SomeNotes247

검색 광고를 이용한 피싱 요즘 가상화폐 시세가 오르니까 잠잠하던 관련 피싱(phishing)이 고개를 들고 있다. 요 며칠 새 메타마스크(MetaMask) 사용자를 노린 피싱이 많은 피해자를 만들고 있어, 메타마스크는 공식 트위터 계정을 통해 경고를 했다(참2). 하지만 대응이 너무 늦었다는 비판이 많다. 위 그림(참2)은 구글에서 metamask를 검색한 결과이다. 공식 주소인 metamask.io보다 가짜 사이트가 먼저 나온다.  이는 검색 엔진들이 검색 광고(search ad)를 운영하기 때문이다. 특정 키워드에 대해 광고비를 지불하면 검색 결과 상단에 노출시켜 준다. 구글뿐만 아니라 네이버 등 모두 마찬가지다. 문제는 검색 광고를 누구라도 살 수 있다는 점이다. 가짜 사이트를 등록해 피싱에 이용할 수 있다. 오래돼고 많이 이용되는 수법이다. 검색 광고는 일반 검색 결과와 구별되도록 표시를 하게 돼 있다. 그림에서도 Ad라고 명시돼 있다. 그리고 url을 보면 공식 주소와 다르다는 것을 알 수 있다.  대부분 공식 주소를 정확히 모르기 때문에 검색을 할 것이다. 이런 경우 광고 표시가 된 링크를 피하고, 일반 검색 결과를 클릭해야 한다. 이번 사건과는 별개의 문제이지만, 출처가 불분명한 게시판, 메일, 메시지 등의 링크를 클릭하지 말아야 하는 것은 물론이다. 만약 속아서 가짜 메타마스크 사이트에 접속하면 어떻게 될까. 정교하게 제작된 피싱 사이트들은 눈으로는 구별하기 어렵다. 메타마스크는 브라우저 확장 프로그램으로, 이를 통해 새 이더리움 지갑을 만들거나, 기존의 지갑을 가져올(import) 수 있다. 이때 가상화폐 주소의 key, 즉 암호를 입력해야 한다. 이 키는 지갑을 지키는 유일한 수단이다. 그런데 가짜 사이트에서 가짜 메타마스크를 설치하면, 이 키가 해커에게 넘어간다. 해커는 가상화폐를 맘대로 훔쳐갈 수 있다. 참고 자료 1. MetaMask phishing steals cryptocurrency wallets via Google ads 2. P

트릭봇(TrickBot)은 근래 가장 활발히 활동하는 악성코드 중의 하나다. 정보 탈취부터 랜섬웨어 등 다른 악성코드 설치까지 다용도로 활용되고 있다. 이제는 UEFI를 감염시키는 모듈까지 추가됐다. 이를 트릭부트(TrickBoot)라고 한다. UEFI는 PC 메인보드의 펌웨어(firmware)로, 이전에는 BIOS라고 하던 것이다. 시스템 시작 시 가장 먼저 실행된다. Windows 등 운영체제보다 먼저 실행되기 때문에, 이것이 악성코드에 감염되면, 보안 소프트웨어가 탐지하거나 제거하기 어렵다. 또한 부팅 과정에서 운영체제 자체를 변조하고, 보안 기능들을 해제할 수 있다. UEFI는 메인보드에 별도의 SPI Flash memory 칩에 있기 때문에, 운영체제를 재설치하거나 SSD/HDD 등 저장장치를 교체해도 악성코드를 제거할 수 없다. 이런 공격을 막기 위해 UEFI에는 쓰기 방지 기능이 있다. 정당한 UEFI image인지 확인하는 매커니즘도 있다. 문제는 PC나 메인보드 제조사에 따라, 이런 기능이 비활성화된 경우가 있고, 활성화됐더라도 취약점이 있는 경우가 있다는 점이다. UEFI에는 부팅 과정에 악성코드가 실행되는 것을 방지하는 보안 부팅(Secure Boot) 기능이 있다. 그러나 TrickBoot는 UEFI 자체를 감염시키기 때문에 보안 부팅이 도움이 되지 않는다. TrickBoot는 UEFI를 감염시키기 위해 RWEverything, fwexpl 등 기존의 앱을 사용했다. 그리하여 UEFI를 읽고, 쓰고, 아예 지워버릴 수도 있다. 백도어 등 악성코드를 설치하는 것은 물론, PC를 부팅 불가로 만들 수도 있는 것이다. UEFI를 감염시키는 악성코드는 매우 드물다. 아직까지는 LoJax와 MosaicRegressor가 전부였다. 게다가 이들은 고도로 표적화된 공격에만 사용됐다. 반면에 TrickBot은 무차별적으로 대량 공격을 하는 봇넷이다. 일반인들도 UEFI 공격에 노출된 것이다. UEFI를 보호하기 위해서는 쓰기 방지를 활성화하고, 알려진

파일 없는 악성코드(fileless attack) 요즘 독일에서 가짜 게시판 글을 통해 악성코드를 퍼뜨리는 사례가 많다. 아래 그림(참2)과 같은 모양을 하고 있는데, 낯이 많이 익은 모습이다(관1). 수법도 동일하다. 정상 사이트를 해킹해 가짜 글이 먼저 나타나게 하거나, 가짜 사이트를 만든 후 SEO poisoning 기술을 썼다. SEO poisoning은 검색 엔진을 속이는 것으로, 특정 검색어를 검색 사이트에서 검색하면 악성 사이트(가짜 혹은 광고하려는 사이트)가 상단에 나타나게 된다. 이에 속은 방문자가 링크의 압축 파일을 다운로드하고, 그 안에 있는 자바스크립트 파일을 실행하면 악성코드에 감염된다. 이 작전에서는 Gootkit이라는 트로이 목마나 Sodinokibi(관2, REvil이라고도 함) 랜섬웨어를 유포하고 있다. 주목할 점은, 파일 없는 악성코드 기법을 쓴 점이다. 별도의 exe 실행 파일을 생성하지 않는다. 악성코드는 암호화되어 txt 파일이나 레지스트리의 무작위한 위치에 저장된다. 이것을 Windows Powershell을 이용해, 메모리에서 바로 복호화하고 실행한다. 이 때문에 많은 보안 앱이 탐지를 못하거나, 탐지해서 차단하더라도 완전히 제거하지는 못하는 일이 생기고 있다. 이에 대한 보고서(참2)를 발표한 Malwarebytes의 제품은 레지스트리에 남은 잔당까지 완전히 소탕한다고 한다. 관련 자료 1. 무료 다운로드로 위장한 악성코드 2. 악성코드가 UAC 알림을 계속 나타낸다 참고 자료 1. Gootkit malware returns to life alongside REvil ransomware 2. German users targeted with Gootkit banker or REvil ransomware

갤럭시A 퀀텀은 해킹 불가능? 지난 6월, 삼성전자는 갤럭시A 퀀텀을 출시했다. 이는 세계최초로 양자보안 기술을 적용한 스마트폰이라며, 해킹이 불가능하다고 광고됐다. 그때 이게 말이 돼? 하는 의구심이 들었지만, 관심 없던 기종이라 별 생각 없이 넘어갔다. 그런데 반 년이 지난 며칠 전, 이런 자료(참 1,2)가 눈에 띄었다. 양자보안이라 하기도 어렵고, 실제 해킹 방지 효과도 거의 없다는 것이다. 양자암호를 이용한 보안은 해커가 추론하기 어려운 강력한 암호 키를 일회성으로 생성하여 송/수신자가 공유하고, 해킹 시도 시 암호 키가 자동으로 파괴되어 해킹을 차단한다. 통신 인프라에 적용하여 도청이나 감청을 방지하는 데 활용이 시작되고 있다. 그러나 갤럭시A 퀀텀에 적용된 양자 기술이란 것은 강력한 암호 키를 생성하는 데 그친다. 실제 스마트폰 해킹은 악성코드에 의한 것이 대부분이라는 점에서 무용지물인 셈이다. 공인인증서를 예로 들어 보자. 공인인증서는 일종의 개인 암호 키인데, 이것이 해킹당했다는 뉴스를 가끔 볼 수 있다. 그러나 이것은 공인인증서의 암호화 알고리즘이 뚫리는 것이 아니다. 공인인증서의 암호화는 양자 생성기 없이도 지금도 충분히 강력하다. 공인인증서를 복호화(decrypt)하는 또 다른 키인 사용자 암호가 약한 고리인 것이다. 다른 인증 수단들도 마찬가지로 password, PIN, 혹은 생체 정보 등 고정된 요소가 brute force 공격이나 도용에 의해 해킹 당하는 것이다. 또한 스마트폰에 있는 악성코드는 인증을 마친 정당한 사용자가 사용하는 도중에도 정보를 탈취한다. 이런 악성코드는 사용자를 속여 자발적으로 설치하게 만들거나, 시스템의 취약점을 이용해 사용자 몰래 설치된다. 양자보안이 힘을 쓸 수 있는 영역이 아니다. 한참 늦었지만, 혹시나 해당 기종 사용하는 분들 중에, 이런 사실을 모른 채 기본적인 보안 수칙을 소홀히 하는 일이 있지 않을까 하는 생각에 적어본다. 참고 자료 1. 세계 첫 양자보안폰? 갤럭시A 퀀텀에 학계는 '갸

시스코(Cisco)의 영상 회의 소프트웨어인 웨벡스(Webex)에 있던 심각한 취약점이 오늘 공개됐다. 시스코는 이미 패치를 내놨으므로, 웨벡스 사용자는 바로 업데이트해야 한다. 유령 참가자(ghost participants)는 웨벡스 미팅에 초대받지 않았고, 참가자 목록에 보이지도 않는다. 그러나 정상적인 참가자와 마찬가지로 음성, 영상, 문자 채팅, 화면 공유에 완전히 접근할 수 있다. 이 취약점은 CVE-2020-3419로 등록됐다.  유령 참가자는 또한 미팅에서 추방된 이후에도 음성 연결은 계속 유지된다. 이 점은 CVE-2020-3471이다. 유령 참가자는 미팅 대기실(meeting room lobby)에서 참가자들의 정보를 볼 수 있다. 여기에는 이름, 이메일 주소, IP 주소 등이 포함된다. 이 점은 CVE-2020-3441이다. 참고 자료 1. Cisco fixes WebEx bugs allowing 'ghost' attackers in meetings

Veraport 사용 사이트에 대한 공급망 공격 Wizvera의 보안 소프트웨어인 Veraport를 이용해, 사이트 방문자의 PC에 악성코드를 설치하는 북한 해커단 Lazarus의 공격이 ESET에 의해 포착됐다. 베라포트는 금융이나 정부 사이트 등에서 많이 볼 수 있는데. 이들 사이트를 이용하려면 강제로 설치해야 하는 여러 보안 모듈을 한번에 설치하는 통합 설치 앱이다. 베라포트는 설치할 프로그램 목록과 다운로드 URL을 포함하는 구성 파일(configuration file)을 사용하는데, 해커는 그 다운로드 위치에 있는 정상 프로그램을 악성코드로 바꿔치기했다. 즉 베라포트를 해킹한 것이 아니라 이를 사용하는 사이트를 해킹한 것이다. 예를 들어, A 은행 사이트가 베라포트를 통해 B 키보드 보안 앱을 제공한다고 하자. 해커는 A 사이트를 해킹해 보안 자료실에 있는 B를 악성코드로 바꿔놓는 것이다. A에 방문한 이용객의 PC는 악성코드에 감염된다. 베라포트는 유명한 앱이므로 보안 경고에 의심없이 수락할 것이다. 베라포트는 구성 파일에 있는 각 프로그램을 설치할 때, 기본적으로 디지털 서명을 확인한다. 그러나 디지털 서명에 사용된 인증서가 유효한지만 확인할 뿐, 소유자는 확인하지 않는다. 라자루스는 다른 곳에서 훔친 인증서를 사용해, 베라포트의 검증을 통과했다. 탈취된 인증서 중에는 Dream Security라는, 한번쯤 들어본 듯한 보안 회사의 것도 있었다. 베라포트는 설치할 프로그램의 해시값을 검증하는 옵션도 제공한다. 이는 선택 사항인데, 활성화하면 이런 식의 해킹을 상당히 어렵게 하는 효과가 있다. 프로그램을 1 글자만 바꿔도 해시값이 달라지기 때문이다. 이 작전의 최종 페이로드는 원격제어 툴이다. 가짜 보안 모듈은 윈도우의 기본 프로세스인 svchost.exe를 감염시켜 RAT(Remote Access Tool)를 설치한다. PC의 제어권이 해커의 손에 완전히 넘어가는 것이다. 참고 자료 Trojanized Security Software Hits So