UBlock Origin은 이제 네트워크 포트 스캔 차단을 지원합니다.

최근, 로컬 호스트 포트 스캔을 수행하는 특정 웹 사이트에 대한 정보가 공개되었습니다. 방문자에 대해 이는 지문 및 사용자 추적 또는 봇 탐지의 일부로 "추정"됩니다.

해당 웹 사이트 내에서만 가장 인기있는 로컬 포트 ​​스캔을 수행하는 eBay.com 사이트입니다.

또한 이 관행은 eBay 및 다른 많은 사이트에 국한되지 않습니다 (Citibank, TD Bank, Sky, GumTree, WePay 등) 포트 스캔 사용사용자의 로컬 시스템에서 페이지를 열 때 ThreatMetrix가 제공하는 해킹 된 컴퓨터에 대한 액세스 시도를 감지하는 코드를 사용합니다.

eBay의 경우 14 개의 네트워크 포트가 확인되었습니다. VNC, TeamViewer, Anyplace Control, Aeroadmin, Ammy Admin 및 RDP와 같은 원격 액세스 서버와 연결됩니다.

이 검사는 봇넷을 사용한 사기 구매를 방지하기 위해 시스템의 영향을받는 맬웨어의 징후가 있는지 확인하기 위해 수행 될 가능성이 높습니다. 스캔을 사용하여 간접 사용자 식별을위한 데이터를 얻을 수도 있습니다.

이 전에 uBlock Origin 개발자는 문제에 대한 조치를 취하기로 결정했습니다.EasyPrivacy에서 로컬 사용자 시스템의 네트워크 포트를 검색하는 표준 스크립트를 차단하는 규칙을 추가했습니다.

스캔에는 기술이 사용됩니다. 시도에 따라 호스트 127.0.0.1의 다양한 네트워크 포트에 대한 연결 설정 (로컬 호스트) WebSocket을 통해.

포트 스캔은 침투 테스터 또는 해커가 인터넷에 연결된 컴퓨터를 스캔하고 네트워크에서 수신하는 응용 프로그램이나 서비스를 확인하기 위해 종종 사용하는 대립적인 기술로, 일반적으로 특정 공격을 수행 할 수 있습니다. 보안 소프트웨어가 활성 포트 스캔을 감지하고이를 악용 가능성으로 표시하는 것은 일반적입니다.

개방형 네트워크 포트가 있는지 여부는 활성 및 사용하지 않는 네트워크 포트에 연결할 때 오류 처리의 차이에 의해 간접적으로 결정됩니다.

WebSocket은 HTTP 요청 만 보낼 수 있습니다. 그러나 유휴 네트워크 포트에 대한 유사한 요청이 즉시 실패하고 활성 포트에 대한 연결 협상 시도가 잠시 후에 실패합니다. 또한 비활성 포트의 경우 WebSocket은 코드를 생성합니다. 연결 오류 (ERR_CONNECTION_REFUSED), 활성 포트의 경우 연결 협상 오류 코드.

웹 소켓을 구성 할 때 대상 호스트 및 포트 지정, 스크립트가 제공되는 도메인과 같을 필요는 없습니다. 

포트 스캔을 수행하려면 스크립트는 개인 IP 주소 만 지정하면됩니다. (예 : localhost) 및 스캔 할 포트.

포트 스캔은 실행중인 소프트웨어에 대한 정보를 웹 사이트에 제공 할 수 있습니다. 많은 포트에는이를 사용하는 잘 정의 된 서비스 집합이 있으므로 열려있는 포트 목록은 실행중인 응용 프로그램에 대한 좋은보기를 제공합니다. 

예를 들어 Steam (게임 상점 및 플랫폼)은 포트 27036에서 실행되는 것으로 알려져 있으므로 해당 포트가 열려있는 것을 확인하는 스캐너는 사용자가 웹 사이트를 방문하는 동안 Steam이 열려 있다는 것을 합리적으로 확신 할 수 있습니다.

포트 스캔 외에도 WebSocket은 웹 개발자 시스템을 공격하는데도 사용될 수 있습니다. 로컬 시스템에서 React 애플리케이션 용 WebSocket 드라이버를 실행합니다.

외부 사이트는 네트워크 포트를 반복하고 그러한 컨트롤러의 존재를 확인하고 연결할 수 있습니다.

오류 메시지와 타이밍 공격에 대한 검사 사이에서 사이트는 특정 포트가 열려 있는지 여부에 대해 꽤 좋은 아이디어를 얻을 수 있습니다.

개발자가 실수를하면 공격자는 디버그 데이터의 내용을 얻을 수 있습니다., 여기에는 단편적인 기밀 정보가 포함될 수 있습니다.

그것에 대해 더 알고 싶다면, 다음 게시물을 참조 할 수 있습니다.

출처 : https://nullsweep.com/