트 엣지 서버에 속하는 28개의 서로 다른 IP로 바뀐다. 예를 들어, 52.85.151[.]68, 99.84.191[.] 82, 13.249.44[.]82, 54.192.30[.]118이다"라고 첸은 전했다. 

이 연구는 코로나바이러스를 주제로 한 일련의 사이버보안 경고 중 최신이다.

코비드-19의 공포를 이용한 사이버보안 범죄 시도는 이전에도 있었다. 마이크로소프트 오피스 365와 어도비 브랜드를 사칭하는 메일, 문자 메시지 사기, 현지 회사 및 국제 조직을 가장한 사기, 사용자를 생물학적 바이러스로부터 보호한다고 주장하는 가짜 바이러스 백신 소프트웨어 메시지 등이 대표적이다. ciokr@idg.co.kr

X