SomeNotes247

DNS 하이재킹 DNS(Domain Name System)는 사용자가 입력한 사이트로의 인터넷 트래픽을, 실제 그 사이트의 서버로 인도하는 주소록 같은 것이다. 이와 관련된 데이터를 DNS record(DNS 정보)라 하는데, 여러 단계의 계층 구조로 관리된다. 이러한 체계를 해킹하면 사용자가 원한 사이트가 아닌 악의적인 사이트로 도달하게 할 수 있다. 이것을 DNS hijacking이라 한다. DNS 하이재킹은 인터넷의 근간을 흔드는 심각한 사안이다. 가짜 사이트로 유도한다는 점에서 피싱(phishing)과 비슷한 면도 있다. 다만 피싱은 주소 바와 SSL 인증서를 잘 살피면 알아챌 수 있다. 그러나 DNS hijacking은 주소 바에 정확하게 정상인 것처럼 보인다. 인증서를 가장하거나 탈취하면, 인증서 오류도 나타나지 않는다. 눈치 채기가 아주 어렵다. DNS 상부 체계에 대한 공격 DNS hijacking은 새로운 수법은 아니다. PC나 공유기, 기업이나 통신사의 라우터에 악성코드를 심어 DNS 관련 설정을 변경하는 사례는 많다. 이런 것은 DNS 체계의 하층부에 대한 공격이라 할 수 있다. 그런데 근래 DNS의 상층부, 핵심적인 부분에 대한 공격이 늘고 있다. 물론 이것은 아무나 할 수 있는 것은 아니고, 국가 차원의 지원을 받는 해커단의 소행이다. 1월에는 미국이 DNS hijacking에 관해 긴급 경보를 발표하기도 했다. Cisco Talos의 보안팀은 2017년부터 2019년 1분기까지 진행된 고도의 DNS 하이재킹 작전을 발견했다. 13개 국가, 40개 이상의 조직이 희생됐다. 이를 Sea Turtle operation이라고 이름붙였고, 4.17일 상세한 보고서를 발표했다. 주 표적은 국가 기관 바다 거북 작전은 주로 중동과 북아프리카를 겨냥해 이뤄졌다. 그리고 주된 표적은 첩보, 군사, 외교 등을 담당하는 국가 기관과 에너지 기업이었다. 이들에 종사하는 사람들의 각종 credential(자격증명 즉 로그인 정...

SQLite의 취약점 마젤란 취약점은 원래 데이터베이스 프로그램인 SQLite에 있는 취약점이다. 그런데 이것이 주요 운영체제와 프로그램의 일부분으로 많이 사용되므로, 영향권은 광범위하다. 대표적으로 크롬과 이를 기반으로 한 오페라 등 브라우저가 그렇다. 이 취약점들은 2018.12.21일에 CVE-2018-20346, CVE-2018-20505, CVE-2018-20506로 등록됐다. 그 이전에 Google과 SQLite는 업데이트를 내놓았다. 마젤란은 원격 코드 실행, 메모리에서 정보 유출, 프로그램 충돌을 일으킬 수 있다. 크롬 브라우저와 Google Home에 대한 원격 코드 실행은 샘플 악성코드가 나왔다. 다만 보고서 발표 시점을 기준으로, 실제 악용 사례는 확인되지 않았다. 크롬 등 브라우저에서 원격 코드 실행은, 단지 악의적인 사이트에 방문하는 것만으로 악성코드에 감염될 수 있기에 상당히 위험하다. 다만 크롬은 sandbox에서 실행되기 때문에, 랜섬웨어 설치 같은 치명적인 악성 행위가 가능하기 위해서는 샌드박스 탈출이 필요하다. 물론 샌드박스 탈출을 가능케 하는 크롬의 취약점이나 Windows Kernel의 취약점은 많이 알려져 있다. 언제나 업데이트에 게을러서는 안되는 이유이다. 업데이트 적용 마젤란의 영향권에 있는 프로그램은 다음과 같다. 취약점이 공개된 지 꽤 됐으므로 패치는 대부분 발표됐을 것이다. 크롬, 오페라를 비롯해 Chromium 엔진을 사용하는 브라우저와 여타 프로그램. Chrome, Chromium을 사용하는 IoT 기기. 예컨대 구글 홈. Android WebView를 사용하는 앱. FTS3가 활성화되고 Sql 명령어의 외부 입력을 허용하도록 설정된 SQLite와 이를 이용하는 프로그램. 안드로이드도 해당 이 보고서를 처음 봤을 때는, 안드로이드의 경우 크롬 브라우저와 웹뷰만 업데이트하면 문제 없을 거라고 생각했다. 이들은 Google Play에서 자동 업데이트를 설정하면 수시로 업데이트된...

downloader, dropper 전성 시대 근래 들어 구글 플레이에서 뱅킹 트로이 목마가 많이 발견되고 있다. 광고 띄우기를 주목적으로 하는 애드웨어 류가 주류를 이루던 이전에 비해 위험이 커진 것이다. 그 중에서도 아누비스가 눈에 자주 띈다. 많은 보안 회사와 전문가들에 의해 꾸준히 발견되고 있다. 스토어에서 발각돼 삭제돼도 또다시 다른 앱으로 위장하여 업로드 되기를 반복하고 있다. 이렇게 구글의 보안 수단을 농락하는 방법은 다운로더 혹은 드로퍼를 사용하는 것이다. 이것은 나중에 악성코드 본체 즉 payload를 다운로드하는 역할을 할 뿐, 그 자체로는 무해한 것처럼 보인다. 대부분의 앱이 인터넷에 연결해 각종 데이터를 다운로드하므로, Play Protect로서는 어떤 데이터가 악성인지를 판단하기 어렵다. 게다가 악성행위를 바로 시작하지 않고, 조용히 잠복기를 거쳐 어느 순간에 페이로드를 다운로드한다. 그렇기 때문에 VirusTotal로 테스트해 보면, 대다수의 보안 앱이 탐지를 하지 못하고 있다. 보안 회사들은 신뢰할 수 있는 개발자의 앱만을 다운로드하라고 권고하고 있다. 씁쓸한 말이다. 앱 스토어는 능력은 있지만 자금력과 유통망을 갖추지 못한 개발자들이 성공할 수 있는 곳이어야 한다. 그런데 이런 권고는 결국 유명 대기업의 앱만 사용하라는 말과 다를 바 없다. 물을 흐리는 일부 범죄자들 때문에 대다수 선량한 개발자들이 설 곳을 잃어가는 느낌이라 안타깝다. 앱의 업데이트 알림에 응답하지 않는 것이 다운로더에 대처하는 좋은 방법일 수도 있다(관2). 단순 뱅킹 트로이 목마가 아니다 아누비스 역시 다양한 가짜 앱을 다운로더로 활용하고 있다. 아누비스는 은행이나 결제 앱 등의 로그인 정보를 비롯한 입력 정보를 훔치는 banking trojan이다. 그러나 이에 그치지 않고, 심각한 추가 악행을 한다. 스팸 문자 보내기, RAT(Remote Access Tool) 기능과 랜섬웨어 기능도 있다. RAT 즉 원격제어 기능은 해커가 기기를 ...

고도의 스파이웨어 엑소더스는 기기의 각종 데이터를 훔치는 스파이웨어다. 안드로이드용과 iOS용 모두 있다. 다만 iOS용은 안드로이드용 보다는 기능이 약하고, 공식 스토어가 아닌 피싱 사이트를 통해 유통되는 것이 다른 점이다. Google Play에서 발견 안드로이드 버전은 구글 플레이에서 2년 넘도록 발견돼 왔다. 여러 앱들을 통해 나타났다 사라졌다 다시 업로드되기를 반복했다. 감염은 3단계로 진행된다. 1단계는 전화번호와 IMEI 같은 기본적인 정보를 수집하고 본격적인 payload를 다운로드하는 dropper이다. 2단계는 고도의 기능을 갖춘 스파이웨어로, 각종 데이터를 수집하여 해커에게 전송한다. 3단계는 기기의 통제권을 완전히 접수한다. DirtyCOW(CVE-2016-5195)라는 악명 높은 취약점을 이용하는데, root 권한을 탈취하는 권한 상승 취약점이다. Apple Developer Enterprise Program 악용 iOS 버전은 공식 스토어가 아닌, 피싱 사이트를 비롯한 외부 경로를 통해 유통됐다. 아이폰은 탈옥하지 않는 한, 스토어 외부에서 앱을 설치할 수 없다. 그러나 예외적으로, 기업들이 직원들에게 스토어를 거치지 않고 바로 앱을 제공할 수 있도록 했는데, 이것이 Apple Developer Enterprise Program이다. 이를 이용하려면 애플에 기업용 계정을 등록해서 인증서를 받아야 한다. 엑소더스는 Connexxa S.R.L.이라는 이탈리아 회사를 통해 유통됐다. 애플은 이 회사의 인증서를 철회했으므로, 더 이상은 설치할 수도 실행할 수도 없다. 안드로이드 버전보다 기능이 약하다고는 하지만, 주소록, 음성 녹음 파일, 사진, 동영상, 위치 정보, 기기 정보 등 다양한 데이터를 유출한다. 참고 자료 'Exodus' Surveillance Malware Found Targeting Apple iOS Users  

엣지도 크롬 엔진 사용 마이크로소프트는 엣지 브라우저에서 자체 엔진을 포기하고 구글의 크롬 엔진을 사용키로 했다. 현재 한창 개발 중인데, 이렇게 되면 크롬의 다양한 확장 프로그램을 쓸 수 있는 등 장점이 있다. 그렇다고 크롬과 똑같아 지는 것은 아니다. 독자적인 개량도 이루어지는데, 관리자 권한으로 실행되면 경고를 나타내는 것도 그 중 하나다. 관리자 권한으로 실행 앱을 관리자 권한으로 실행하면, 시스템 파일을 수정하거나 설정을 변경하는 등 고급 작업을 수행할 수 있다. 반면 악성코드에 악용되면 더 심각한 위험을 초래할 수 있다. 따라서 평상시엔 이렇게 사용하지 않도록 한다. Windows 10에서 앱을 관리자 권한으로 실행하려면, 앱 아이콘을 마우스 오른쪽 버튼으로 클릭하여 '자세히'를 선택하면 항목을 볼 수 있다. UWP 앱, 즉 스토어 앱은 관리자 권한으로 실행될 수 없다. 윈도우 10 1803 버전에서 웹 브라우저를 예로 들면, 익스플로러와 크롬은 관리자 권한으로 실행할 수 있지만, 엣지는 안된다. 새 엣지는 된다. 권한 상속에 주의 웹 브라우저를 일부러 관리자 권한으로 실행할 일은 없을 것이다. 그러나 권한 상속으로 인하여, 사용자 모르게 자동으로 그렇게 될 수가 있다. 예를 들어 본다. 윈도우 설정 파일 중 .ini 같이 단순 텍스트로 된 것을 편집할 때, 메모장을 많이 사용한다. 윈도우 10 1903 버전에는 메모장에 'Bing으로 검색' 기능이 들어간다. 편집 중 텍스트를 선택하여 바로 검색할 수 있도록 한 것이다. 메모장으로 hosts 파일을 수정하려고 한다. 이 파일은 시스템 파일이므로, 수정하려면 메모장을 관리자 권한으로 실행해야 한다. 이때 잘 모르는 것이 있어서 빙 검색 기능을 사용하면 연결된 브라우저가 실행된다. 이 브라우저는 메모장의 권한을 이어받아 관리자 권한으로 실행된다. 브라우저에서 파일을 다운로드하여 실행할 때도 마찬가지다. 브라우저를 관리자 권한으로 실행 ...

Adblock, Adblock Plus, uBlocker에 해당 광고를 차단하는 브라우저 확장 프로그램으로 인기를 끌고 있는 애드블럭, 애드블럭 플러스, 유블로커를 악용해, 오히려 악성코드를 실행할 수 있는 문제점이 발견됐다. 이들은 일반적인 광고 차단 외에, 광고를 다른 내용으로 대체할 수 있는 $rewrite라는 기능을 갖고 있는 데서 비롯됐다. 광고 차단 앱들은 차단 목록(filter list)를 기반으로 작동한다. 문제의 앱에서는 목록에서 $rewrite 옵션을 이용해, 특정 사이트에서 임의의 외부 스크립트를 실행할 수 있었다. 물론 이 기능이 그리 허술한 것은 아니어서, 원칙적으로 다른 도메인의 스크립트는 실행할 수 없다. 그러나 XMLHttpRequest, Fetch to download, open redirect 등 특수한 조건을 갖춘 사이트에서는 외부 스크립트 실행이 가능하다. 구글 맵에서 악성 스크립트 실행 언뜻 보면 이론적인 가능성에 불과하고, 실현 가능성은 낮게 보일 수 있다. 그러나 대부분의 사람들이 믿고 사용하는 Google Map이 바로 여기에 해당한다. 구글 맵 이용만으로 악성코드에 감염된다고 생각해 보자. 현실적이고 치명적인 위협이다. 취약점 책임 소재 애매 이 사실을 통보받은 구글은, 특정 확장 프로그램의 문제일 뿐 사이트의 결함은 없다는 입장이다. 일리가 있다. 그렇다고 애드블럭의 결함이라고 단정하기도 애매하다. 결국 특정한 조건들이 결합하여 발생하는 예외적인 경우라고 볼 수 밖에 없다. 그리고 이런 위험을 최소화하기 위해서는, 앱을 너무 무분별하게 설치하지 말고, 꼭 필요한 것들만 설치하는 것이 좋은 습괸이다. 애드블럭 측은 일단 $rewrite 옵션을 제거한 업데이트 버전을 내놓겠다는 입장을 밝혔다. 악의적인 차단 목록 가능 광고 차단기의 filter list는 개발자가 직접 제공하기도 하지만, 제3자(third-party)가 제공하는 것을 다운로드할 수도 있다. 따라서 악의적으로 조작된 차단...

인증 쿠키를 암호화하지 않았다 외근이나 재택 근무처럼 회사 외부에서 회사 내부에 있는 네트워크에 안전하게 접근하려면 VPN 사용은 필수다. 그런데 VPN을 구동하는 프로그램들이 기본적인 보안 수칙도 지키지 않은 취약점을 갖고 있음이 밝혀졌다. 주로 개인용 VPN 서비스를 제공하는 앱들의 신뢰성이 바닥을 치고 있는 것에 더해, 네트워크 및 보안 분야의 거대 기업들까지 엉성한 면모를 드러냈다. 최근 CERT의 보고서에 따르면, 시스코, 팔로 알토 네트웍스, Purse Secure, F5 Networks 등 대기업의 VPN 앱이 세션 쿠키를 안전하지 않게 저장했다. Session cookie는 정당한 사용자임을 증명하는 표식으로, 흔히 토큰이라고 불린다. 이것을 해커가 훔쳐가면, 다른 인증 수단을 우회하여 VPN에 접근할 수 있다. 즉 조직 내부 네트워크에 접속하여 도용된 사용자의 권한으로 이용할 수 있는 것이다. 문제된 앱들은 세션 쿠키를 암호화하지 않은 채, 로그 파일이나 메모리에 저장했다. 따라서 PC를 해킹하거나 악성코드를 사용하여 세션 쿠키를 탈취한 후, 나중에 아무 때나 재사용할 수 있다(session replay). 이번 보고서에서 모든 기업용 VPN 앱을 조사한 것은 아니다. 그러나 연구팀은 이런 식의 허술한 처리 방식이 널리 퍼져 있을 것으로 추측했다. 관련 자료 VPN은 보안회사의 것을 이용해야 한다 참고 자료 VPN applications insecurely store session cookies  

직원 계정 해킹 마이크로소프트의 이메일 서비스인 아웃룩에서 정보 노출 사건이 일어났다. 2019.1.1~3.28 동안의 일이다. 해커는 MS의 고객 지원 업무를 담당한 직원 한 명의 계정을 해킹해, 아웃룩 고객의 계정에 무단으로 접근했다. 이 직원의 접근 권한은 고객 계정의 메일 주소, 폴더 이름, 메일의 제목, 메일을 주고 받은 상대방의 메일 주소에 한정됐다 따라서 로그인 정보나 메일 내용 등 핵심 정보는 침해당하지 않았다. 그러나 메일 제목만으로도 중요한 정보를 유추할 수 있는 경우도 있고, 연락을 주고 받은 사람들이 누구인지를 통해 활동 내역을 추적할 수도 있으므로 가벼운 사안은 아니다. MS는 전체 피해자의 규모는 밝히지 않은 채, 개별적으로 이메일을 통해 통보하고 있다. 또한 예방 차원에서 암호를 변경할 것을 은근히 권하고 있다. 메일 내용이 노출된 경우도 있다 이 사건은 애초에 MS가 밝힌 것보다 심각하다는 사실이 추가로 드러나고 있다. 해킹된 직원의 계정이 일반 직원의 것보다 높은 권한을 가진 것이어서, 광범위한 계정과 내용에 접근할 수 있었다는 것이다. 다만 유료인 기업용 메일은 침해당하지 않았다. Motherboard에 제보된 스크린샷에서는, 직원용 서비스 툴을 이용해 위에 언급된 것에 더해 프로필, 캘린더, 로그인 이력, 메일 본문 내용 등도 볼 수 있는 것으로 나타났다. 이에 대해 MS는 추가 해명을 통해, 침해 당한 계정 중 약 6%는 메일 본문도 노출됐다고 인정했다. MS 뿐만 아니라, 많은 거대 IT 기업들이 메시지 등 고객의 자료를 볼 수 있어서 문제로 지적되고 있다. 한편, 이번 해킹은 아이폰의 활성화 잠금(Activation Lock)을 해제하기 위한 것으로 추정됐다. 활성화 잠금은, 아이폰을 훔친 사람이 기기를 초기화해서 팔지 못하도록 잠그는 보안 기능이다. 이를 풀기 위해서는 사용자의 이메일이나 아이클라우드 계정이 필요하다. 안드로이드의 원격 잠금과 비슷하다. 참고 자료 Hackers Co...

Managed by your organization이라고 표시된다면 Chrome 브라우저는 정책(policy)를 통해 설정할 수 있다. 정책 기능은 회사 같은 조직에서, 관리자가 여러 대의 PC를 일괄적으로 설정하기 위해서 필요하다. 정책 설정은 레지스트리 편집을 통해 이루어진다. 정책 설정을 통해 크롬의 여러 가지 옵션을 설정하고, 확장 프로그램을 강제로 설치하거나 차단할 수 있다. 정책으로 설정된 내용은 사용자가 임의로 수정할 수 없다. 레지스트리 편집을 통해서만 가능한데, 잘못 건드리면 크롬이나 PC가 제대로 작동하지 않을 수도 있다. 만약 정책이 악의적으로 설정된다면 보안에 큰 문제가 될 수 있다. 세이프 브라우징을 비롯한 크롬의 보안 설정을 꺼버릴 수 있고, 악성 확장 프로그램을 설치할 수도 있다. 많은 악성코드들이 레지스트리 조작 기능을 갖고 있으므로, 이런 정책 악용은 충분히 가능하고 실제로도 있다. 크롬 73부터는 정책이 설정된 경우, 'Managed by your organization'이라고 표시된다. 이는 메뉴 더 보기 버튼을 누르면 확인할 수 있다. 조직에 소속된 PC가 아닌, 가정용 PC에 이런 메시지가 나타난다면 악성코드 감염을 의심해 볼 수 있다. 적용된 정책의 목록과 세부 사항은 주소 바에 chrome://policy를 입력하면 확인할 수 있다. (그림 출처: 참고 자료 1) 참고 자료 Chrome Saying It's Managed by Your Organization May Indicate Malware  

Dragonfly=WPA3-SAE 현재 주류를 이루고 있는 와이파이 보안 표준인 WPA2를 보강한 WPA3가 2018년에 발표됐다. WPA3는 Personal용과 Enterprise용으로 나뉘는데, 개인용 WPA3는 WPA2에서의 PSK를 대체하여 SAE라는 프로토콜을 사용한다. 이 WPA3-SAE는 Dragonfly라는 별명으로 불린다. 드래곤플라이의 특징은 암호 크랙이 거의 불가능하다는 것이다. 그런데 최근에 드래곤플라이의 암호를 깨트릴 수 있는 취약점이 발견됐다. 이를 발견한 연구팀은 Dragonblood라고 불렀다. 와이파이 암호를 알아내면 네트워크 내부로 침투할 수 있다. 공유 폴더, NAS 등에 저장된 자료에 접근할 수 있는 것이다. 추가적인 해킹을 위한 발판도 된다. 또한 암호화된 https 통신이 아닌 경우에는 그 내용도 엿볼 수 있다. 로그인 정보, 신용카드 정보 등 민감한 것들도 포함된다. WPA3-Transition 모드에 대한 Downgrade 공격 WPA3에는 WPA2만을 지원하는 기기와 호환성을 유지하기 위해, Transition 모드가 있다. WPA3는 아직 보급 초기이기 때문에 불가피한 선택이다. 그런데 이것이 약점이 되고 있다. 트랜지션 모드에서는 하나의 암호로 WPA2 와이파이와 WPA3 와이파이에 모두 연결할 수 있다. 이 점을 이용해 해커는 악의적인 AP(라우터, 공유기)를 설치해서, WPA3 기기가 WPA2로 연결하도록 강제할 수 있다. 이 연결 시도 과정에서 발생한 트래픽을 캡쳐해서, 암호를 알아내는 brute-force 공격에 이용하는 것이다. 이와는 별개로, 기기 자체의 결함이 다운그레이드 공격의 빌미가 될 수도 있다. WPA3를 기기에 구현하는 과정에서 오류를 범한 경우이다. 예를 들어, 삼성 갤럭시 S10은 트랜지션 모드가 아니라 WPA3만을 사용하도록 설정된 경우에도, WPA2로 연결되도록 강제할 수 있다. Security Group Downgrade Attack 이것은 드래곤플라...

인기 있는 동영상 편집기 VSDC의 공식 사이트가 해킹 당해, 1달 여 동안 악성코드를 배포했다. 올해 2.21~3.23 동안에, VSDC를 다운로드하는 링크가 악성코드를 다운로드하는 것으로 바뀌어 있었다. 그 동안에 VSDC를 다운로드한 사용자는 Win32.Bolik.2와 KPOT라는 악성코드에 감염됐다. 이들 악성코드는 은행 등 각종 계정과 브라우저, 메신저 등 프로그램에 저장된 정보를 탈취한다. 따라서 해당되는 사용자는 보안 앱으로 정밀 검사를 하고, 주요 정보 유출에 대비해 암호를 변경하는 등 조치가 필요하다. 이 사이트는 과거에도 수 차례 해킹당해, 악성코드를 유포한 전례가 있다. 참고 자료 Popular Video Editing Software Website Hacked to Spread Banking Trojan

TV나 모니터를 껐다가 켠다 요즘은 TV나 모니터에 각종 기기를 연결할 떄, HDMI가 표준이 됐다. 고품질의 영상과 소리를 하나의 케이블로 전송하기 때문이다. 그런데 데스크탑 PC처럼 고정적으로 연결된 경우에는 문제 없지만, 노트북 PC처럼 붙였다 떼었다를 반복하는 경우에는 인식에 문제가 생기기도 한다. 특히 화면은 잘 나오는데 소리가 나오지 않는 경우가 있다. 가끔 그러는 경우라면 일시적인 인식 오류라 할 수 있다. 이때는 TV나 모니터를 껐다가 5~10초 후에 다시 켜면 된다. 그러나 소리가 나오지 않는 증상이 계속 된다면, 드라이버와 사운드 설정을 확인해야 한다. HDMI 사운드 드라이버 HDMI에서 사운드 드라이버가 따로 있는 것은 아니다. 그래픽 드라이버와 함께 제공된다. 장치관리자에 인텔 디스플레이 오디오, Nvidia High Definition Audio 등의 이름으로 나타난다. 정상적으로 나타나지 않는다면 그래픽 드라이버를 다시 설치한다. 주의할 점은, 엔비디아의 경우는 항상 오디오 장치가 표시되지만, 인텔의 경우에는 실제 HDMI 케이블이 TV에 연결되고 TV 전원이 켜져 있어야만 오디오 장치가 표시된다. 외부 입력 선택도 HDMI로 돼 있어야 한다. HDMI 단자가 여러 개인 경우에는 잘 확인해야 한다. 한마디로, TV에 PC 화면이 정상적으로 표시되는 상태여야 오디오 장치가 활성화된다. 기본 장치 설정 Windows 10은 여러 개의 소리 재생 장치를 지원한다. 동시에 여러 장치에서 소리가 나는 것은 아니지만, 선택해서 사용할 수 있다. 이때, 기본 장치로 설정된 것이 우선권을 갖는다. 작업표시줄의 소리 아이콘을 마우스 오른쪽 버튼으로 클릭하면, 소리 설정에 들어갈 수 있다. 재생 탭에서, 기기에 설치된 재생 장치 목록을 볼 수 있다. HDMI 장치가 기본 재생 장치로 설정돼 있는지 확인한다. 장치를 더블클릭하면 여러 가지 설정을 할 수 있다. 오디오 재생 장치 선택 기본 장치...

프로그램은 손대지 말자 동영상 파일을 이용할 때, 다운로드하는 방식보다 실시간 streaming으로 즐기는 사람들이 늘고 있다. 이 같은 추세는 악성코드 공격에도 그대로 반영되고 있다. torrent를 통한 감염은 줄고 있는 반면, 스트리밍 사이트를 통한 감염은 늘고 있다. 토렌트에 대한 공격이 줄고 있긴 하지만, 여전히 주요한 악성코드 감염 경로의 하나다. 그러나 조금만 주의하면 다른 인터넷 활동에 비해 특히 더 위험한 것은 아니다. 토렌트 사용 시 가장 조심할 것은 프로그램은 다운로드하지 말라는 것이다. 토렌트로 유통되는 프로그램은 대부분 크랙 버전이다. 유명 프로그램이나 게임을 등록없이 사용할 수 있도록 crack한 것이다. 크랙은 변조된 프로그램이기 때문에 보안 앱에 대부분 탐지된다. 그래서 크랙판 설명서를 보면, 보안 앱의 실시간 감시를 끄거나 제외 처리하라고 하는 경우가 많다. 만약 정직한(?) 크랙판이 아니라 악성코드가 삽입된 경우라면 어떻게 되겠는가. 파일 확장명 위장에 주의 토렌트로 동영상이나 음악 같은 자료를 다운로드할 때는 파일의 속성을 확인해야 한다. 이런 일반 자료인 것처럼 가장한 악성 실행 파일일 수가 있기 때문이다(관1). 파일 확장명을 위장하는 수법은 이메일 피싱에도 많이 이용된다. 토렌트에서는 정상 자료와 함께 숨김 폴더에 악성코드를 넣어두는 경우도 있다. 숨겨진 악성코드는 바로가기 파일(.lnk)로 호출된다. 바로가기 파일은 동영상처럼 보이는 아이콘을 하고 있어, 피해자의 클릭을 유도한다. 토렌트로 다운로드한 파일은 자동으로 실행되지는 않는다. 즉 악성코드를 다운로드했더라도 사용자가 더블클릭하지 않는 한 안전하다. 따라서 실행하기 전에 파일의 속성을 잘 살피면 그리 위험할 것도 없다. 동영상 앱 업데이트 동영상 플레이어의 취약점을 악용하는 악성 미디어 파일도 주의해야 한다. 이것은 실제로 동영상이나 음악 같은 미디어 파일이기 때문에, 미리 구별하는 방법이 없다. 다운로드 후 보안 앱으로 검사하고,...

Xiaomi 스마트폰에 사전 설치된 Guard Provider라는 보안 앱이 쉽게 해킹당할 수 있는 것으로 밝혀졌다. 업데이트 과정에서 변조되어 악성코드로 변질될 수 있었다. 샤오미는 이 문제를 패치 완료한 상태이므로, 샤오미 스마트폰 사용자는 가드 프로바이더가 최신 버전인지 확인해야 한다. Guard Provider의 취약점은 2가지 원인에서 찾을 수 있다. 업데이트를 위한 연결에 암호화를 적용하지 않은 일반 http 연결을 사용한 것이 가장 큰 문제였다. 같은 와이파이에 연결된 해커가 중간에서 업데이트 파일을 악의적으로 변조하는 중간자 공격(MItM, Man-In-the-Middle attack)이 가능하다. 스마트폰을 비롯한 모바일 기기는 회사나 공공 와이파이 등 공용 네트워크를 이용하는 경우가 많으므로, 중간자 공격의 표적이 될 가능성이 높다. 다음으로는 하나의 앱에 여러 개의 개발 키트(SDK, Software Development Kit)를 사용한 것도 문제였다. 가드 프로바이더는 그 안에 Avast, AVL, Tencent 등 3개의 보안 앱을 포함하여, 선택적으로 이용할 수 있게 한 앱이다. 그러다 보니 여러 SDK를 마구 섞어서 적용했다. 하나의 앱에 여러 SDK를 사용하면, 설정과 권한을 모든 SDK들이 공유하게 된다. 따라서 충돌을 일으킬 수 있는 등 문제가 있다. 또한 각 SDK에 있는 사소한 버그들이 결합되어 큰 결함으로 나타날 수도 있다. 체크 포인트의 연구팀은 중간자 공격 취약점을 기반으로, 여러 SDK에 흩어져 있는 취약점들을 연쇄적으로 이용하여 원격 코드 실행을 성공시켰다. 이용한 취약점에는 path-traversal(원래 의도된 경로가 아닌 임의의 위치에 파일을 생성할 수 있다), 디지털 서명을 확인하지 않는 점 등이 포함됐다. 이를 통해 샤오미 스마트폰을 완전히 장악하여 문서나 사진 등 자료를 훔치고 악성코드를 설치할 수 있었다. 참고 자료 Hackers Could Turn Pre-Installed An...

CVE-2019-10875 Xiaomi의 브라우저에서 URL spoofing 취약점이 발견됐다. 즉 주소 바에서 악성 사이트 주소를 합법적인 사이트처럼 표시되게 할 수 있다. 최신 버전의 MI 브라우저(v10.5.6-g)와 Mint 브라우저(v1.5.3)에서 확인됐다. 미 브라우저는 샤오미 스마트폰에 사전 설치된 것이고, 민트 브라우저는 구글 플레이에서 다운로드할 수 있다. 취약점은 address bar의 오류에 있다. '?q=' 파라미터가 추가된 주소를 제대로 표시하지 못하는 것이다. 예를 들어, phishing.com/?q=facebook.com 이라는 주소를 그냥 facebook.com 이라고 보여주는 것이다. 너무 간단하게 악용할 수 있기 때문에, 피싱에 이용될 가능성이 높다. 물론 단순한 표시상의 오류이기 때문에, SSL 인증서의 주소(위의 예에서는 phishing.com이다)와 주소 바에 표시된 주소를 비교해 보면, 조작된 사실을 알아차릴 수 있다. 그러나 잠시만 부주의하면 속을 수 있다. 특이한 점은, 내수용 버전 즉 중국어 판은 이 결함이 없다는 것이다. 오직 글로벌 버전만 취약하다. 그리고 샤오미 측도 이 결함을 인정하여, 발견자에게 버그 바운티를 지급했지만, 패치는 하지 않고 있다. 관련 자료 피싱(phishing) 사기 피하는 방법 참고 자료 Unpatched Flaw in Xiaomi's Built-in Browser App Lets Hackers Spoof URLs