SomeNotes247

구글 플레이 외부 서버 사용 Google Play에서 6억 건 이상의 설치 횟수를 기록 중인 인기 브라우저 UC Browser가 악용될 위험성이 있음이 밝혀졌다. 유씨 브라우저는 중국 알리바바 계열인 UCWeb에서 개발했다. 플레이 스토어의 규정은, 앱이 외부 서버를 이용해 업데이트하거나 실행 파일을 다운로드하지 못하도록 하고 있다. 이를 허용하면 사실상 구글의 보안 검색을 유명무실하게 만드는 것이므로, 제한하는 것이 당연하다. 그러나 UC Browser는 이 규정을 위반해, 개발사 자체 서버에서 실행 모듈을 다운로드하고 업데이트할 수 있는 기능을 몰래 가지고 있었다. 이 점은 악성코드에 가까운 요소이다. 중간자 공격에 취약 게다가 자체 서버에 연결할 때, 암호화가 안된 http 통신을 사용함으로써 MiTM(Man-in-The-Middle) attack에 취약하다. 업데이트 트래픽이 암호화가 안되기 때문에, 해커가 중간에서 가로채서 악성코드를 삽입할 수 있다. 변조 여부를 판별하는 절차도 없다. 자매품인 UC Browser Mini는 플레이 약관 위반은 마찬가지지만, 중간자 공격 취약점은 없었다. PC용 UC Browser도 중간자 공격에 취약했다. 윈도우 데스크탑용 프로그램은 원래 권한이나 어떠한 제한도 없기 때문에, 자체 서버를 사용하는 것은 당연하다. 참고 자료 UC Browser for Android, Desktop Exposes 500+ Million Users to MiTM Attacks  

공급망 공격에 당해 에이수스의 업데이트 서버가 해킹 당해, 라이브 업데이트 유틸리티에 악성코드가 삽입돼 배포됐다. ASUS Live Update는 BIOS, UEFI, 드라이버, 전용 앱 등을 자동으로 업데이트 하는 프로그램으로, 에이수스의 PC에 사전 설치돼 있다. 대형 PC 제조업체는 대부분 이런 툴을 제공한다. 이 supply-chain attack은 2018년 6~11월에 걸쳐 진행됐다. 이 기간에 공식 홈페이지에서 라이브 업데이트를 다운로드한 사람들은 악성 버전을 받은 것이다. Kaspersky는 올 1월에 이를 발견했고, Operation ShadowHammer라고 불렀다. 에이수스는 세계 5위권 안에 드는 대형 PC 업체로, 카스퍼스키는 악성 버전을 다운로드한 사람이 1백만 명이 넘을 것으로 추산했다. 섀도우해머 작전에 동원된 악성코드, 즉 트로이 목마가 된 라이브 업데이트 유틸리티는 다수의 버전이 발견됐다. 그리고 특정한 대상만을 노린 것이 특징이다. 악성코드 내에 고정된(hard-coded) MAC Address 목록을 갖고 있으며, 이에 일치하는 PC에서만 악성 행위를 수행한다. 카스퍼스키는 200 여 개의 샘플에서 600개의 맥 주소를 추출했다. 또한 이 악성 버전은, 에이수스의 업데이트 서버에 있는 합법적인 인증서로 디지털 서명돼 있다. 사용자의 의심과 보안 앱의 탐지를 피하려는 것이다. 하드코딩된 맥 주소를 가진 PC에서는 해커의 C2 서버에 접속해 payload, 즉 본격적인 악성코드를 다운로드한다. 그러나 이 작전은 발견되기 전에 이미 종료됐기 때문에, 카스퍼스키는 페이로드를 입수하지는 못했다. ASUS는 지원 페이지를 통해 진단 도구와 업데이트된 버전을 제공하고 있다(참2). 참고 자료 ASUS Live Update Infected with Backdoor in Supply Chain Attack ASUS Live Update 안내

카운터 스트라이크 취약점 이용한 악성코드 발견 Counter-Strike는 2000년에 발매된 게임인데, 20년 가까이 지난 지금도 적지 않은 사용자를 갖고 있으며 Steam에서 서비스되고 있다. 그러나 업데이트 같은 지원은 중단된 상태다. 그런데 카운터 스트라이크의 클라이언트 앱, 즉 사용자 PC에 설치된 게임 프로그램에 원격 코드 실행이 가능한 취약점이 있고, 실제 이를 이용한 악성코드가 널리 퍼지고 있는 것이 발견됐다. Belonard라는 이 악성코드는 악의적인 게임 서버를 통해 게이머의 PC를 감염시킨다. 악성 서버에 접속하는 것만으로 감염되고, 사용자의 별다른 상호작용은 필요치 않다. 게임 서버를 운영하는 것은 돈이 되는 비즈니스다. 서버에서 추방당하지 않는 특권, 특수 무기 취득 등 비정상적인 권한을 판매하는 것이 그 예다. 그렇기 때문에 게임 서버 운영자는 스스로 하든 광고 서비스를 이용하든, 자신의 서버의 인기와 순위를 높이기 위해 노력한다. 벨로나드 악성코드는 해커 자신과 타인의 게임 서버를 광고하기 위한 봇넷을 형성하기 위한 것이다. 악성 서버에 접속하는 것만으로 감염 벨로나드는 게임 앱에 저장된 서버 리스트를 자신이 광고하는 서버 리스트로 대체한다. 그리고 감염된 PC를 프록시 서버로 만들어 다른 사용자들을 감염시킨다. 원리상 프록시 서버는 낮은 핑을 보이기 때문에, 접속 가능한 서버 목록에서 상위에 놓이게 된다. 따라서 다른 사용자들이 접속할 가능성이 많다. 여기에 접속하면 악성 서버로 리다이렉트 된다. 스팀의 공식 카운터 스트라이크 앱에서 접속할 수 있는 서버는 5천여 개 가량인데, 이중 39%인 1951개가 벨로나드에 감염된 악성 서버이다. 현재 이 botnet은 차단된 상태지만, 카운터 스트라이크 앱이 패치되지 않는 한 새로운 공격이 나타날 수 있다. 이번 사건은 피해자 입장에선 큰 위협은 아니었다. 그러나 원격 코드 실행 취약점이기 때문에, 해커가 마음 먹기에 따라 정보 유출이나 파괴, 금전적인 손실 등 본

12일 Intel은 graphic driver의 취약점에 대한 권고 사항을 발표했다. 20개의 취약점이 공개됐는데, 이 중 2개는 권한 상승으로 원격 코드 실행에 이르게 되는 고위험 등급이다. 이들은 직접적으로 인터넷을 통해 원격으로 악용할 수는 없는 로컬 취약점이지만, 악성코드를 매개로 간접적으로는 원격 해킹이 가능하다. 최신 드라이버의 날짜가 2018년 8월인 걸로 봐서, 오래 전에 패치된 것의 내용을 공개한 것으로 보인다. 그런데 사용자들이 인텔 드라이버 업데이트를 잘 하고 있는 지는 의문이다. 이 참에 확인을 해 보자. 인텔의 그래픽 드라이버는 찾아보기 불편하다. 따라서 지원 도우미 앱을 이용하는 것이 좋다. 인텔의 드라이버 업데이트 페이지에 보면, 자동으로 검색하는 버튼이 있는데, 이를 누르면 도우미가 설치된다. 도우미는 주기적으로 인텔의 모든 드라이버에 대한 업데이트를 검색한다. 지원 도우미에는 단점이 있다. PC 제조사가 커스터마이징한 OEM 드라이버는 검색하거나 설치를 하지 못한다. 이 때는 수동으로 다운로드해서 설치하는 수 밖에 없다. 같은 날 인텔의 다른 소프트웨어 취약점에 대한 권고안도 발표됐다. Matrix Storage Manager, Acclerated Storage Manager in RSTe(빠른 스토리지 기술 관련), SGX SDK(CPU 보안 영역 관련), USB 3.0 Creator Utility 등이 그것이다. 지원 도우미를 이용하면 한번에 모두 검색하여 설치할 수 있다. 참고 자료 Intel Fixes High Severity Vulnerabilities in Graphics Driver for Windows  

크롬캐스트 해킹에 이용 UPnP(Universal Plug and Play)는 네트워크에 연결된 장치들이 서로 인식하고 자동으로 설정할 수 있도록 하는 역할을 한다. 일일이 포트 포워드(port forward)를 하는 수고를 덜어준다. 라우터(공유기), 콘솔형 게임기, NAS, 프린터 등에 많이 사용된다. 크롬캐스트, DLNA, 스마트TV 등 미디어 스트리밍에도 사용된다. 온라인 게임, 토렌트 등 앱에서 이용하기도 한다. 반면에 해킹의 통로가 될 수 있는 위험도 있다. 자신의 존재를 드러내기 때문에 표적이 될 수 있다. 게다가 UPnP 라이브러리 자체에 취약점이 있는 것도 문제다. 원격 코드 실행(CVE-2013-0230), DoS(CVE-2013-0229) 공격 등의 취약점이 발견된 바 있다. 이들 UPnP library의 취약점은 패치가 됐지만, IoT 기기는 업데이트 지원이 잘 안되는 경우가 많다. UPnP 기능은 실제로 악용된 사례가 많이 있다. 가장 최근의 예로는 Chromecast 해킹 사건을 들 수 있다. NAT 인젝션과 UPnProxy NAT injection이라는 공격 방법도 있다. 원래 라우터는 UPnP 서비스를 LAN(내부 네트워크)에서만 제공해야 한다. 그런데 잘못 설정된 취약한 라우터들은 UPnP 서비스를 WAN(외부 네트워크)에도 노출시키고 있음이 발견됐다. 이 경우 해커는 자신을 취약한 라우터의 NAT 테이블에 끼워 넣어, 내부 IP 주소를 얻을 수 있다. 즉, 방화벽을 우회하여 내부 네트워크에 침투하는 것이다. 이렇게 되면, 내부 네트워크의 다른 장치들을 해킹할 수 있는 발판이 마련된 셈이다. 또한 이 IP 주소를 이용해 사이버 범죄를 저질러 추적을 피할 수도 있다(UPnProxy). UPnP 대신 포트 포워드 UPnP를 통한 공격을 피하려면, 공유기에서 이 기능을 끄는 것이 좋다. 필요할 땐 번거롭지만 수동으로 포트 포워드를 설정한다. 공유기에서만 UPnP를 해제하면, 연결된 다른 장치들은 신경 쓸 필