한국어

tc_backup

싸이월드 랜덤으로 좋은 노래를 찾아 서핑중이었다.
그러다 어떤 미니홈피의 미니룸이 '페이지를 찾을 수 없습니다.' 라고 나오는 것이었다.
순간적인 오류인가 싶어 다시 새로고침 해보았지만 여전히 '페이지를 찾을 수 없습니다.' 오류...

[개인정보와 관련 있을만한 부분은 모자이크 처리하였습니다.]

뭔가 이상하다 싶어서 찾지 못한 페이지의 URL을 확인하여 보니 아래와 같았다.


www.the-cy.com ?????? 싸이월드 주소라고 볼 수 없는 주소가 나온 것을 확인할 수 있었고, 검색을 통해 찾아보니 싸이월드 방문자 추적 사이트인 것으로 확인이 된다.

미니룸을 어떻게 했길래
URL이 링크 수준이 아니라 저런 접속이 가능해진것인지 매우 궁금해졌다.


the-cy.com 사이트 접속을 시도하는 곳을 확인하기 위해 Paros(웹 프록시 툴)를 사용하여 Referer를 확인하였다.
Referer 자체는 싸이월드의 주소였고, 특수한 파일을 업로드 한 것이 아니었다. 싸이월드 자체의 미니룸 페이지이며 끝을 보면 htm으로 htm 파일이라는 것을 확인 할 수 있다. 확인을 위해 본인의 싸이월드도 확인하여 보았는데 redirect 되는 주소만 다를 뿐이지 htm 페이지가 있었고 모든 싸이월드의 미니룸이 htm 형식으로 되어 있음을 확인할 수 있었다.

미니홈피 메인페이지가 불러오는 url 중

GET http://minihp.cyworld.com/pims/main/main_inside.asp

가 있다. 해당 페이지 소스에는 미니룸의 주소가

var varMVSrc0="http://cyimg.cyworld.com/common/file_down_text.asp?redirect=****************************************1964%2Ehtm";

와 같은 형식으로 선언이 되어져 있다. 본인의 미니홈피에서 해당 url을 확인하여 접속하여 보니 아래와 같았다.


위와 같이 미니룸만 나오는 것을 확인할 수 있었다.

정상적인 소스를 확인하고 추적기가 삽입이 된 소스를 확인하기 위해 먼저 본인의 미니룸 htm 파일의 소스를 확인하여 보았다. 소스가 조금 길어 more/less로 삽입하였다.
[#M_ more.. | less.. | <html><head><title></title><meta http-equiv='Content-Type' content='text/html; charset=ks_c_5601-1987'><link rel='stylesheet' href='http://c1img.cyworld.co.kr/css/cyworld4.css' type='text/css'></head>
<body oncontextmenu='return false' bgcolor='#FFFFFF' text='#000000' leftmargin='10' topmargin='0'>
<script type='text/javascript' src='http://www.cyworld.com/js/myroom.js'></script>
<div id='extendMiniroom' style='position:absolute;top:0px;left:0px;width:400px;height:200px;overflow:hidden;z-index:0;'>
<div id='AsDIvavatar' style='position:absolute;top:110;left:176;pixelwidth:35;pixelheight:75;z-index:1;'>
<div id='Avafeel2' style='position:absolute;left:10;z-index:2;'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/feel/feel_0_1163_0.gif'></div>
<div id='Avabody2' style='position:absolute;top:10;z-index:1'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/face/face_m_1200_3.gif'></div>
<div id='Avadown2' style='position:absolute;top:10;z-index:1'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/dressdown/dressdown_m_213_3.gif'></div>
<div id='Avaup2' style='position:absolute;top:10;z-index:1'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/dressup/dressup_m_500_3.gif'></div>
<div id='Avahair2' style='position:absolute;top:10;z-index:1'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/hair/hair_m_1828_3.gif'></div>
<div id='Avaacc2' style='position:absolute;top:10;z-index:1'><img src='http://c1img.cyworld.co.kr/img/myroom/avatar/acc/acc_m_1833_3.gif'></div>
</div>
<div id='mysay' style='position:absolute;top:27;left:90;pixelwidth:98;pixelheight:70;cursor:move;visibility:visible;z-index:1000;'><table width='100' border='0' cellspacing='0' cellpadding='0'><tr><td align='center' height='4'  ><img src='http://c1img.cyworld.co.kr/img/myroom/c_01.gif' width='98' height='4' ></td></tr><tr><td align='center' background='http://c1img.cyworld.co.kr/img/myroom/c_02.gif'><table width='100%' border='0' cellpadding='5' cellspacing='0'><tr><td class='gray'><div id='mysay3' align='center' style='filter:alpha(opacity=99)'>잘못된 것은 <br>아무것도 없다<br>.</div></td></tr></table></td></tr><tr><td align='center' height='9' ><img src='http://c1img.cyworld.co.kr/img/myroom/c_03.gif' width='98' height='9'></td></tr></table></div><div id='mysay' style='position:absolute;top:41;left:195;pixelwidth:98;pixelheight:70;cursor:move;visibility:visible;z-index:1000;'><table width='100' border='0' cellspacing='0' cellpadding='0'><tr><td align='center' height='4'  ><img src='http://c1img.cyworld.co.kr/img/myroom/c_01.gif' width='98' height='4' ></td></tr><tr><td align='center' background='http://c1img.cyworld.co.kr/img/myroom/c_02.gif'><table width='100%' border='0' cellpadding='5' cellspacing='0'><tr><td class='gray'><div id='mysay3' align='center' style='filter:alpha(opacity=99)'>그저 서로의 <br>기준이 다른 <br>것일 뿐이니까<br></div></td></tr></table></td></tr><tr><td align='center' height='9' ><img src='http://c1img.cyworld.co.kr/img/myroom/c_03.gif' width='98' height='9'></td></tr></table></div><div id='W69416987' style='position:absolute;top:0;left:0;pixelwidth:400;pixelheight:200;visibility:visible;z-index:0' ><img src='http://c1img.cyworld.co.kr/img/myroom/items/1022cy_11n.gif' border='0'></div>
<div id='F69416986' style='position:absolute;top:0;left:0;pixelwidth:400;pixelheight:200;visibility:visible;z-index:0' ><img src='http://c1img.cyworld.co.kr/img/myroom/items/0630k1_004n.gif' border='0'></div>
<div id='P67684812' style='position:absolute;top:140;left:214;pixelwidth:32;pixelheight:28;visibility:visible;z-index:2' ><a href='http://www.rain9.com' target=_blank><img src='http://c1img.cyworld.co.kr/img/myroom/items/060201c.gif' border='0'></a></div>
</div></body></html>

_M#]
정상적인 div 태그와 기타 태그들이 있음을 확인할 수 있었다. 이번에는 싸이월드 방문자 추적기가 삽입된 소스를 확인하여 보았다.


악용의 소지를 막기 위해 일부 소스를 가렸다.
빨간색 라인의 윗부분은 정상적인 소스이며 아랫 부분만 삽입이 된 추적기 스크립트이다.
해당 미니룸 htm 파일이 불러지게 되면 따로 클릭을 하지 않아도 form 태그로 작성된 www.the-cy.com로 연결할 수 있는 폼을 생성하며 HTML DOM을 이용하여 자동 클릭 하여 미니홈피 접속자로 하여금 아무런 행동을 하지 않아도 IP나 로그인한 접속자의 정보가 www.the-cy.com으로 전달이 되어지게 된다. 또한 태그의 사이사이에 *을 넣어 IDS(침입탐지시스템)를 우회하는 것으로 예상이 된다.

어떻게 미니룸에 이런 스크립트가 삽입이 가능해졌을까? 고민해보다가 주변 사람들에게 물어보았다. 싸이월드 선물가게로 가면 셀프아이템이라는 메뉴가 있고, 그 곳을 통해 자신이 직접 미니룸이 제작이 가능하다고 한다.(Injection Vector로 예상이 된다.)


추가적으로 싸이월드 방문자 추적기를 단 사람들을 추적한다는 역추적기 프로그램을 이용해보았다. 1월 29일날 나왔으면 비교적 최근에 제작된 프로그램인데 해당 방문자 추적기를 달고 있는 사이트를 찾아내지 못하였다. 프로그램의 분석 방법은 생략한다.

최종 결론으로는 싸이월드 방문자 추적기를 지금까지 간단한 방법을 통한 단순한 장난으로 생각하고 있었는데, 지금 확인을 해보니 전문 크래커(악의가 있으므로 해커라고 하지 않겠다.)에 의해 정밀 분석되어 싸이월드를 타겟으로 만들어진 것임을 알 수 있었다.

단순한 장난이 아닌 전문 돈벌이가 되는 것이다.
싸이월드 가입자가 1000만명을 넘는 상황에 1/1000인 1만명이 싸이월드 추적기를 달았다고 가정해보자.
1만명이 추적기를 달고 월 3000원씩 내고 사용한다고 치면, 월 30,000,000원(삼천만원)의 수입을 거둘수 있다. 1년이면 4억의 돈을 벌 수 있다.

싸이월드 방문자 추적기는 불법이며 추적기를 사용한 사람마저도 처벌의 대상이 될 수 있으므로 사용하지 않는 것이 좋겠다.
해당 방문자 추적기는 SK컴즈쪽 지인에게 알려주었다.

추가. 지인이 확인결과 과거에 삽입이 된 스크립트이며 지금은 해당 방법이 되지 않는다고 한다.


`싸이월드 방문자 추적 프로그램` 불법판매' 뉴스
http://www.dt.co.kr/contents.html?article_no=2008042802010251713002

aqrgn08052

2009.03.21
11:36:42
(*.213.233.86)
신종 전문화된 싸이월드 방문자 추적기

싸이추적기 직접으로 설치가능합니다.

주소는 http://cvr.je.ro/ 로 들어오세요~

엔신

2009.03.21
14:50:08
(*.218.189.44)
음...........
좋은 정보 감사합니다.. :)

MAX_Hack (승진님)

2009.04.11
05:29:27
(*.139.14.3)
직접 설치가 가능하다자나 ㅋㅋㅋㅋㅋㅋㅋ
엔신아 -ㅅ- 잘 살고 있니

엔신

2009.04.11
12:58:00
(*.248.92.170)
잘은 못살고... 그럭저럭 살고는 있어요..
제 블로그까지 행차하여 주시다니 영광으로 알겠읍니다...
그리고 메신져에서 보면서...ㅡㅡ;
형이 맨날 피곤해 해서 그렇져..

신지윤

2009.12.13
22:16:26
(*.54.214.226)

"비밀글입니다."

:

엔신

2009.12.15
10:02:57
(*.131.117.149)
얼굴도 미인이신분이 그런걸 왜 하실려고...
지금은 다 막혀서 사용이 불가능하다고 하구요
기존에 사용하던 사람들은 찾아서 없애고 있다고 합니다.
그러니 못하신다고 보는 수밖에 ㅎㅎ
위에도 보이지만 불법이라 처벌 받을수 있습니다
List of Articles
번호 제목 글쓴이 날짜 조회 수
160 Windows Windows Vista의 볼륨 섀도 복사본 관리 또는 백업 파일 추출 file 엔신 2009-04-16 25256
159 ETC SK브로드밴드 주택광랜(100M) 가입~ file 엔신 2009-04-08 9965
158 Incident Response Dcode - Forensic Date/Time Decoder file 엔신 2009-04-05 13109
157 Malware Zero Wine Malware Analysis Tool [4] file 엔신 2009-04-05 23165
156 Security ARP Spoofing(ARP Cache Poison) 참고 file 엔신 2009-03-31 24880
155 Wireless WirelessKeyView 엔신 2009-03-21 9734
154 RCE [Unpack] MEW 11 1.2 -> NorthFox/HCC file 엔신 2009-03-20 19541
153 RCE [Unpack] UPX_+_UNOpix_Scrambler 1.10 secret 엔신 2009-03-18  
152 RCE [Unpack] USSR_0.31 [2] [1] file 엔신 2009-03-17 13091
» Security 범죄적으로 지능화된 싸이월드 방문자 추적기 [6] file 엔신 2009-03-16 23886
150 RCE [Unpack] VCrypt0[1].9b 엔신 2009-03-14 9409
149 Malware 악성코드 정의 엔신 2009-03-14 13611
148 Malware [Trojan] Tigger/Syzor.A file 엔신 2009-03-13 9987
147 Windows VMware VMwareDnD 폴더 엔신 2009-03-07 37292
146 Malware BlackEnergy_DDoS_Bot_분석 [2] file 엔신 2009-02-25 9184
145 RCE [MUP] UPX & Stolen Bytes [2] file 엔신 2009-02-17 40757
144 Linux Linux find 명령어 완전 정복 가이드 엔신 2009-02-10 9593
143 RCE vmware에서 Kernel Debugging 하기 엔신 2009-01-31 20163
142 DBMS mysql 설치 후 root 비밀번호 설정, db 생성 엔신 2009-01-31 12731
141 Security base64 code 표 file 엔신 2009-01-20 57347