DBD(Drive By Download) 공격
- 취약한 PC환경의 사용자가 홈페이지에 접속할 경우 자신의 의도와 무관하게 악성코드가 다운로드되어 설치되는 공격
- 보통 파밍형 악성코드를 통해 금융/개인정보를 탈취하거나, 특정 타겟 대상으로 악성코드를 유포하는 워터링 홀 방식의 APT 공격이 주된 목적임
- DBD공격은 일반적으로 난독화된 악성 스크립트와 다수의 경유지/중계지를 거쳐 최종 유포지로 접속하여 악성코드를 다운로드하도록 요청함. --> 추적을 어렵게 하려는 목적
관련 용어
- 경유 페이지(Passage Page) 또는 경유지 : 악성 스크립트가 삽입되어 있는 방문페이지
- 유포 페이지(Distribution Page) 또는 유포지 : 실제 익스플로잇 및 악성코드가 저장되어 있고 이를 유포하는 페이지
공격 시나리오
- 공격자는 악성코드 경유지로 사용할 A 사이트 웹서버와 중계지로 사용할 쇼핑몰 사이트 웹서버를 해킹하여 악성 스크립트 삽입
- 희생자가 A 사이트 접속시, 쇼핑몰로 리다이렉트되는 iframe 악성 스크립트가 삽입된 응답페이지 반환됨
- 희생자의 브라우저에는 A 사이트가 보여지지만, 중계지 사이트로 리다이렉트되고, 거기서 공격자 사이트(유포지)로 리다이렉트되는 iframe 악성 스크립트가 삽입된 응답페이지가 반환됨
- 희생자 브라우저는 응답페이지의 숨겨진 iframe 태그를 통해 유포지인 공격자 사이트로 리다이렉트됨
- 희생자에게 브라우저 취약점을 이용하는 익스플로잇 코드와 악성코드(쉘 코드)가 삽입된 응답 페이지가 반환됨
- 익스플로잇 성공하면 악성코드가 설치되고 동작
'정보보안기사&CISSP관련 > 침해사고 분석 및 대응' 카테고리의 다른 글
[Day 121] GNU Bash 취약점(ShellShock) (0) | 2020.12.09 |
---|---|
[Day 120] HeartBleed(하트블리드) 취약점 (0) | 2020.12.08 |
[Day 113] 워터링 홀(Watering Hole) 침해 사고 시나리오 (0) | 2020.12.01 |
[Day 109] 리버스 쉘(Reverse Shell) 침해 사고 시나리오 (0) | 2020.11.27 |
[Day 79] 침해사고 대응절차 7단계 (0) | 2020.10.28 |