TDS라는 공격 인프라를 만들어 운영하는 공격자들이 제법 된다. 그런데 최근 패럿TDS라는 공격 인프라가 강화되면서 활동도 왕성해지고 있다. 워드프레스나 줌라 등의 CMS 환경이 특히 위험한 상황이라고 한다.

[보안뉴스 문정후 기자] 최소 2021년 10월부터 활성화 되어 있었던 한 악성 트래픽 배포 시스템(Traffic Redirect System, TDS)의 운영자들이 최근 탐지를 회피하기 위한 기능을 강화했다. 악성 스크립트에 수많은 사용자들이 감염될 위기에 처하게 됐다고 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 경고했다.

TDS는 ‘트래픽 배포 시스템’으로, 혼잡한 트래픽을 정리하고, 분산시키고, 조건에 맞는 트래픽을 걸러내는 서비스를 말한다. 광고업자들이 표적 광고를 위해 활용하고, 공격자들이 알맞은 피해자들과 연결되기 위해 사용한다. 대행 서비스도 있지만 공격자들 중 상당수가 스스로 TDS를 운영하여 공격 효율을 높이기도 한다.


문제의 TDS 서비스는 ‘패럿TDS(Parrot TDS)’다. 팔로알토는 지난 9월 브라질의 한 웹사이트 침해 사건을 조사하다가 이 악성 서비스를 알게 됐다고 한다. 해당 사이트의 일부 페이지들에서 악성 자바스크립트가 불법적으로 주입된 사실이 발견됐는데, 거슬러 올라가다보니 전부 패럿TDS와 엮여 있었다. 그리고 이 패럿TDS는 전 세계 수천 개의 서버들을 제어하고 있었다. 거대 망이 보이지 않게 구축되어 있었던 것인데, 이를 통해 악성 자바스크립트 스니펫들이 유포되고 있었다.

패럿TDS는 팔로알토 이전에도 몇 차례 발견된 바 있었다. 2022년에는 보안 업체 수쿠리(Sucuri)와 어베스트(Avast)가 패럿TDS를 통해 감염된 웹사이트들을 발견해 세상에 알렸다. 당시 해당 웹사이트들은 패럿TDS를 통해 감염된 뒤 페이크업데이츠(FakeUpdates)라는 다운로더를 유포하고 있었다. 페이크업데이츠는 속골리시(SocGholish)라고 불리기도 한다.

“패럿TDS는 현재도 범죄자들에게 제공되고 있는 서비스로, 전 세계 곳곳의 피해자들을 노리고 있습니다. 하루도 빠짐없이 다양한 종류의 웹사이트들이 패럿TDS를 통해 침해되고 있고, 이 사이트들에서는 각종 스크립트나 페이로드가 검출되고 있습니다.”

패럿은 서버에 호스팅 되어 있는 기존 자바스크립트에 악성 스크립트를 주입한다. 그러면 이 악성 스크립트를 통해 피해자 프로파일링이 진행되는데, 공격하기 전에 특정 조건들이 부합하는지 확인하는 것으로 추정된다. 공격을 해도 괜찮다는 결정이 내려지면 페이로드 스크립트를 피해자에게 보내기 시작하는데, 이 과정이 끝나면 피해자의 브라우저가 엉뚱한 위치나 콘텐츠에 접속하게 된다. 당연히 악성 사이트, 악성 콘텐츠다. “피해자들 사이의 공통분모를 찾기가 어렵습니다. 특정 국가나 지역, 산업, 인종, 성별을 가리지 않는 듯합니다.”

악성 자바스크립트를 피해 사이트의 기존 자바스크립트에 주입하는 공격은 매우 흔한 전략 중 하나다. 그럼에도 패럿TDS가 눈에 띄는 건 인프라가 예외적일 정도로 크기 때문이다. 그렇기 때문에 수백만 명의 피해자를 양산시킬 잠재력을 가지고 있다고 볼 수 있다. “게다가 공격자들은 악성 자바스크립트 코드를 여러 줄로 작성함으로써 한 줄짜리 코드보다 탐지와 분석 면에서 훨씬 어렵게 만들어 두기도 했습니다.”

악성 패럿TDS 스크립트 식별하기
공격자들은 패럿TDS 스크립트들을 피해자의 서버에 주입시키기 위해 널리 알려진 취약점들을 자동으로 익스플로잇 하는 공격을 시도하고 있을 가능성이 높은 것으로 팔로알토 측은 보고 있다. “패럿TDS에 침해된 서버들은 대부분 워드프레스, 줌라 등 유명 CMS와 관련이 있었습니다. 일관성이 꽤나 분명하지요. 이건 자동화 기술로 공통점이 있는 부류들을 대량 공격했을 때 나타나는 흔적이기도 합니다. 예외가 없진 않지만요.”

패럿TDS 스크립트는 크게 두 가지로 나뉜다. “하나는 랜딩 스크립트(landing script)로, 피해자의 환경을 먼저 확인하여 후속 공격을 이어가도 되는지를 공격자가 판단할 수 있도록 합니다. 결정이 내려지면 두 번째 스크립트인 ‘페이로드 스크립트(payload script)’가 등장합니다. 이 스크립트 때문에 사이트 방문자는 엉뚱한 콘텐츠나 페이지를 열람하게 됩니다. 이 두 번째 스크립트는 약 9종이 있는 것으로 분석됩니다. 하지만 전부 ndsx라는 키워드를 포함하고 있어 패럿TDS와 관련이 있는 페이로드 스크립트를 찾아내는 게 대단히 어렵지는 않습니다. 9개 중 1개는 쿠키 값을 설정하는 것이라 악성이라고 볼 수 없지만 나머지 8개는 전부 악성 스크립트입니다.”

다양한 스크립트들이 있지만 공통적으로는 랜딩 페이지 내에 있는 모든 클릭 가능한 링크들을 감염시키는 것이라고 팔로알토는 설명한다. “그래서 페이지 방문자가 뭐라도 클릭을 하나 하면 새로운 이미지 객체가 생성되고, 특정 URL로부터 이것이 로딩되도록 합니다. 여기에 버전마다 조금씩 다른 난독화 기능들이 첨가되어 있습니다.”

팔로알토 측은 패럿TDS의 침해지표를 정리해 공개했다. 이를 적용하면 웹사이트 관리자들이 패럿TDS에 대한 방어력을 강화시킬 수 있을 것으로 보인다. “또한 nsdj, dnsw, ndsx와 같은 키워드들이 웹 서버 어딘가에 있지 않는가 자주 스캔하는 것도 중요합니다. 외부 감사를 받는 것도 좋은 생각이라고 봅니다. “그 외에 차세대 방화벽과 고급 URL 필터링 서비스도 이런 대량 공격을 막는 데 좋습니다.”

3줄 요약
1. 패럿TDS라는 거대한 공격 인프라, 최근 난독화 기술 강화.
2. 패럿TDS는 주로 줌라와 워드프레서. 자동화 공격 의심.
3. 두 가지 페이로드 통해 사이트 점령한 뒤, 방문자들을 엉뚱한 페이지로 접속시킴.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>