[PlainBit]구글 광고 스크립트 삽입 공격 사례: 당신의 웹 사이트, 누군가 돈을 버는 수단으로 활용하고 있다면?

 

1. 개요

웹 페이지 변조 공격이란, 공격자가 웹 서비스의 취약점을 악용해 웹 페이지의 정상적인 내용을 변조하거나 악성 코드를 삽입하는 행위. 

대표적인 웹사이트 공격 방법 

• Packet Crafting Attack : 데이터의 교환이 이루어질 때 공격. 사용자가 서버 사용자가 요청한 데이터를 처리하도록 응답을 보낼 때 해당 데이터에 비정상적으로 접근하는 것이 Packet Crafting Attack
• Cross Site Scripting : 해커가 악성 코드를 신뢰할 수 있는 서버에 저장하고 사용자가 접근할 때까지 기다린다. 피해자가 신뢰할 수 있는 웹사이트에 악의적인 명령을 코딩하는 것. 
• SQL Injection : 웹 어플리케이션의 취약점을 통해 개발자 예상하지 못했던 쿼리가 실행되도록 하는 공격. 
• Spoofing, Man in the Middle Attack, Session Jacking Attack

통계출처: https://kisa-irteam.notion.site/2024-4-162e4aca026f80488c21cfeb85018666 우

윈도우즈 기반 웹 서비스 환경에서는 공격자가 취약점이나 웹 관리자 크리덴션 탈취, 악성 파일 업로드 등을 통해 웹 서비스 접근 권환을 획득한 뒤, 외부 광고 스크립트나 악성코드를 삽입하는 사례가 발견되고 있다. 광고 스크립트 삽입 공격은 2019년부터 현재까지 지속적으로 발생하고 있으며, 주로 취약한 Windows 기반 웹 서버를 대상으로 웹셸을 업로드해 공격이 수행된다.

- 공격 개요 : 공격자는 웹서버에 방치된 게시판의 파일업로드 취약점을 악용해 웹셸을 업로드했고, 권한상승도구로 시스템 권한을 획득했다. 공격자는 획득한 시스템 권한으로 게스트 계정에 관리자권한을 부여했고, 계정탈취도구로 관리자 계정정보를 얻었다.이후 공격자는 관리자 계정정보를 활용해 명령어실행도구를 통해 광고 코드가 삽입된 비정상 페이지를 게시하는 스케줄을 등록했다. 관리자가 피해서버 접속에서 벗어나면, 공격자는 홈페이지 방문자에게 광고를 노출해 수익을 얻어 가는 형식이다.

ATT&CK Matrix로 살펴본 침투단계별 주요내용은 다음과 같다.

1. Initial Access : 최초 침투
웹 취약점(파일업로드)을 이용해 1차 웹셸을 업로드하여 침투 기반을 마련

2. Persistence : 지속성 유지
1차 웹셸로 업로드 경로가 아닌 일반 경로에 2차 웹셸을 업로드해 공격의 지속성을 확보

3. Privilege Escalation : 권한 상승
2차 웹셸로 권한상승도구를 실행해 시스템 권한을 획득

4. Persistence : 지속성 유지
사전에 획득한 시스템 권한으로 권한복사도구를 실행하여 게스트 계정에 관리자 권한을 부여

5. Credential Access : 계정정보 확보
시스템 권한을 이용해 계정탈취도구를 실행한 후 관리자 계정정보를 탈취

6. Privilege Escalation : 권한 상승
탈취한 계정정보를 명령어실행도구에 입력해 해당 계정의 권한으로 윈도우 운영체제 내부 명령어를 실행

7. Collection : 정보 수집
광고 삽입 및 원복을 위한 웹 페이지 원본 파일 수집 등

Defense : 추적 회피
명령어실행도구의 파일 속성을 숨김파일 및 시스템파일로 변경하여 탐지 회피

Persistence : 지속성 유지
정상 웹페이지에 스크립트를 삽입하여 3차 웹셸로 악용

8. Impact : 광고 노출
명령어실행도구를 활용하여 광고 코드가 삽입된 페이지들이 나타나도록 작업스케줄을 등록

 

공격에서 가장 많이 삽입되는 구글 광고 스크립트가 이전에 광고를 출력하지 않는 웹 사이트에  광고를 출력하면, 아래 형식의 스크립트 구문이 삽입된다. 

출처 : https://blog.plainbit.co.kr/case-of-google-ad-script-injection-attacks/, https://www.dailysecu.com/news/articleView.html?idxno=126259