파비콘 (Favicon) 이란 favorites + icon 의 합성어로, 웹사이트를 대표하는 아이콘이다. 파비콘이 적용된 웹사이트에 접속하면 브라우저 주소창 상단 탭에 접속한 웹사이트의 파비콘(favicon)과 타이틀(title)이 보여진다. 거의 모든 기업 및 기관 웹사이트와 사용자에게 제공되는 서비스의 웹 페이지에는 대부분 이러한 파비콘이 적용되어 있다. Criminal IP (https://www.criminalip.io)는 웹사이트의 파비콘 검색으로 IP 주소를 조회 할 수 있는 “favicon” filter를 제공한다. Criminal IP의 파비콘 필터로 특정 IP 주소를 검색하거나, 피싱 도메인, 공격표면에 노출된 관리자페이지 등 여러 취약점 까지도 찾을 수 있다.

파비콘 검색으로 특정 IP 주소 찾기

Criminal IP Asset Search에서 파비콘이 적용된 IP 주소를 조회하려면 favicon 필터 뒤에 파비콘 해시를 입력하면 된다. favicon의 hash를 구하는 방법은 다양하다. Python 코드를 활용하거나, 무료로 제공되는 파비콘 해시 계산기를 사용해도 된다. 다만, Criminal IP는 파비콘 해시 알고리즘 16진수를 사용하고 있어, 위 파비콘 해시 계산기로 확인된 10진수 값을 16진수로 변환 후 검색하면 된다. 예시로 라우터 제공 업체  MikroTik 의 파비콘 해시를 검색해 보았더니 MikroTic RouterOS 관리자 페이지가 총 409,882 건 검색되는 것을 볼 수 있다.

favicon: 72b36155

Criminal IP의 파비콘 해시 검색으로 찾은 MikroTik 라우터 장비 IP주소

Criminal IP의 파비콘 해시 검색으로 찾은 MikroTik 라우터 장비 IP주소

조회된 MikroTik RouterOS 검색 결과 중 한 웹사이트로 접속하게 되면 실제 MikroTik 라우터 OS 페이지로 접속 된다.

favicon 필터로 검색한 MikroTik 라우터OS 장비 관리자 페이지

파비콘 검색으로 찾은 MikroTik 라우터OS 장비 관리자 페이지

파비콘 해시 검색으로 위조된 피싱 도메인 찾기

또한, Criminal IP를 활용한 파비콘 검색은 위조된 피싱 도메인을 찾아낼 수도 있다.

[Criminal IP Youtube – 파비콘 해시로 위조된 페이팔 로그인페이지 찾는 방법]

 

Paypal의 파비콘 해시 값을 Asset Search에 파비콘 필터로 입력하면, Paypal 파비콘이 적용된 모든 IP 주소를 조회할 수 있다.

favicon: 126b479d

Criminal IP로 검색한 PayPal의 파비콘 해시 검색 결과

Criminal IP로 검색한 PayPal의 파비콘 해시 검색 결과

조회된 전체 IP주소에는 실제 PayPal 웹사이트와 위조된 웹사이트가 혼재되어 있다. 검색 범위를 좁히기 위해 추가 필터를 사용하여 PayPal이 소유하지 않은 IP 주소를 제외할 수 있다. AS_Name 제외 필터를 사용해 “-as_name:PayPal, Inc.” 쿼리를 추가하면 AS_Name이 PayPal, Inc. 가 아닌 IP 주소만 선별할 수 있다.

favicon: 126b479d -as_name: PayPal, Inc.

PayPal 파비콘이 적용된 IP주소 중 PayPal, Inc. 가 소유하지 않은 IP 주소만 검색

PayPal 파비콘이 적용된 IP주소 중 PayPal, Inc. 가 소유하지 않은 IP 주소만 검색

검색된 IP 주소 중 한 웹사이트를 확인하니 실제 Paypal 로그인 페이지와 유사한 피싱 웹사이트가 발견되었다. 실제 PayPal의 로그인 페이지와 유사하게 위조하기 위해 파비콘과 타이틀, UI를 비슷하게 꾸며 놓은 모습이다. 하지만 로그인 기능 외에 언어 변경, 쿠키 정책 등 버튼이 비활성화 되어 있고, 무엇보다 SSL 인증이 되어 있지 않아 웹 사이트 경고가 나타나고 있다.

favicon 필터 검색으로 찾은 PayPal의 위조된 로그인 페이지

favicon 필터 검색으로 찾은 PayPal의 위조된 로그인 페이지

실제 Paypal 로그인 페이지, 위조된 PayPal 로그인 페이지와는 다르다.

실제 Paypal 로그인 페이지, 위조된 PayPal 로그인 페이지와는 다르다.

이외에도 CIP Blog 리포트에서 favicon 필터를 응용해 공격표면에 노출된 HFS HTTP File Server를 검색하는 방법을 소개한 적이 있으니, 해당 리포트를 참고하여도 좋다.


데이터 출처 : Criminal IP (https://www.criminalip.io)