오늘은 증가하는 악성 도메인에 대한 위협을 방어하는 방법을 알아보고자 합니다. 공격자들은 오랫동안 오타를 활용한 사이버스쿼팅 공격 , 브랜드 재킹과 같은 유사한 방법을 사용하여 사용자가 무의식적으로 악성 웹 사이트를 방문하도록 속여 왔습니다. 이런 공격에 지속적인 방어를 위해 보안 담당자들은 새로 등록 된 도메인 이름을 검색하여 이런 위협이 구체화되기 전에 발견하고 조치하고 있습니다. 이 글에서는 시스코 Umbrella를 활용하여 공격자들의 일반적인 패턴과 검색을 자동화하는 기술을 공유하고 이를 통해 공격에 대비하고 방어하는 방법을 알려드리고자 합니다.
단어의 앞,뒤에 추가되는 문자
화이트 해커들은 성공적인 피싱 활동을 위해 검증 된 방법 중 하나는 이메일의 제목에 “중요”등의 메시지가 포함된 이메일을 보내거나 “companyname-support.com”으로 호스팅된 악성 페이지 링크를 보내는 것이라는 데 동의합니다. 회사명에 기술 연관된 단어나 문구를 추가하는 것은 공격자가 사용하는 가장 일반적인 기술중 하나입니다. 이는 사용자가 회사 이름이나 내부적으로 사용되는 전문 용어와 같은 익숙한 문자열에 대해 믿는 경향이 있기 때문에 쉽게 반응합니다. Umbrella Investigate에서 다음과 같은 항목들을 간단하게 검색하고 확인 할 수 있습니다.
문자를 대체
시각적으로 유사한 문자를 대체하는 또 다른 일반적인 방법입니다. 여기서 공격자는 대문자 “i” 또는 소문자 “L”과 같은 문자를 대체하거나 leet speak(컴퓨터가 인식하는 부호) 방식으로 문자를 바꿀 수 있습니다. 추가로 이를 쉽게 통합할 수 있도록 정규 표현식으로도 확장 가능합니다.
반복되는 문자
마지막으로 브랜드에서 반복되는 문자는 실수로 누락되거나 중복되거나 간과 될 수 있습니다. 예를 들어 공격자가 facebok.com을 등록하거나 사용자가 실수로 faceboook.com을 입력 할 수 있습니다. 정규식을 약간 변경하면 반복되는 문자를 조정할 수 있습니다.
이렇게 국내외 유명 도메인의 오탈자를 예측하여 악용하는 사례가 꾸준히 증가하고 있습니다. 예를들어 국내 유명 기업의 도메인과 유사한 것을 조회해 보면 아래와 같이 새롭게 등록된 도메인명을 찾아볼 수 있었으며, 잠재적으로 브랜드 이름과 유사하고 악의적 활용 가능성이 있다는 점입니다.
API를 통한 업무 자동화
시스코 umbreall의 분류 알고리즘은 훨씬 더 고급 수준에서 이러한 유형의 공격에 대한 광범위한 발견을 자동화 했지만, 관리자들은 여전히 기업의 브랜드에 기본적인 패턴 검색을 주기적으로 할 필요가 있습니다. Cisco Umbrella Investigate API는 이러한 유형의 자동화를 용이하게하는 완벽한 도구이며 pyinvestigate 는 API와 쉽게 연동을 할 수 있습니다. 지난 24 시간 이내의 문자열을 검색하려면 다음와 같이 하실 수 있습니다.
정규 표현식 생성기
단일 브랜드만 모니터링하는 경우 정적 정규 표현식을 작성하지 않아도 될 수 있습니다. 그러나 많은 브랜드에 대한 검색을 하려면 기본 정규식을 작성해야 합니다. 다음은 브랜드의 각 문자에 대한 정적 매핑을 조회하고 문자 대체 목록을 반환하는 예입니다.
제약 조건 검색
가짜 도메인을 처음 검색할 때 상당이 긴 시간 내에 변화를 검색하여 외부에 어떤 위협이 있는지 탐색하고 인지하고 있는 것이 좋습니다. 이후 브랜드와 일치하는 모든 도메인을 알게되면 검색을 지난 24 시간으로 제한하고 해당 기간 내에 정기적으로 검색을 실행하여 실행 속도를 높일 수 있습니다.
Brand watch
Brand Watch 는 여기서 설명된 방법을 구현하는 Python애플리케이션입니다. 아래 경로에서 프로그램을 다운로드 받을 수 있습니다.
실행은 아래와 같이 간단하며, 브랜드 이름을 넣어주는 것으로 쉽게 사용이 가능합니다.
특정 도메인 제외
이미 조사한 특정 도메인을 제외하려면 -e 옵션에 텍스트 파일을 제공하면 해당 목록은 표시되지 않습니다.
이러한 작업을 통해 새 도메인 탐지를 시작하거나 CRON 작업으로 설정할 수 있습니다. 이상한 패턴이 발견되는 경우 이메일로 알람을 수신 할 수도 있습니다.
위와 같이 알아본 여러 방법등을 통해 자동화하여 회사의 브랜드를 악용하는 도메인을 선제적으로 발견하여 대응하면 잠재적 위험을 줄일 수가 있습니다.
추가로 ‘무료’ 로 제공되는 SecureX Threat Response 기능을 이용 할 경우에 가시성 기반의 사고 조사까지 확장이 가능합니다.
Threat Response 의 API 도 활용하면 시스코 탈로스의 평판 데이터도 활용할 수 있으니 Umbrella Investigate 의 API 와 Threat Response API 의 활용으로 여러분들의 브랜드를 악의적 위협으로부터 지킬 수 있는 방법으로 고려해 보시면 어떨까요?
전세계 민간 최대 인텔리전스 조직인 Cisco TALOS에서 운영하는 Umbrella는 악성 및 유해 사이트를 사전에 차단해주는 보안 솔루션으로 전 세계 3천만 곳 이상의 가정, 학교, 기업들이 사용하고 있으며, 매일 20억개 이상의 DNS query 분석과 다양한 100개 이상의 보안 그룹과 교류하는 있는 글로벌 보안 인텔리전스를 구축하고 있습니다.