보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

Web Proxy Tool 탐지 방법

2015.08.18

21,707

보안관제사업본부 보안분석팀 장태용

 

1.  개요

 

올해 가장 큰 이슈가 된 KT 홈페이지 해킹으로 인한 정보유출 사고에서 사용된 Web Proxy Tool에 대해 간략하게 알아보고 ESM의 기능을 이용한 탐지 방법을 소개하고자 한다.

 

2.  Web Proxy Tool

 

1) 소개

 

Proxy는 사전적 의미로 agent, 즉 대리인이라는 뜻이다. 이 말처럼 프락시는 웹 클라이언트와 웹 서버의 사이에서 클라이언트의 Request를 프락시 서버가 대신 받아 해당 웹 서버에 요청을 보내고, 클라이언트 대신 Response를  받아서 다시 클라이언트에게 넘겨주는 역할을 한다.

  


 [그림 1] Proxy Server

 

Proxy Server에 대한 설명이지만, 이 Proxy Server의 역할을 사용자가 직접 실시간으로 컨트롤 할 수 있도록 도와주는 Tool을 Web Proxy Tool이라고 할 수 있다.

 
본래 Web Proxy Tool은 웹 어플리케이션 및 웹 사이트의 취약점을 분석하기 위한 목적으로 개발된 소프트웨어이지만, 이번 KT 해킹 사고에서 사용되었다고 알려진 Web Proxy Tool인 Paros 같은 경우처럼 악의적인 목적을 가진 사용자가 이용하여 해킹에 이용될 수도 있다.

 

2) Web Proxy Tool 분석 

 

 

Web Proxy Tool은 여러 가지가 존재하지만, 많이 사용되는 도구 3종에 대하여 해당 도구를 사용 할 때에 발생하는 패킷을 간략하게 분석하고 ESM에서 탐지할 방안에 대해 생각해 본다.

패킷 분석은 Web Service를 하고 있는 Victim 시스템에서 패킷 분석 도구인 WireShark를 이용하여 진행되었으며, Attacker는 Victim으로 웹 페이지를 요청하기 전에 3종의 Web Proxy Tool을 거쳐서 요청하도록 하였다.

 

☞ Burp Suite

 

① Attacker Request Packet

Burp Suite는 가장 잘 알려진 도구이며, 가장 최신업데이트가 잘 이루어지고 있는 도구이다. 주로 파라미터 변조를 통한 점검에 많이 활용되며, 디코딩 기능, 무차별 대입 공격 기능 등의 부가적인 기능을 제공하고 있다. 



 [그림 2] Burp Suite 인터페이스

 

② Victim WireShark Packet

프락시 도구를 사용하여 접근하였을 때와 정상적으로 접근하였을 때를 비교하면, 요청 시점에 따라 값이 다를 수 있는 Cookie를 제외하였을 때, 프락시 도구 사용 시 Proxy-Connection : Keep-Alive라는 값이 차이가 있음을 알 수 있다.

 


 [그림 3] Proxy Tool 사용 시

 
 [그림 4] 정상 접근 시

 

☞ Paros

 

① Attacker Request Packet

KT 홈페이지 해킹에 사용되었던 Paros는 프락시 도구로의 기능이 중점적이지만, 정보수집, SQL 인젝션, XSS 등의 웹 페이지 점검을 위한 부가 기능을 제공하고 있다.

 

그러나, 2006년 08월 이후 업데이트가 되고 있지 않기 때문에 최근 동향을 반영하지 못하고 있다.

 

 [그림 5] Paros 인터페이스

 

② Victim WireShark Packet

프락시 도구를 사용하여 접근하였을 때와 정상적으로 접근하였을 때를 비교하면, User-Agent 값 중에서 맨 끝 부분에 Paros/3.2.13 값이 새로 생겨났음을 알 수 있다. Proxy-Connection의 경우 일관성이 없이 출현하여 패턴으로는 다소 부적합하게 판단되었다.

 


[그림6] Proxy Tool 사용 시


[그림7] 정상 접근 시

 

☞ OWASP ZAP (Zed  Attack Proxy)

 

① Attacker Request Packet

​ZAP은 OWASP에서 제공하는 프락시 도구로 Paros와 매우 흡사한 구조를 보이고 있다. Paros의 업데이트가 이제는 이루어지지 않아 대체 도구의 성질로 사용되었다. 최신 업데이트가 비교적 꾸준히 이루어지고 있어 앞으로 점점 많이 사용될 것으로 예상한다.

 
[그림8] ZAP 인터페이스

 

② Victim WireShark Packet

프락시 도구를 사용하여 접근하였을 때와 정상적으로 접근하였을 때를 비교하면, Burp Suite와 마찬가지로 Proxy-Connection : Keep-Alive라는 값이 정상 패킷과 차이가 있음을 알 수 있다.

 


 [그림9] Proxy Tool 사용 시

​  
 [그림10] 정상 접근 시

 

3) 분석 결과

 

Burp Suite, Paros, OWASP ZAP 3종의 프락시 도구 패킷을 분석한 결과를 간략하게 표로 나타내면 아래와 같다. 정상 패킷과의 비교를 통해 프락시 도구를 사용하였을 때 나타나는 패턴을 추출하였다.


 [표 1] Web Proxy Tool 특징

 

3.  ESM 활용 방안

 

1)  보안장비 정책 설정

 

[표 1]에서 도출된 결과를 통해 탐지 가능한 패턴을 추출하여 IPS, IDS, 웹 방화벽 등의 보안장비에 정책을 등록할 수 있다.

 
 [그림11] 추출 문자열 등록

 

 
 [그림12] 탐지 패턴 추가

 

 

2)  보안장비 탐지

[그림 12]에서 IPS에 등록한 패턴이 실시간으로 탐지됨을 볼 수 있다.

 

 
[그림13] IPS 실시간 탐지

 

IPS에서 실시간으로 탐지된 경보의 Raw 정보 확인 결과 등록한 탐지 문자열이 확인된다.

 


 [그림14] 탐지 경보 Raw 확인

  

3)  ESM 연관성 정책 설정

 

보안장비에서 탐지된 경보의 문자열을 ESM 연관성 정책에 추가하여 탐지 정책을 등록한다.

 


 [그림15] 연관성 정책 등록

 

4)  ESM 연관성 경보 탐지

정책 설정 완료 후 Web Proxy Tool을 이용하여 웹 페이지에 접근하였을 때, 연관성 경보가 탐지됨을 볼 수 있다.

 


 [그림16] 연관성 경보 탐지