공격자는 피해자 시스템에 접근하는 것을 목적으로 스피어 피싱메일을 발송합니다.
이때, 파일 첨부를 하는 경우 보안솔루션 등 보호 메커니즘에 차단 될 수 있으므로, 방어책을 피하고자 악성 링크를 포함한 스피어피싱 이메일을 보낼 수 있습니다.
이 경우, 신뢰할 수 있는 출처로 가장하는 것과 같은 사회 공학적 기술이 포함될 수 있습니다.
특수 문자를 남용하여 합법적인 웹사이트를 모방하여 겉보기에 무해한 링크를 사용할 수 있습니다.
또한, URL은 정수 또는 16진수 기반 호스트 이름 형식 허용 및 "@" 기호 앞의 텍스트 자동 삭제와 같은
URL 스키마의 특이점을 이용하여 난독화될 수도 있습니다. 예) hxxp://google.com@ 2398801700
이를 "URL Obfuscation Through Schema Abuse"이라고 하겠습니다.
URL Obfuscation Through Schema Abuse
시작하려면, URL이 클릭될 때 브라우저에서 어떻게 구성되고 구문 분석되는지 이해하는 것이 도움이 됩니다.
RFC1738(https://www.rfc-editor.org/rfc/rfc1738 )은 URL의 구조를 문서화합니다.
섹션 3.1(일반 인터넷 체계 구문)에서 모든 URL의 기본 구조를 설명합니다.
<scheme>//<user>:<password>@<host>:<port>/<url-path>
섹션 3.3(HTTP)에서는 HTTP URL의 형식이 다음 구조를 따른다고 명시되어 있습니다.
http://<host>:<port>/<path>?<searchpart>
RFC는 구체적으로,
"사용자 이름이나 비밀번호는 허용되지 않습니다."라고 명시합니다. 사용자 이름은 "@" 기호 앞의 텍스트로 정의됩니다.
때문에, 브라우저가 사용자 이름 섹션이 채워진 URL("@" 기호 앞의 모든 것)을 해석하면,
이를 버리고 "@" 기호 뒤에 요청을 서버로 보냅니다.
Alternative Hostname Formats
이 예에서 숫자 "2398801700"은 호스트로 처리됩니다.
그러나 서버 IP 주소가 정수로 표현되는 것은 매우 드뭅니다. 이것은 두 번째 수준의 난독화입니다.
IPv4 주소는 일반적인 표현으로, 점으로 구분된 4개의 10진수로 구성되며,
각 10진수는 IP 주소의 8비트를 나타냅니다.
예를 들어, IP 주소 142.250.207.36 는
2진수 10001110.11111010.11001111.00100100
10진수는 2398801700 이 됩니다.
예제)
the IP address(142.250.207.36/http://www.google.com)
can be represented as the binary number
o Decimal to Binary
- 10001110.11111010.11001111.00100100
- 10001110111110101100111100100100
o Binary to Decimal converter
- 2398801700
o Decimal to IP Converter
- 142.250.207.36
o http://www.naver.com@2398801700
https://attack.mitre.org/techniques/T1566/002/
https://cloud.google.com/blog/topics/threat-intelligence/url-obfuscation-schema-abuse/?hl=en
'Pentesting' 카테고리의 다른 글
| Hashcat 사용법 (Password Crack) (1) | 2023.11.15 |
|---|---|
| hydra(FTP Crack) - MacOS hydra 설치 (0) | 2022.08.10 |
| Dumping And Cracking Unix Password Hashes (0) | 2015.01.05 |
| Web Application Hacking Technique 분류 (0) | 2014.09.15 |