Detecting Malicious Activities With Traffic Distribution Systems
Detecting Malicious Activities With Traffic Distribution Systems
TDS have emerged as critical tools for both legitimate and malicious purposes, serving as sophisticated redirection networks
gbhackers.com
- 트래픽 분산 시스템(TDS) 개요
- TDS는 웹 트래픽을 여러 목적지로 분산시키는 인프라로, 마케팅 최적화 및 서비스 안정성 향상 등 합법적인 목적뿐만 아니라 피싱, 악성광고, 불법 서비스 등 사이버 범죄에 악용됨
- 공격자는 중간 도메인을 연쇄적으로 활용해 사용자를 최종 악성 페이지로 유도하며, 도메인 연결 구조를 복잡화해 탐지를 회피함
- 악성 TDS의 주요 특징
- 긴 리디렉션 체인 사용: 4단계 이상의 리디렉션 체인이 전체 악성 TDS의 약 25%를 차지하며, 이는 정상 TDS의 10% 대비 월등히 높음
- 높은 URL 연결도: 노드 간 연결성이 높고 독립적인 하위 그래프 수가 적어, 구조적으로 차단 회피에 유리
- 무작위 정상 도메인 리디렉션: Google Play, Yahoo 등으로 가짜 리디렉션을 수행해 자동 탐지 시스템을 혼란시킴
- 악성 TDS 활용 사례
- 피싱 공격
- 가상자산 에어드랍 사칭 사이트에서
dapparadar[.]app,dappadar[.]bio등 도메인을 사용해 자격 증명 탈취 - 중간 도메인을 여러 개 거치며 최종 피싱 페이지로 연결
- 가상자산 에어드랍 사칭 사이트에서
- 악성광고(Malvertising) 캠페인
vkmarketing2[.]com등 도메인을 통해 기프트카드, 가짜 대출 등을 가장한 광고 페이지로 이동
- 불법 콘텐츠 운영
.lol도메인을 DGA(Domain Generation Algorithm) 기반으로 생성해 성인물, 불법 도박 사이트 운영- 빠른 도메인 교체로 차단 회피 가능
- 피싱 공격
- 탐지 및 대응 기술
- 기계학습 기반 탐지 모델
- 리디렉션 그래프의 20가지 주요 지표 분석
- 예: 리디렉션 길이, URL 간 연결도, 도메인 연관도 등
- 탐지 정확도 93%, 오탐율 0.4% 수준의 고성능 모델 개발
- 리디렉션 그래프의 20가지 주요 지표 분석
- DNS 및 URL 보안 기술
- 고급 DNS 보안 및 URL 필터링 시스템에서 위 모델 적용
- 실시간 TDS 인프라 모니터링 및 차단 제공
- 기계학습 기반 탐지 모델
- 결론
- TDS는 웹 트래픽을 분산시키는 합법적 기술이지만, 사이버 범죄자가 이를 악용할 경우 탐지 및 차단이 어려운 은닉형 공격 경로로 변모
- 보안 조직은 URL 기반 탐지 외에도 리디렉션 경로 분석 및 그래프 기반 머신러닝 탐지 모델을 통합해 위협 대응력을 강화해야 함
- 공격자는 클라우드 인프라, AI 활용 등 기술을 고도화하고 있어 지속적인 위협 인텔리전스 업데이트와 침해지표 기반 탐지 체계 유지가 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석 (0) | 2025.04.01 |
|---|---|
| GitHub 악용 대규모 Malvertising 캠페인을 통한 정보 탈취 공격 분석 (0) | 2025.04.01 |
| InvokeADCheck PowerShell 모듈을 활용한 Active Directory 보안 점검 자동화 (0) | 2025.04.01 |
| BadBox 2.0 악성코드, 100만 대 이상 안드로이드 기기 감염…Google Play 통해 유포 (0) | 2025.04.01 |
| 일본 대상 지속적 사이버 공격 분석 (0) | 2025.04.01 |