http://researchcenter.paloaltonetworks.com/2015/07/watering-hole-attack-on-aerospace-firm-exploits-cve-2015-5122-to-install-isspace-backdoor/
CVE-2015-5122 취약점을 이용하며, NFlog Backdoor의 진화 버전으로 해석하고 있다. Windows 7 x32, x64 별 동작이 다르며, XP 또한 동작이 다른 것으로 확인된다고 한다.
HTTP POST 이용하여 C&C 통신을 진행하며, 특정 URI 값과 Body에 암호화를 통해 전송하는 방식을 이용한다고 한다.
초기 접속을 탐지하기 위한 Snort는 Emerginthreat에서 제공하고 있으나 정/오탐 판별은 필요해보인다.
http://doc.emergingthreats.net/bin/view/Main/2020924
C&C를 HTTP POST 형태로 진행하는 과정에서 해당 URI의 depth? 계산 혹은 미스(?)에 따라 URI의 Slash가 // 와 같이 2개가 보이는 경우도 있다고 한다. 이런 상황이 흔할지는 모르지만, 체크해둘만 하다.
단순 특정 부분의 URI를 통한 Snort 탐지는 모니터링은 가능해보이나 실제 적용하기에는 어려움이 없지 않나 생각된다.