보이지 않는 유니코드 문자를 사용하여 JavaScript 코드에서 동작 숨기기

양방향 텍스트의 표시 순서를 변경하는 유니코드 문자 사용을 기반으로 하는 Trojan Source 공격 방법에 이어 JavaScript 코드에 적용할 수 있는 숨겨진 동작을 도입하는 또 다른 기술이 게시되었습니다. 새로운 방식은 글자지만 눈에 보이는 내용이 없는 유니코드 문자 "ㅤ"(코드 0x3164, "HANGUL FILLER")의 사용을 기반으로 합니다. 이 문자가 속한 유니코드 범주는 JavaScript 변수 이름에 사용하기 위한 ECMAScript 2015 사양 이후로 허용되어 Notepad++ 및 VS Code와 같은 널리 사용되는 코드 편집기에서 보이지 않는 변수 또는 다른 변수와 구별할 수 없는 새 변수를 만들 수 있습니다.

예를 들어 Node.js 플랫폼에 대한 코드가 제공되며 단일 문자 "ㅤ"로 구성된 변수를 사용하여 공격자가 지정한 코드를 실행할 수 있는 백도어가 숨겨집니다. app.get( '/network_health', async (req, res) = > { const { timeout,ㅤ} = req.query; // 실제로는 "const { timeout,ㅤ \u3164}"라고 합니다. const checkCommands = [ 'ping -c 1 google. com', 'curl -s http:// example.com/',ㅤ // 쉼표 다음에 \u3164 ];

언뜻 보기에 외부 매개변수를 통해 타임아웃 값만 전달되고 실행할 명령이 포함된 배열에는 무해한 고정 목록이 포함되어 있습니다. 그러나 실제로는 타임아웃 변수 이후에 심볼 코드 \u3164를 가진 또 다른 보이지 않는 변수의 값이 할당되며, 이 역시 실행 가능한 명령의 배열로 대체됩니다. 따라서 이러한 구조가 있는 경우 공격자는 백도어를 활성화하고 코드를 실행하기 위해 "https://host:8080/network_health?%E3%85%A4=command"와 같은 요청을 보낼 수 있습니다.

또 다른 예로 문자 "ǃ"(ALVEOLAR CLICK)가 주어져 느낌표를 나타내는 모양을 제공하는 데 사용할 수 있습니다. 예를 들어 Node.js 14에서 실행될 때 "if(environmentǃ=ENV_PROD){" 표현식은 차이를 확인하지 않고 "environmentǃ" 변수를 ENV_PROD로 설정하기 때문에 항상 참입니다. 오해의 소지가 있는 유니코드 문자에는 "／", "−", "＋", "⩵", "❨", "⫽", "꓿" 및 "∗"가 있습니다.

출처 : opennet.ru