해커가 서버의 권한을 탈취한 후 웹사이트의 화면을 변조하는 공격을 가리켜 디페이스(deface) (링크: 디페이스에 대한 설명) 라고 부른다. 홈페이지에 접속했을 때 원래의 화면이 아닌 해커가 만든 가짜 화면이 나오게 하는 화면 변조는 고의로 “내가 이 사이트 털고 간다” 라는 증적을 남겨두기 위한 행위이다. 디페이스(deface) 공격은 사실 화면만 바뀌었으니 별거 아닌 것으로 느껴질 수 있지만, 실제로는 해커가 사이트의 관리자 권한을 획득한, 완전히 장악 당한 상태라고 할 수 있다.
디페이스(deface) 공격을 당한 사이트 화면
전 세계에서 이와 같은 해킹 공격을 당한 사이트가 매일 발생하고 있고, 세계 각국의 정부기관들은 이 해킹 당한 사이트를 찾아 조치하는 전문 부서가 있을 정도로 피해가 적지 않은 상태다. 이 같이 변조된 사이트를 탐지하는 1차적인 방법은 해커가 주로 사용하는 문자열을 찾는 것이다. 디페이스(deface) 공격을 감행하는 해커들은 자신이 사이트를 털었다는 것을 과시하기 위하여 “hacked by XXXX” 라는 문자열을 사이트 안에 넣어두거나 아예 브라우저의 타이틀 안에 표기하기도 한다.
브라우저의 타이틀에 삽입된 디페이스(deface) 공격을 과시하는 문자열
title 필터를 통한 Deface 사이트 탐지 방법
[Criminal IP Youtube – Title 필터로 Deface 웹사이트 검색하는 방법]
Criminal IP 에서는 아래와 같이 title 로 검색하는 기능을 제공한다. title:hacked 또는 title:”hacked by” 로 검색하면 화면이 변조된 많은 사이트를 탐지할 수 있다. 이러한 검색어를 통하여 본인의 소속 기관이나 기업과 연관된 사이트에 디페이스(deface) 공격을 받은 사이트가 없는지 정기적으로 확인해볼 수 있다.
Criminal IP의 title:”hacked by” 검색결과
Criminal IP의 title 필터를 통한 피싱 사이트 탐지 방법
title 검색은 피싱 사이트를 찾기에도 유용할 수 있다. 만약 HELLO WORLD BANK 라는 은행이 있고 인터넷 뱅킹 사이트의 title이 은행명과 동일하게 적용되어 있을 때, 피싱 사이트 역시 같은 title 또는 유사 문자열이 들어간 타이틀로 사이트를 꾸며 놓았을 가능성이 매우 크다. 따라서 이 경우 title:HELLO WORLD BANK 또는 title:BANK 등의 필터로 검색하면 자사 사이트의 피싱 사이트를 탐지하는 데 큰 도움을 받을 수도 있다.
데이터 출처: Criminal IP
댓글 남기기