스마트 가전을 점검해봐야 할지도 모른다

1 hour ago 1
  • Anubis 허니팟이 Sourceware에서 수집한 고유 IP 267만여 개 중 89.3%가 기존 위협 목록에 없었으며, 알려진 차단 목록만으로는 스크레이퍼 활동 대부분을 식별하기 어려움
  • 챌린지 페이지에 의미상 유효하지 않은 HTML과 “Don't click me” 링크를 삽입해, 이를 따라가는 부실한 스크레이퍼를 무의미한 콘텐츠와 추가 링크로 유도함
  • 고유 IP 2,678,193개 가운데 데이터베이스 등록 주소는 286,161개(10.7%)였고, 그중 98.6%가 abuse 범주였으며 전체 트래픽은 229개 국가와 21,116개 ASN에 걸쳐 있음
  • 트래픽이 프록시 네트워크에 참여하는 감염된 스마트 가전에서 나올 가능성도 있지만, 수집 데이터만으로 실제 장치 유형이나 감염 여부를 입증할 수는 없음
  • 특정 국가나 통신망에 국한되지 않은 스크레이핑에 대응하려면 Anubis 같은 웹 애플리케이션 방화벽이 필요하며, 근본적인 해결에는 동시에 조율된 세계적 대응이 요구됨

기존 위협 목록이 놓치는 스크레이퍼

  • Anubis reputation database를 구축하는 과정에서 허니팟 기능이 기록한 접근의 80~90% 가 기존 위협 모니터링 목록에 없는 IP에서 발생함
  • Sourceware가 최근 몇 달간 수집한 데이터에는 고유 IP 2,678,193개가 포함됨
    • 비 IP 항목이나 중복으로 제외된 주소는 없음
    • 데이터베이스 등록 주소는 286,161개로 전체의 10.7%
    • 미등록 주소는 2,392,032개로 전체의 89.3%
  • 전체 입력 표는 Appendix A: Full tables for the reputation database input에서 확인할 수 있음

등록된 IP의 분류와 공급자

  • 데이터베이스 등록 주소 중 abuse 범주가 282,182개로 98.6%를 차지함
    • datacenter 7,918개(2.8%)
    • proxy 2,562개(0.9%)
    • vpn 1,264개(0.4%)
    • crawler 46개
    • tor 17개
  • 별도 플래그 기준으로는 is_datacenter 7,918개, is_proxy 2,562개, is_vpn 1,264개, is_crawler 46개로 집계됨
  • 공급자는 126개였으며, netshield가 237,945개(83.2%)로 가장 큰 비중을 차지함
    • bitwire 96,539개(33.7%), magicteamc 26,475개(9.3%), ipinsights 17,378개(6.1%), threathive 8,422개(2.9%)
    • 이 밖에 netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud 등이 포함됨
    • 하나의 IP에 여러 범주나 공급자 정보가 적용될 수 있어 비율 합계는 100%를 넘음

국가와 네트워크 전반의 분포

  • 전체 주소는 229개 국가에서 관측돼 특정 지역에 한정되지 않음
    • 주소 수는 브라질 270,937개, 인도 185,091개, 사우디아라비아 120,372개, 멕시코 95,449개, 튀르키예 87,258개 순으로 많음
    • 데이터베이스 등록률은 방글라데시 29.9%, 우크라이나 27.6%, 이라크 21.9%, 베네수엘라 21.3%, 파키스탄 20.0% 등으로 나타남
    • 미국은 40,828개 중 3,347개가 등록돼 8.2%를 기록함
  • ISO 3166-1에 포함된 국가가 249개이고 그중 UN 회원국이 193개라는 점과 비교하면, 스크레이퍼 활동은 전 세계에 걸쳐 있음
  • 주소는 21,116개의 ASN에 분포함
    • AS55836 Reliance Jio Infocomm Limited는 57,029개 중 1,749개가 등록돼 3.1%
    • AS45899 VNPT Corp는 56,910개 중 6,831개로 12.0%
    • AS14593 Space Exploration Technologies Corporation은 31,569개 중 4,597개로 14.6%
    • AS9541 Cyber Internet Services는 21,386개 중 3,696개로 17.3%
    • 표에서는 나머지 18,069개 ASN이 생략돼 있음

Anubis 허니팟이 스크레이퍼를 가두는 방식

  • Anubis는 스크레이퍼 문제의 확산 범위를 측정하기 위해 모든 챌린지 페이지에 다음과 같은 의미상 유효하지 않은 HTML을 삽입함
<script type="ignore"> <a href="/.within.website/x/cmd/anubis/api/honeypot/<uuidv4>/init">Don't click me</a> </script>
  • 정상적인 처리 과정에서는 무시해야 할 링크지만, 이를 따라가면 생성 비용이 낮고 실질적인 정보가 없는 콘텐츠가 반환됨
    • 반환된 콘텐츠에는 다시 다른 페이지로 이어지는 링크 두 개가 들어 있음
  • 이 구조는 부실하게 작성된 스크레이퍼를 보호 대상 웹사이트 대신 허니팟 내부로 유도하면서 문제 규모를 측정하도록 설계됨

스마트 가전 감염 가능성과 대응 한계

  • 관측된 트래픽의 상당 부분이 프록시 네트워크에 트래픽을 제공하는 감염된 스마트 가전에서 나올 수 있음
  • 다만 이는 추측에 머물며, 수집 데이터가 개별 IP의 실제 장치 유형이나 감염 여부를 직접 입증하지는 못함
  • 국가와 ASN 전반에 분산된 문제에 실질적인 영향을 주려면 동시에 조율된 세계적 대응이 필요함
  • 스크레이핑 규모가 충분히 광범위하므로 Anubis 같은 웹 애플리케이션 방화벽을 운영할 필요가 있음
  • 공개 이후 사실과 상황이 달라졌을 수 있으므로, 불명확하거나 잘못된 부분은 성급히 결론 내리기 전에 확인해야 함
Read Entire Article