gstatic 오탐 관련 이슈

gstatic

문제 발생

• 타 부서에서 해외 IP로의 트래픽이 탐지되었다고 연락이 옴

• 메시지 : Nvd,L1AAkb,KUM7Z,Mlhmy,LDgzZ,s39S4,lwddkf,gychg,w9hDv,EEDORb,RMhBfe,

• 바이러스 혹은 공격이 탐지되었다고 연락함

• 관련 IP : 142.250.76.131

• 구글 검색 기록

  • 오후 1:38
    부대찌개 - 나무위키
    namu.wiki
    오후 1:38
    퓨전 요리 - 나무위키
    namu.wiki
    오후 1:38
    소시지 - 나무위키
    namu.wiki
    오후 1:38
    쟌슨빌 나무위키 - Google 검색
    www.google.com
    오후 1:38
    쟌슨빌 소시지 - Google 검색
    www.google.com

원인 탐색

• 탐지 시점에 내가 하고 있었던 일은 구글링, 나무위키, 웹 스크래핑 프로그램

• 웹스크래핑에 문제가 있었나?

  • 해당 프로그램은 xbox 무선 어댑터 재입고 파악을 위한 파이썬 웹 스크래퍼이다. 마이크로소프트가 재입고를 통 할 생각이 없어보이고, 재입고 되는 물량도 나와 같은 하이에나들이 눈에 불을 켜고 보는 상황이었다. 나는 재입고를 확인할 수 있는 웹 스크래퍼를 돌리면서 어떻게든 획득하고자 했다.
  • 각설하고, 파이썬 웹 스크래퍼는 국내 쇼핑 사이트만 긁어오기 때문에 해외 IP 트래픽 탐지 되기가 힘들다. 그리고 만약 걸릴 것이었다면, 처음 돌리기 시작한 2주 전부터 관제 호출을 받았을 것이다

• 나무위키접속에 문제가 있었나?

  • 해당 페이지에는 문제가 없었다. 다시 페이지 접속했을때 관제에서는 연락이 오지 않았다.

• 구글링 중 문제가 있었나?

  • 실제 공격 시도가 있을 수도 있다는 추측 - 확인할 방도가 없다. R&R이 나뉘어서 관제 툴에 접근이 불가하다.

  • 공격은 없었지만 오탐으로 감지했다는 추측 - 오해받을만한 요소가 있었는지 알아볼 수 있다.

    • 관련 IP 검색시 gstatic 이라는 구글 소유의 도메인이 나왔다.

추측 가능한 주 원인 : gstatic

gstatic?

• gstatic.com은 Google에 정적 콘텐츠를 제공하는 쿠키없는 도메인

• no content 응답이 있는 HTTP 204 response 생성 용 google 정적 코드 페이지이다.

• 구글이 검색 및 기타 서비스 품질 향상을 위해 CDN 서버에 컨텐츠를 캐싱하는 사이트이다.

• 역할

  • CDN에서 Google 컨텐츠를 더 빠르게 로드하는데 중요한 역할
  • 대역폭 사용량 감소
  • google 서비스 속도 향상
  • 네트워크 성능 향상
  • JS, CSS 같은 정적 데이터 저장

• 부작용

  • 공격자는 이것을 이용해 자신들의 의도하는 웹사이트의 컨텐츠를 로드 하는데 사용 한다. gstatic.com 에서 열리는 팝업창이 나타나면 컴퓨터가 애드웨어에 감염 되었을 수 있다.

gstatic이 문제가 되는 이유

• CDN 관련 한 작업을 한 것이 있는지 문의가 있었다

  • gstatic이 CDN에 캐싱하는 작업을 한다.

• 웹에서 메시지 검색시 gstatic의 url parameter에서 발견된다

  • https://www.gstatic.com/_/mss/boq-groups/_/js/k=boq-groups.GroupsFrontendUi.de.vyhI0NjBTgQ.es5.O/ck=boq-groups.GroupsFrontendUi.oQwpBIOcoa8.L.B1.O/am=dHrnxykDAg/d=1/exm=_b,_r,_tp/excm=_b,_r,_tp,conversationdetailview/ed=1/wt=2/rs=ALAdxDn-fgjRXxRkGLvDy5IoxC4VF8be7g/ee=NSEoX:lazG7b;cEt90b:ws9Tlc;yxTchf:KUM7Z;qddgKe:xQtZb;dIoSBb:SpsfSb;zxnPse:duFQFc;QGR0gd:Mlhmy;uY49fb:COQbmf;EVNhjf:pw70Gc;oGtAuc:sOXFj;eBAeSb:zbML3c;VS7Vxc:U9fLAc;Pjplud:EEDORb;io8t5d:yDVVkb;j7137d:KG2eXe;Oj465e:KG2eXe;ul9GGd:VDovNc;sP4Vbe:VwDzFe;kMFpHd:OTA3Ae;NPKaK:SdcwHb;pXdRYb:MdUzUe;nAFL3:s39S4;iFQyKf:QIhFr;SNUn3:ZwDk9d;LBgRLc:SdcwHb;wR5FRb:O1Gjze/m=n73qwf,ws9Tlc,e5qFLc,UUJqVe,IZT63,O1Gjze,byfTOb,lsjVmc,xUdipf,OTA3Ae,COQbmf,fKUV3e,aurFic,U0aPgd,ZwDk9d,V3dDOb,mI3LFb,c0uoEe,A4UTCb,owcnme,dNsHRd,WO9ee,U4Hp0d,q4gqfe,hTMZf,HR544d,ZRlZfc,O6y8ed,MpJwZc,PrPYRd,IhYCGd,LEikZe,NwH0H,OmgaI,lazG7b,Mpq4Ee,YyFM9b,VXdfxd,i78JDf,ENNBBf,XVMNvd,L1AAkb,KUM7Z,Mlhmy,LDgzZ,s39S4,MXwm0e,yDXup,duFQFc,lwddkf,gychg,w9hDv,EEDORb,RMhBfe,NBfYR,SdcwHb,aW3pY,pw70Gc,pA3VNb,EFQ78c,Ulmmrd,ZfAoz,mdR7q,N5Lqpc,I6YDgd,yf2Bs,xQtZb,JNoxi,kWgXee,MI6k7c,kjKdXe,BVgquf,t8tqF,QIhFr,ovKuLd,hKSk3e,Fudpzb,yDVVkb,sKlkue,hc6Ubd,SpsfSb,KG2eXe,MdUzUe,VwDzFe,FvT3gf,QJp0qd,LER4Pc,sx4rZd,Rb9NSd,zbML3c,YbIhPd,wxXDDb,ywEdOe,Uas9Hd,gwNYeb,NSYzcf,txTMtc,C3XcFf,RgmPfd,A7fCU,GBnt6e,pjICDe

  • https://urlscan.io/result/555bf136-d43d-45ec-b95b-b5855ccf146f#transactions

• gstatic 이 하루살이 웹사이트가 가장 많이 만들어진 상위도메인이라 한다. 상위도메인 50개중 22%가 악성코드 배포에 쓰였다고 한다. 하루살이 사이트중 gstatic가 가장 많다고 하니 , 관제에서 눈여겨 볼 만한다.

  • https://www.bloter.net/newsView/blt201409010004

• 쟌슨빌 소세지는 CDN 캐싱이 될만한 새로운 검색어이다

  • 연관검색어가 뜨지 않았다.
  • 흔치않은 검색어에 대한 캐싱이 되었다.

결론

현재까지 확인 가능한 것들로부터 나온 추측은 이렇다. 새로운 검색어에 대해서 검색 결과에 대한 CDN 작업을 위해 gstatic이 사용되었다. 하지만 gstatic은 공격자가 악성코드 배포등 공격을 위해 이용하는 사이트이기 때문에 관제쪽에서 감지를 하고 경고하는 것이다. 정상적인 CDN 작업에 대해서도 공격으로 오탐을 했기 때문에 연락이 온 것이다.

안좋은 의미로 스펙타클 할 뻔 했지만, 다행히 큰 별일이 아니었다.

흔한 검색어를 쓰겠다는 다짐을 하며 하루를 마친다.

오늘도 어떻게든.