IP Address Obfuscation(난독화)

개요

난독화란 소프트웨어 측면에서 일반적인 사람들이 이해하기 어렵게 또는 역분석(Reverse engineering)을 지연시키기 위해 의도적으로 숨기는 행위입니다. 하지만 반대로 악의적인 사용자들은 "사회공학 기법", "블랙리스트 로직 우회", "익명성" 등을 위해 사용하는 경우도 존재합니다.

 

일반적으로 구글에 접속하기 위해 www.google.com  을 입력하여 지정된 DNS(Domain Name Server) 명을 통해 쉽게 접근하고 있지만 서버의 IP주소로도 동일하게 접근할 수 있습니다.

URL 인코딩을 하는 경우도 존재하지만 "http%3a%2f%2f216.58.197.196" 주소를 보시면 특수 문자열만 인코딩 될 뿐 xxx.xxx.xxx.xxx 같이 "." 점으로 구분하여 전송하는 것은 마찬가지이므로 로직에 "."을 필터링하고 있을 경우 악성 주소로 Open Redirect 같은 행위가 불가능합니다.

난독화 방식

표준 IP주소는 BASE 256 방식을 사용합니다. xxx.xxx.xxx.xxx 의 필드에서 각 옥텟은 0부터 255까지 값을 사용할 수 있기 때문입니다. 하지만 BASE 10 방식을 통해 IP주소를 변환하여 해당 결과 값을 추가적으로 인코딩하거나 HEX 형태로 주소를 표현해버리면 일반적인 사용자들 입장에서는 해당 URL 주소가 어디로 향하는지 추측하기가 힘들어집니다.

NAME: www.google.com
ADDRESS: 216.58.197.196

216 * (256)^3 + 58 * (256)^2 + 197 * (256)^1 + 196 * (256)^0

216 * (256)^3 ==> 216 * 16,777,216 ==> 3,623,878,656
58 * (256)^2 ==> 58 * 65,536 ==> 3,801,088
197 * (256)^1 ==> 197 * 256 ==> 50,432
196 * (256)^0 ==> 196 * 1 ==> 196

3,623,878,656 + 3,801,088 + 50,432 + 196 ==> 3,627,730,372
Total: 3,627,730,372

URL: http://3627730372
Hex to INT: http://0xd83ac5c4

도출된 결과 값을 통해 URL에 입력하여 접속해보면 동일하게 "구글" 사이트에 접속이 가능한 것을 확인하실 수 있습니다. 해당 주소는 브라우저마다 이해할 수 있는지는 테스트를 해봐야 하지만 대부분의 브라우저(IE, Chrome)에서는 이를 이해하고 접속이 가능합니다.

 

난독화(Python)

github.com/D4Vinci/Cuteit 해당 주소에서는 python 코드로 짜여진 간단한 난독화 도구입니다. 취약점을 테스트하다 보면 "." 필터링에 걸리게 되거나 사용해야 되는 주소를 숨겨야 할 때 유용히 사용할 수 있습니다.

# git clone https://github.com/D4Vinci/Cuteit.git 
# cd Cuteit/
# python Cuteit.py 216.58.197.196

=================================Result==================================
- Converting IP to HEX -
 Using http://0xd8.58.197.196
 Using http://0xd8.0x3a.197.196
 Using http://0xd8.0x3a.0xc5.196
 Using http://0xd8.0x3a.0xc5.0xc4
 Using http://0x00000000d8.0x0000003a.0x0000c5.0x00c4
 Using http://0xd83ac5c4
 Using http://0330.0072.0305.0304
 Using http://3627730372
 Using http://%3216%2E%358%2E%3197%2E%3196