최근 수정 시각 : 2022-01-31 17:59:15

포이즌아이



파일:PoisoneyeDraft.png
https://poisoneye.info
1. 개요2. 활동3. 바이러스 제로 : 시큐리티 커뮤니티 보고서4. 악성코드 동향 보고서5. 여담6. 제작자의 말

1. 개요

포이즌아이는 국내 악성코드 정보 탐지, 수집, 보고 서비스를 하는 비영리 업체이다.

이 사이트에서는 악성코드에 관련한 정보를 열람할 수 있는데, 해당 자료들은 대부분 파밍 악성코드에 대한 정보와 취약점에 대한 보고가 다수 있다.

2016년부터 서비스 했던 서비스는 차츰 파밍 악성코드가 2019년 이후로 자취를 감추었기 때문에 이렇다 할 보고는 내놓지 못하고있는 실정, 최근에는 SSH공격에 정보 수집을 하여 바이러스토탈에 리포트하는 것으로 알려져 있다. 해당 홈페이지 트위터 참조 @Pois0nEy3

2. 활동

* 보고 활동

3. 바이러스 제로 : 시큐리티 커뮤니티 보고서

해당 카페에서의 보고 활동기간은 2017년 2월 17일을 처음으로 2017년 4월 16일까지 악성코드에 대한 동향정보를 보고하였다. (후에는 동향만 가끔 올라온 정도)

보고서는 주로 웹 악성코드, 파밍, 안드로이드 악성코드, 스미싱, 취약점경고, 잠재위협에 대해 보고한 내용이 있어 악성코드 트랜드에 대한 현 역사를 뒤집기에 괜찮은 보고서이다. (해당 보고서중 디시인사이드에 잠재적 위협 의심 코드를 찾아내기도 했다)

2017년 문서를 열람하고싶다면 링크참조

4. 악성코드 동향 보고서

악성코드 동향 보고서는 2017년부터 2019년까지 보고하였다. 이때 당시 악성코드 동향보고서는 돈주고 사는 수준이였다..!

하지만 파밍 악성코드가 자취를 감추고, 탐지가 힘든 랜섬웨어의 증가와 몸캠피싱과 같은 웹이 아닌 다른 매체에서의 악성 활동으로 동향보고서가 올라오지 않고 있다.

마지막 보고는 MASS SQL INJECTION으로 시시콜콜한 보고가 마지막이다.

동향 보고서 열람은 링크참조

5. 여담

해당 악성코드 정보제공 서비스를 할 때만 해도 여러 탐지업체가 있었는데, 모든 업체가 해당 악성코드 탐지로 장비와 정보를 팔아먹던 업체들이 성행했었다.

보통 네트워크 장비중 OSI 모형중에 레이어 2/4 계층은 아이피를 통째로 막거나 도메인을 막아 위협이 되는 사이트를 전면 차단하는 장비인데, 레이어 7계층 부터는 URI를 차단할 수 있어 사이트 전체를 막지않고, 악성코드 유포자가 만든 URI를 차단해 사이트 이용에는 정상이고, 악성 페이지만 막는 방식의 운영을 했었다.

이로인해 탐지영역은 굉장히 세밀하고 정확하면서도 검증된 절차를 거쳐 고객사 장비에 실시간으로 업데이트 되었는데 실상은 적자에 시달려서 서비스를 포기한 업체가 많았다. (획기적이지만 검증을 하는 인력이 24시간 상주해야했다.)

현재는 블로그에 간간히 파밍 악성코드를 분석한 내용과 일부는 유포자의 C&C(Command & Control)서버를 역해킹하여 해당 자료를 공개하고 있는 것으로 알려져 있다. 수위가 굉장히 위험해 국정원이 연락할까 무서울정도

해당 사이트 운영자 블로그 : 티스토리

6. 제작자의 말

2019년 바이러스 제로 : 시큐리티 커뮤니티 정모에서 아무개회원이 포이즌아이의 운영자를 알아보고 탐지 방식에 대해 여러가지를 물어보았다. 해당 내용중 발췌한 내용은 아래와 같다.
Q.탐지 방식이 어떻게 되는가 ?
A. 크롤러가 특정 코드나 패턴을 찾아낸다
Q.어떻게 업체보다 빨리 찾아내기도 하고, 같은 퍼포먼스를 보일 수 있는가 ?
A.최적화의 차이와 케이스를 많이 보게되면 어떤 사이트가 어떻게 배포하는지 예상이 간다
Q.말이 되는가 ? 악성코드 유포자의 마음을 알기라도 하는가 ?
A.아니다, 악성코드 유포는 굉장히 체계적이다. 예를 들어 설날과 같은 명절에는 선물, 여행과 같은 키워드를 가지고있다. 그런 서비스를 하는 곳이 유포지 대상이 된다.
Q.정확하게 말해줄 수 있는가 ?
A.악성코드 유포 공격은 시기적 요인, 계절적 요인과 같은 '타이밍' 따위가 있다. 악성코드 유포는 짧은 시간안에 유포해야 하기 때문에 방문자에 민감하고, 그들은 유포 전에 유포할 홈페이지에 방문자 카운트 링크를 심어 방문자수를 조사하고 유포를 결정한다.
Q.위와 같은 요인들로 탐지 스케줄이 정해져 있는가 ?
A.그렇다. 탐지 스케줄링은 요일별로 시기적, 계절적 요인을 데이터화 하여 그룹으로 만들었고, 어떤 시기에 얼마나 자주 웹 사이트를 스캔할지 정해놓는다.
Q.그렇다면 탐지업체가 못잡아 내는 정보를 잡는건 어떻게 잡은 것 인가 ?
A.탐지업체는 무식하다. 그렇지 않은곳도 있지만 업체들은 모든 웹사이트를 스캔하기 때문에 모든 링크를 본다는것은 불가능에 가깝고, 그 만큼 탐지 시간도 늦어지게된다. 그런 이유로 대부분의 탐지업체는 웹사이트의 메인 페이지, 또는 페인페이지에서 연결된 링크의 1단계까지 본다. 내가 설계한 크롤러는 모든 링크를 본다.
Q.내가 알기로는 포이즌아이의 운영자는 개발자 출신이 아닌걸로 안다, 어떻게 업계보다 우월한 퍼포먼스를 개발했는가 ?
A.개발자는 아니지만 무엇을 봐야하고 어떻게 찾아야 하는지 알고있다. 앞서 말했듯 나는 그것에 초점을 맞춰 내 크롤러에 유도한것 뿐이다.
Q.왜 이런걸 만들고 창업을 하지 않는가 ?
 A.2017년부터 업체들은 치킨게임을 하고있었다. 내가 그 물을 흐트려 주겠다고 다짐했다. 업체들을 비웃는건 아니지만 적어도 연간 수천만원 돈을 주면서 정보를 제공하려면 값어치는 해야할 것 같다. 나 보다 못잡는 업체들은 돈받을 가치가 없으니 무료로 최신 악성코드 정보 공개를 해서라도 조지고 싶었다.
2019년 바이러스 제로 : 시큐리티 커뮤니티 정모에서