웹 재킹은 중간자 공격 (이하 MITM)의 일종이다. MITM은 이미 감염된 사이트의 HTTP 리퍼러를 사용하거나 HTTP 서버에게 역으로 대상의
자격 증명을 전달하기 위해 XSS를 사용한다. XSS 취약점을 찾아 대상에게 URL을 보내고 대상이 링크를 클릭하면 웹 사이트는 정상적으로
동작하는 것처럼 보이지만, 대상이 시스템에 로그온 할 때 그의 자격 증명이 고역자에게 전달된다. MITM 벡터는 SET의 웹 공격 벡터
인터페이스를 통해 접근할 수 있다.
웹 재킹 공격 방법은 웹 사이트를 복제하고 웹 사이트가 이동했다는 상태의 링크를 대상에게 보여준다. (도메인 이전 등으로 사람들은 속을 수 있음)
대상이 링크에 마우스를 올렸을 때 URL은 공격자의 URL이 아닌 실제 URL로 표시된다.
G메일을 복제했다면 링크에 마우스를 올렸을 때 (혹은 속성) 대상 시스템에 나타나는 URL은 https://gmail.com이 된다.
대상이 링크를 클릭하면 G메일 사이트가 열리는 것 처럼 보이지만 재빠르게 악의적은 사이트로 교체된다. 이 공격은 시간 기반의 iframe 교체
방법을 사용하는데, 대상이 링크에 마우스를 올리면 원본 사이트를 가리키지만, 링크를 클릭하면 iframe이 교체되고 대상이 모르게 복제된
악의적인 사이트로 리다이렉트된다.
다음은 웹 재킹 공격의 샘플이다.
set 실행 후 2번을 클릭하여 웹 공격을 선택 후 5번을 선택하여 Web Jacking 메소드를 선택한다.
2번을 눌러서 복제할 사이트를 입력한다 (https://gmail.com)
복제가 되면 위의 사진처럼 희생자의 입력을 대기한다.
아래 2줄은 192.168.0.4의 IP를 가진 사람이 공격자의 웹 서버 (g메일을 복제한 악의 사이트)에 접속했다는 뜻이다.
공격자의 웹 서버에 접속했을 때 보여지는 화면으로, 구글의 URL 이동되었으니 링크를 누르라는 소리다.
(일반적으로 도메인의 이동은 빈번이 일어나지 않으나, 이동 될 경우 위의 사진과 상당히 유사한 상태로 보여지기 떄문에 사람들이 속게 된다)
링크를 클릭하여 이동된 화면으로, 실제 구글의 사이트처럼 로그인 폼도 있지만, 이것은 공격자가 복제한 가짜 구글 사이트다.
사용자의 입력값을 탈취한 모습으로 (test, test)라는 계정을 얻을 수 있다.
이 공격은 핵심 중 하나는 바로 이동될 때 걸리는 시간이다. iframe을 사용하여 이동시 약간의 딜레이가 기본적으로 있는데,
딜레이가 너무 길면 사용자의 의심을 받을 수 도 있고, 너무 짧아도 의심을 받을 수 있다. (국내 환경은 광랜이지만, 외국의 경우 상당히 느림)
따라서 set_config 파일의 WEBJACKING_TIME 플래그 값을 적절히 조정하는 것이 중요하다.
'Hacking > 메타스플로잇' 카테고리의 다른 글
| SET - 사용자명과 패스워드 수집 (0) | 2013.12.19 |
|---|---|
| SET - 클라이언트 웹 익스플로잇 (0) | 2013.12.19 |
| 메타스플로잇 보조 모듈 (사용 및 선택) (0) | 2013.12.18 |
| 파일 포맷 익스플로잇 (pdf, doc 등) (0) | 2013.12.18 |
| 오로라 익스플로잇 (IE 취약점) (0) | 2013.12.18 |
