SomeNotes247

CVE-2019-2107 안드로이드 스마트폰에서 특별하게 가공된 동영상 파일을 열면, 원격의 해커가 임의의 코드를 실행할 수 있는 취약점이 발견됐다. Android 7.0~9.0에 해당하며, media framework에 있는 취약점이다. 구글은 2019.7월 보안 업데이트에서 이 문제를 해결했다. 패치는 나왔지만, 안드로이드 업데이트는 기기 제조사에서 담당하기 때문에, 기종에 따라 늦거나 제공되지 않을 수도 있다. 따라서 출처가 의심스러운 파일은 열지 않도록 주의해야 한다. 그리고 exploit code를 탐지할 수 있도록 보안 앱을 잘 사용해야 한다. 스테이지프라이트와 유사 미디어 프레임워크는 오디오, 비디오 파일을 처리하는 부분이다. 이와 비슷한 취약점은 매달 발견되는 단골 손님인데, 이번에는 PoC(Proof of Concept, 샘플 악성코드)가 공개되어 주목을 받았다(참3). PoC 개발자는 이 취약점을 스테이지프라이트(Stagefright), PNG 취약점과 비견되는 위험한 것으로 평가했다. 이번에 공개된 PoC는 인터넷에서 다운로드하거나 이메일의 첨부 파일로 받는 등, 악성 동영상 파일을 직접 실행하는 경우에만 작동한다. WhatsApp, Facebook messenger 등 메신저 앱은 대부분 트래픽 용량을 줄이기 위해 동영상을 압축한다. 이 과정에서 악성 동영상에 삽입된 익스플로잇 코드가 손상될 수 있다. Youtube, Twitter 등 플랫폼을 이용하는 경우도 마찬가지이다. 카카오톡은 그림처럼 기본 설정상 사진과 동영상 파일을 압축한다. 관련 자료 안드로이드, PNG 이미지 파일 보기만 해도 해킹될 수 있다 참고 자료 Your Android Phone Can Get Hacked Just By Playing This Video Android Security Bulletin—July 2019 CVE-2019-2107

인증서로 보안 앱 차단 Vonteera는 주기적으로 광고를 표시하는 악성코드이다. 그러나 일반적인 애드웨어와 달리 시스템에 많은 변경을 가하여, 잠재적인 위험성이 크기 때문에 트로이목마로 분류된다. 본티라는 그림(참1)처럼 MalwareBytes, McAfee 등 주요 보안 회사의 인증서를 신뢰할 수 없는 인증서 위치에 설치한다. 이렇게 되면, 이들 인증서를 사용하는 보안 앱은 그림(참1)처럼 UAC(User Account Control)에 의해 차단된다. 해당 인증서를 사용하는 보안 사이트에 접속하면 인증서 오류를 유발한다. 악성 서비스 추가 Vonteera는 AppInf라는 서비스를 설치한다. 이는 인증서 저장소를 주기적으로 확인해서, 만약 보안 회사의 인증서가 신뢰할 수 없는 인증서 저장소에서 삭제되면 다시 설치한다. 크롬 정책 악용 본티라는 주기적으로 광고 창을 띄우기 위해 작업 스케줄러에 수많은 작업을 추가한다. 인터넷 익스플로러에는 추가 기능(add-on)을 설치한다. 크롬 브라우저에서는 정책 설정을 악용해 옵션을 변경하거나 확장 프로그램을 설치한다. 크롬의 정책 설정은 사용자 모르게 강제로 작동하므로, 악성코드에 악용될 위험이 있다(관1). 바탕 화면이나 시작 메뉴의 브라우저 아이콘을 조작해, 시작시 특정 사이트를 열게 한다. 이 사이트는 사용자를 무작위한 사이트로 리다이랙트한다. 작업 스케줄러로 UAC 우회 Vonteera에 감염되면 보안 앱이 UAC에 의해 차단되어 실행되지 않는다. 보안 앱 실행을 위해 UAC를 일시적으로 해제하는 방법이 있지만, 이는 더 큰 위험을 초래할 수도 있으므로 좋지 않다. 인증서 관리자를 통해, 보안 인증서를 신뢰할 수 없는 인증서 저장소에서 삭제하는 방법도 있다. 이 경우 악성 서비스에 의해 다시 되살아날 수 있으므로, 재빨리 보안 앱을 실행해 악성코드를 제거해야 한다. 인증서 관리자는 [윈도우 키]+[S]를 눌러 "인증서 관리"를 검색

DNS 하이재킹 Extenbro DNS-changer는 PC의 DNS 서버 설정을 바꿔, 해커의 DNS 서버를 이용하게 만드는 악성코드다. 가장 기본적인 DNS hijacking 방법이다. 이런 짓을 하는 이유는, 피해자가 원하는 사이트 대신 악성 사이트로 연결시키거나 특정 사이트에 접속하지 못하게 하는 것이다. Extenbro는 다른 악성코드, 주로 애드웨어와 함께 배포되어 이를 지원하는 역할을 한다. DNS 설정을 조작해서 보안 사이트에 접속하지 못하게 한다. 따라서 피해자는 애드웨어 감염을 알게 돼도, 보안 앱을 다운로드할 수가 없다. 이미 설치된 보안 앱은 업데이트를 할 수가 없다. 4개의 악성 DNS 서버 설정 Windows 10은 여러 개의 DNS 서버를 지정할 수 있는데, 보통은 2개만 사용한다. DNS 설정을 하는 방법은 (관1)에서 자세히 썼다. (관1)의 그림처럼, 기본과 보조 2개를 설정하는 게 일반적이다. 그런데 익스텐브로는 4개를 해커의 것으로 설정한다. 따라서 확인하려면 반드시 '고급' 버튼을 눌러야 한다. '고급' 버튼을 누르면 아래 그림(참1)처럼 4개 모두를 볼 수 있다. 작업 스케줄러에 추가 익스텐브로는 작업 스케줄러에 예약된 작업을 추가하여, 주기적으로 DNS 설정을 확인한다. 따라서 이 악성코드를 제거하지 않고 DNS 설정을 복구하기만 하면, 재부팅시나 일정 시간 후에 다시 악성 설정으로 바뀌게 된다. 또한 이 작업은 무작위의 폴더와 실행 파일 이름을 사용하므로, 찾아내기 어렵다. 루트 인증서 설치 익스텐브로는 임의의 인증서를 root certificate로 설치한다. 이것은 https 통신을 가로채기 위해서다(관2). 재부팅은 금물 Extenbro에 감염된 경우에는 보안 관련 사이트에 접속할 수 없으므로, 보안 앱을 설치하거나 업데이트할 수가 없다. 따라서 먼저 DNS 설정을 복구해서 보안 사이트에 접근할 수 있게 해야 한다. '자동으로 DNS 서

정부 발행 루트 인증서 설치 강요 최근 카자흐스탄 정부가 자국 ISP(Internet Service Provider, 통신사)들에게, 고객의 기기에 정부가 발행한 root certificate(루트 인증서)를 의무적으로 설치하도록 하라는 권고안을 발표했다. 카자흐스탄의 통신법은, 통신사에게 암호화된 https 트래픽을 모니터링할 의무를 규정하고 있다. 따라서 정부 발행 인증서를 사용하지 않는 https 트래픽은 차단할 모양이다. root certificate를 사용하면 다른 인증서를 발행할 수 있다. 특정 루트 인증서를 사용해 발행된 인증서는, 같은 루트 인증서가 설치된 기기에서 신뢰할 수 있는 것으로 간주된다. 따라서 루트 인증서를 이용해 임의의 도메인에 대한 인증서를 발행하면, 같은 루트 인증서가 있는 모든 기기의 해당 도메인과의 https 트래픽을 엿보거나 변조할 수 있다. 아래 그림(참1)은 페이스북 도메인에 대한 인증서를 비교한 것이다. 왼쪽은 정식 인증서로 DigiCert에서 발급한 것이다. 페이스북에 직접 접속하면 확인할 수 있다. 오른쪽은 카자흐스탄 정부에서 발행한 인증서로, Security Certificate라는 이름을 쓰고 있다. 중간자 공격(MITM attack) 카자흐스탄이 실제 어떤 방식을 사용하는지는 모르겠지만, 가장 간단한 시나리오는 다음과 같다. 통신사는 모든 https 트래픽이 특정 프록시 서버를 통과하도록 구성한다. 사용자가 페이스북에 접속하면 사실은 프록시 서버에 있는 복제 사이트를 보게 된다. 복제 사이트는 정부 방침에 따라 security certificate라는 인증서를 갖고 있다. 이는 정부의 루트 인증서를 사용해 발행된 것으로, 운영체제나 브라우저에서 기본으로 신뢰하는 인증서가 아니므로, 인증서 오류를 유발한다. 그러나 정부가 발행한 루트 인증서를 설치한 사용자의 기기는, 같은 루트 인증서로 발행된 security certificate를 신뢰하게 된다. 결국 아무런 경고 없이 복제 사이트를

사용자 몰래 서버에 업로드 얼굴 사진에 여러 효과를 적용하는 FaceApp이 근래 폭발적인 인기를 누리고 있다. 많은 다운로드 수와 좋은 평점은 물론 구글의 추천까지 받고 있다. 그런데 이 앱이 프라이버시 논쟁에 휩싸였다. 처음엔 이 앱이 기기에 있는 모든 사진을 임의로 개발사 서버에 업로드한다는 의혹이 제기됐지만, 코드와 트래픽을 상세히 분석한 몇몇 보안 전문가에 의해 사실이 아닌 것으로 일단 밝혀졌다. 그러나 사용자가 선택해 필터를 적용 중인 사진은 개발사 서버로 업로드되는 것으로 확인됐다. 페이스앱 측의 해명에 따르면, 업로드된 사진은 영구 저장되는 것이 아니라, 대부분 48시간 내에 삭제된다고 한다. 하지만 어떻게 검증할 것인가. 이 자체만으로도 큰 문제라고 생각한다. 파일 변환 서비스 같은 것은 크게 2가지 방법으로 제공된다. 웹 사이트에서 바로 처리하는 방식과 앱을 설치해서 하는 방식이다. 웹에서 하는 것이라면 당연히 파일을 업로드해야 한다. 그러나 앱에서 하는 경우에는 사용자의 기기에서 처리하는 것이 맞다. 아니면 뭐하러 앱을 설치하겠는가. FaceApp 측에 따르면, 필터 적용을 위해 클라우드를 이용할 기술적인 필요성이 있다고 한다. 그렇다고 치자. 그러나 파일을 서버에 업로드하는 것은 악의적이든 관리 소홀이든 개인정보 유출로 이어질 수 있으므로, 사용자의 동의 아니면 최소한 인지는 필요하다. 따라서 명확하게 서버로 전송되어 처리된다고 알려야 한다. 전체 사진을 서버로 전송(탈취)하는 것이 아니라 선택한 사진만을 전송하는 것은 이런 앱에서 일반적으로 예상할 수 있는 작동 방식이라는 견해(참2)가 있지만, 동의할 수 없다. 앱은 기기에서 작동하는 것이 원칙이다. 비슷한 문제는 2019년 초에 이미 제기된 적이 있다(관1). 또한 페이스앱은 기기 ID와 모델 등 기기 관련 정보도 수집하는데, 이것도 (참2)에서는 일반적으로 예상할 수 있는 일이라며 두둔하고 있다. 그러나 이 점에도 동의할 수 없다. 이런 일이 흔하다는

Media File Jacking 안드로이드용 왓츠앱과 텔레그램 앱에서 수신한 미디어 파일이, 기기에 있는 다른 앱에 의해 엿보거나 변조될 수 있는 취약점이 발견됐다. 수신된 미디어 파일은 즉시 저장 공간에 임시로 저장되는데, 사용자가 보기도 전에 가로챌 수 있는 것이다. Symantec은 이를 미디어 파일 재킹이라고 불렀다. 왓츠앱, 텔레그램 등 IM(instant message) 앱은 대부분 종단간 암호화(end-to-end encryption)를 지원한다. 따라서 일반 SMS에 비해 보안성이 뛰어나다. 그러나 이 취약점은 종단간 암호화의 보호 범위 밖의 일이다. 종단간 암호화는 네트워크 상에서 통신 중간에 가로채는 것을 방지하는 것이므로, 수신자의 기기에 안전하게 전달하면 임무는 끝이다. MITD(Man-In-The-Disk)와 같은 취약점 안드로이드의 저장 공간은 내부 저장소(internal storage)와 외부 저장소(external storage)로 구별된다. 내부 저장소는 기기의 기본 저장 공간으로, 운영체제에 의해 보호받는다. 앱은 다른 앱의 데이터에 접근할 수 없다. 외부 저장소는 외장 SD카드 등 기타 저장 공간을 말한다. 이런 구분은 논리적인 것으로, 기기 내부에 고정된 저장 공간이라도 외부 저장소로 파티션할 수 있다. 외부 저장소는 외부 저장소 접근 권한만 있으면 앱이 자유롭게 사용할 수 있다. 다른 앱의 데이터에 접근할 수 있음은 물론이다. 이 권한은 널리 사용되며, 시만텍의 자료에 따르면 50% 이상의 앱이 이 권한을 필요로 한다. media file jacking은 앱이 민감한 데이터를 외부 저장소에 저장할 때 문제가 된다. 왓츠앱과 텔레그램은 어떤 저장소를 사용할지 선택할 옵션을 제공하는데, 왓츠앱은 기본적으로 외부 저장소를 사용한다. 텔레그램은 save to gallery 옵션을 켜야 외부 저장소를 사용한다. 이들 앱은 외부 저장소에 미디어 파일을 저장할 때, 암호화 등 별도의 보안 조치를 하지 않는다.

base href tag 이용 메일 서비스의 안티 스팸(혹은 피싱) 필터링이 강화됨에 따라, 이를 우회하려는 다양한 시도가 나타나고 있다(관1). 최근에 이 중에서 링크 쪼개기를 이용해, AMEX(아메리칸 익스프레스) 카드 사용자의 자격증명을 탈취하려는 피싱(phishing) 메일이 발견됐다. 링크 쪼개기는 악성 링크를 둘로 쪼개서, URL 필터링을 회피하는 수법이다. html의 base href 태그를 이용한다. 이 태그의 역할은 한 페이지에 하나의 사이트로 연결되는 링크가 여러 개 있을 경우, 기본이 되는 base url을 한번만 지정해서, 이후에는 링크에 뒷부분만 간결하게 표시하기 위함이다. head 부분에 삽입하는 것이 원칙이지만, 그냥 body에 넣어도 대부분 작동한다. 예를 들어보면, 아래 그림같은 htm 파일을 만든다. hxxp://www.bad.com/login.htm 이라는 가상의 피싱 사이트 링크를 둘로 나눴다. 이것을 브라우저에서 열면 다음과 같이 보인다. 언뜻 보면 네이버 로그인 링크처럼 보이지만, 실은 배드닷컴 피싱 링크이다. 스팸 필터에서 base url도 검색하면 될 것 같은데, 이런 간단한 속임수에 상용 스팸 방지 솔루션들이 뚫리고 있다. 이렇게 쪼개진 링크 위에 마우스 포인터를 올려 놓으면, 브라우저에 따라 전체 url을 보여주거나 뒷부분만 보여주거나 한다. 실제 url을 잘 살펴보고, 뒷부분만 보일 경우에는 일단 의심해야 한다. 관련 자료 방어 장치를 우회하는 새로운 피싱 기술들 참고 자료 American Express Customers Targeted by Novel Phishing Attack

안드로이드 앱 변조 Agent Smith 악성코드는 안드로이드 기기에 설치된 여러 정상 앱에 악성코드를 삽입한다. 다른 앱 변조는 안드로이드 운영체제 차원에서 권한 제한과 디지털 서명 검증 등 보호 수단으로 차단된다. 그러나 Agent Smith는 Janus(야누스)를 비롯한 여러 취약점을 이용해 이를 돌파한다. 결국 피해자의 어떠한 승인이나 상호작용 없이, 기존 앱이 악성 앱으로 바뀐다. 아이콘이 바탕화면에서 숨겨지므로 눈치챌 수도 없다. 안드로이드 v7 이상의 최신 버전에서도 작동한다. 현재는 무단 광고 표시로 돈을 버는 데 주력하고 있지만, 개인정보 탈취 등 심각한 악성코드를 삽입하는 데 사용할 수도 있다. 여러 취약점 악용 스미스 요원의 공격은 3단계로 이루어진다. 1단계는 dropper(downloader)이다. 이것은 게임, 유틸리티, 성인물 등 유용한 앱으로 가장하여 주로 제3자 앱 스토어에서 유통된다. 피해자가 속아서 설치하면, WhatsApp, MXplayer, ShareIt 등 표적으로 삼은 앱이 설치돼 있는지 확인한다. 2단계는 스미스 요원이 기기에 침투하는 과정이다. 드로퍼는 암호화돼 숨겨져 있던 스미스 요원을 .apk 파일로 복호화하고 설치한다. 이 apk 파일은 Google Updater 등 기만적인 이름을 사용한다. 이때 기기의 여러 취약점을 이용하여 피해자의 어떤 상호작용도 필요치 않다. 바탕화면에 아이콘도 생기지 않는다. 3단계는 스미스 요원의 본격적인 활동기다. 스미스 요원은 표적 앱에 악성코드를 삽입하는 업데이트를 수행한다. 이것은 원래 금지된 것이지만, 여러 취약점을 악용하여 피해자 몰래 조용히 수행한다. MITD(Man-In-The-Disk) attack Check Point의 보고서(참2)는 이용된 취약점들을 일일이 열거하지는 않았다. Janus 취약점(CVE-2017-13156)만을 직접 언급했을 뿐이다. 최신 안드로이드 버전은 보안이 강화되어 취약점 악용이 쉽지는 않다. 스미스 요원

코드 인젝션(code injection) Dridex는 뱅킹 트로이목마로 금융 관련 개인정보를 탈취한다. 은행 등 주요 금융기관의 고객을 표적으로 한다. 드라이덱스는 파일 업로드/다운로드/실행, 네트워크 트래픽 감시, 스크린샷, 봇넷(botnet)에 연결 등 일반적인 트로이목마의 기능을 모두 수행한다. 그러나 코드 인젝션을 통해, https로 보호되는 웹 트래픽을 직접 변조한다는 점에서 가장 강력한 뱅킹 악성코드의 하나로 평가받는다. 드라이덱스는 자신을 주요 브라우저의 프로세스에 주입하고(browser process injection), 피해자가 보고있는 웹 페이지에 임의의 HTML code를 주입해서 변조한다(HTML code injection, web injection). 예를 들어 은행 사이트의 로그인 페이지를 변조해서, 입력한 내용을 해커의 서버로 전송하도록 조작한다. local proxy server 이용 BokBot은 IcedID로도 불리는데, 역시 https로 보호된 페이지를 변조하는 강력한 뱅킹 악성코드이다. 이에 대해서는 CrowdStrike에서 상세한 분석 보고서(참2)를 발표했다. BokBot은 https 트래픽을 가로채기 위해 프록시 모듈을 사용한다. 먼저 브라우저 프로세스에 자신을 주입해서, 모든 트래픽을 가로채 proxy module로 보낸다. 프록시 모듈은 표적으로 삼은 은행과의 트래픽일 경우, 이를 엿보고 조작한다. 피싱(phishing) 사이트로 redirect 하기도 한다. https 트래픽을 가로채기 위해서는 SSL 인증서가 필요한데, BokBot은 이를 자체적으로 발행한다. 그래도 여전히 문제는 남는다. 이 인증서는 공인된 CA(인증기관)에서 발급된 것이 아니기 때문에, 브라우저에서 인증서 오류를 일으킨다. 이 문제를 해결하기 위해 BokBot은 인증서 검증 절차를 가로채서, 항상 true 값을 반환하도록 만든다. 결국 브라우저에선 아무런 눈치도 채지 못한다. Trickbot에도 채용 BokB

Mac 버전에 해당 Zoom은 클라우드에 기반한 화상회의 플랫폼으로, 스크린 공유를 통하여 웹 세미나, 인터넷 강의, 친목 모임 등에 활용된다. 줌의 맥용 버전에서 웹캠을 임의로 활성화하고, 원격코드 실행에도 악용될 수 있는 취약점이 발견됐다. CVE-2019-13450은 해커가 카메라를 임의로 활성화시킬 수 있는 취약점이다. 줌에는 링크를 보내 다른 참가자를 초대하고, 그가 링크를 클릭하면 바로 화상회의에 참여할 수 있는 click-to-join 기능이 있다. 이 기능은 비디오 설정에서 'participants' 옵션을 켜면 활성화된다. 이렇게 설정된 피해자에게 해커가 초대 링크를 보내 클릭하도록 유도하면, 자동으로 웹캠을 켜고 엿볼 수 있다. 더 위험한 점은, 초대 링크를 image tag나 iframe에 숨겨 웹 페이지에 삽입하면, 이 페이지를 보는 것만으로도 악용이 가능하다는 것이다. 다만 Zoom 측의 해명에 따르면, 이때 줌 앱이 화면 전면에서 실행되기 때문에, 피해자가 눈치채고 앱을 종료할 수 있다. CVE-2019-13567은 원격코드 실행 취약점이다. 이것은 Zoom 앱이 설치됐다가 삭제되어, 시스템에 Zoom client는 없지만 ZoomOpener는 남아있는 경우에 생긴다. 해커는 특별하게 조작된 웹 페이지를 열어보도록 유도하여, 피해자의 기기에서 임의의 코드를 실행할 수 있다. 별다른 징후가 없고, 기기의 완전 장악으로 이어질 수 있어, 13450보다 더 큰 위험이다. 서버로 작동 이 두 취약점은 모두 ZoomOpener daemon이라는 숨겨진 웹 서버에 있다. Zoom은 click-to-join 기능을 위해 19421 포트를 열고 서버로 작동한다. 그런데 이것이 비보안으로 http를 통해 명령을 수신하는 것이 문제다. 결국 아무 웹 사이트나 명령을 내릴 수 있는 것이다. 게다가 Zoom 앱을 삭제해도 ZoomOpener는 삭제되지 않는다. 오히려 CVE-2019-13567이라는 더 큰 위험을 초래

fileless Astaroth malware 요즘 보안 앱에 탐지되는 것을 회피하기 위해, 파일 없는 악성코드(fileless malware) 기법이 많이 쓰이고 있다. 언뜻 보면 파일이 없으니까 보안 앱이 절대 탐지할 수 없는 것으로 오해할 수 있다. 그러나 악성코드가 무슨 귀신도 아니고, 진짜로 파일 없이 실행될 수는 없다. 어디에 혹은 어떤 형태로 있느냐의 문제일 뿐 실행 파일은 반드시 존재한다. 따라서 탐지도 될 수 있다. 파일리스 악성코드는 경우에 따라 조금씩 다르게 설명된다. (참1)에서는 메모리 상에만 존재하는 혹은 정당한 tool을 악용하는 악성코드로 정의했다. 즉 저장공간(디스크)에는 악성 파일이 없다는 뜻이다. Astaroth는 악명 높은 정보 탈취용 악성코드로 자격증명, 키보드 입력, 기타 민감한 정보를 훔친다. 그러나 어디에도 .exe 실행 파일이 없다. 아래 그림(참1)처럼 몇 개의 .dll 파일만 있을 뿐이다. 그것도 오직 메모리에만. 아까는 실행 파일이 없을 수는 없다고 해놓고는 뭔소리? 넓은 의미로 실행 파일은 뭔가 실행될 수 있는 코드가 들어있는 파일을 총칭한다. .dll과 스크립트가 대표적인 예다. 그러나 이들은 단독으로 실행될 수는 없다. .exe는 단독으로 실행되지만, .dll은 .exe의 호출이 있어야 실행된다. living off the land 기법 Astaroth는 자체적인 .exe 없이, 윈도우의 기본 툴을 사용해 스크립트와 .dll을 실행하여 감염된다. 최종 payload(탄두, 악성코드의 핵심 본체) 역시 정상 프로세스에 주입된 .dll이다. 이처럼 표적 시스템에 이미 있는 정당한 툴만을 사용하는 해킹 방법을 'living off the land'라고 한다. MS는 Microsoft Defender ATP의 다양한 탐지 기법으로 이를 저지했다. 전통적인 파일 스캔 방식의 보안 앱이라면 .dll 파일의 악성 여부를 판별하는 것이 유일한 탐지 가능성이다. 그러나 MS D

Unifying USB dongle 취약 Logitech의 무선 키보드, 마우스, 프리젠테이션 도구 등 무선 입력장치에서 새로운 취약점이 발견됐다. 모두 전용 USB dongle(receiver, 수신기)를 사용하는 방식이다. 특히 유니파잉 동글을 사용하는 제품에만 해당된다. Unifying dongle은 USB 포트를 하나만 사용하는 장점이 있다. 일반 동글은 제품 출하시 설정된 하나의 기기에만 연결이 된다. 따라서 같은 로지텍 제품이라도 키보드와 마우스를 세트가 아닌 개별적으로 구입한 경우에는, 동글이 2개가 있어야 한다. 그러나 유니파잉 동글은 호환되는 기기 여러 개를 연결해 사용할 수 있다. 이때 페어링이 필요한데, 인증과 암호화 과정의 취약점이 자주 문제가 되고 있다. 무선 입력장치에 대한 해킹 사례는 USB 방식에서만 알려져 있다. Bluetooth 방식이 문제가 된 적은 없다. 보안과 편의성 면에서 블루투스 방식의 제품이 더 좋다(관1). 이번에 새로 발견된 취약점들의 위험도는 모두 CVSS v3 score 6.5(10점 만점)로 보통 수준이다. 또한 이런 해킹이 널리 유행한다는 얘기는 듣지 못했다. 이 보고서(참2)는 로지텍 제품만을 대상으로 했다. 로지텍 제품이 비교적 보안성이 좋다는 점을 생각하면 여타 제품들의 상황도 짐작할 수 있다. 시중에 보면 키보드와 마우스는, IT 기업이 아닌 팬시 업체의 제품들도 많이 팔리고 있다. 이런 것들은 어떨까. 저가 제품들은 unifying 방식을 잘 사용하지 않으므로 괜찮을까. 내 생각으로는 No. 마우스 해킹해서 뭐하지? 무선 입력장치 중에서 키보드를 해킹하면, 임의의 명령을 실행하고 기기를 완전히 제어할 수 있음은 쉽게 생각할 수 있다. 반면 마우스를 해킹해서 무엇을 할 것인지는 쉽게 상상이 가지 않을 수 있다. 그러나 사실은 무선 입력장치들이 송출하는 신호는 거의 같다. 마우스에 키가 없어서 누를 수 없을 뿐, 키 누름 신호를 보내는 능력은 있다. 수신기도 그 신호가 키보

GoBot2의 변종 한국의 영화, 드라마, TV 프로그램으로 위장한 악성코드가 토렌트 사이트를 통해 퍼지고 있다. 기존 GoBot2를 한국 환경에 맞게 살짝 개조한 변종인데, ESET에서 GoBotKR이라고 이름붙이고 보고서를 발표했다. 이 악성코드는 2018.3월부터 활동해 왔는데, 80%가 한국에서 발견됐다. 토렌트는 악성코드를 퍼뜨리는 주요 통로의 하나다. 이 악성코드도 배포 수법이나 대처 방법에 있어서 기존의 사례와 다를 바 없다(관1). 파일 확장명 위장 토렌트로 다운로드한 파일은 자동으로 실행되지는 않으므로, 해커의 제1 과제는 피해자를 속여 악성코드를 실행하도록 유도하는 것이다. 그 방법은 파일 이름을 그럴듯하게 만들거나 확장명을 조작해서, 악성코드가 동영상이나 게임 등 유용한 자료처럼 보이게 하는 것이다(관2). GoBotKR이 발견된 토렌트 파일은 대개 정상 파일(동영상이나 게임), PMA 압축파일, 바로가기(.lnk) 파일로 구성돼 있다. 그림(참1)에서 보면, 정상 파일은 하위 폴더에 들어 있어서 눈에 잘 띄지 않는다. .lnk 파일이 먼저 눈에 띄는데, 대개 동영상처럼 보이는 아이콘을 갖고 있으므로, 속아서 실행하기 쉽다. 이것을 더블클릭하면 starcodec.pma가 실행되는데, 이것이 바로 GoBotKR 악성코드다. starcodec.pma는 starcodec.exe를 단순히 이름만 바꾼 것이다. 우리가 많이 사용하는 스타코덱으로 위장하고 있다. 당연한 얘기지만, 이런 속임수 파일에 속지 않고 하위 폴더에 있는 진짜 mp4 파일을 실행한 경우에는 감염되지 않는다. BotNet 형성 GoBotKR에 감염되면 해커의 C2 서버의 지령에 따라 봇넷의 일원이 된다. 이 봇넷의 주목적은 DDoS 공격이다. 또한 백도어로 작동하여 다양한 악성 행위를 수행한다. 다음은 몇 가지 예이다. 임의의 URL에 접속. 임의의 코드 실행. 컴퓨터를 끄거나 재부팅하기. seed torrents(토렌트 시딩).

초대장 자동 추가 기능 악용 카스퍼스키에 따르면, 근래 Google Calendar를 악용하는 피싱(phishing)이 빈발하고 있다. 사실 이 수법은 오래된 것인데, 스마트폰을 통해 다시 유행을 하는 모양이다. 스마트폰은 아무래도 화면이 작고, 표시가 간결하며, 사람들이 급하게 확인하는 경향을 이용한 것으로 생각된다. PC의 웹 브라우저로 살펴보자. 구글 캘린더에서 일정을 하나 만들고, 여기에 참석자를 추가하면, 초대된 사람의 캘린더에 자동으로 표시된다. 일정 내용에는 링크를 삽입할 수 있다. 아래 그림은 초대받은 쪽의 화면이다. 일정 목록에는 사용자가 직접 만든 항목과 동일하게 표시된다. 그러나 세부 내용을 보면, 외부 일정임을 쉽게 알 수 있다. 여기에 악성 링크가 있고 부주의로 클릭하면, 이메일에서와 마찬가지로 피싱을 당하게 된다. 이것이 가능한 것은, 캘린더 설정에서 '초대장 자동 추가' 옵션이 켜져 있기 때문이다. 이 옵션은 기본으로 켜져 있는데, 불편하면 '아니오'로 바꾸면 된다. 외부에서 온 캘린더 일정은 쉽게 구별이 가능하기 때문에, 조금만 주의하면 크게 위혐하지는 않다. 다만 이메일을 통한 스피어 피싱에서와 마찬가지로, 해커가 표적에 대해 잘 알고 있다면 더 위험할 것이다. 소셜 엔지니어링을 통해 표적의 일상을 파악하고, 자주 이용하는 모임이나 예약 같은 알림으로 가장하면, 이메일보다는 조금 더 효과적일 수도 있겠다. 참고 자료 “구글 캘린더를 악용하는 스마트폰 신종 피싱” 카스퍼스키 발표

맬버타이징(malvertising) 6.26일 발표된 Malwarebytes의 보고서에 따르면, onlinevideoconverter.com의 광고를 통해 악성코드가 뿌려졌다. 이 사이트는 유튜브 동영상을 mp4, mp3 등 파일로 변환하여 다운로드하는 일을 한다. 한국어 서비스도 제공하므로 우리 나라 이용자도 적지 않을 것이다. Youtube 동영상을 다운로드하는 것은 저작권 문제도 있지만, 근래에는 유튜브 자체적으로 유료 다운로드 서비스를 시작해서 더욱 적극적으로 차단하고 있다. 때문에 이런 앱은 Google Play에는 등록되지 못하며, Microsoft Store에 등록된 앱들은 초기에는 잘 작동하다가 금방 차단되는 일이 반복되고 있다. 그래서 비공식적으로 유튜브 영상을 다운로드하려면 온라인 파일 변환 사이트를 이용할 수 밖에 없다. 문제는 이런 사이트들이 대부분 보안에 취약하다는 것이다. 애초부터 악의적인 피싱(phishing) 사이트로 만들어진 경우도 있고, 허술한 관리로 인해 해킹을 당해 악성 사이트로 탈바꿈하는 경우도 있다. 이번 경우에는 이 사이트의 광고 서버가 해킹 당해 악성 광고가 게재됐고, 이를 본 사용자의 PC는 악성코드에 노출됐다. 이처럼 악성 광고를 이용하는 해킹 수법을 맬버타이징이라고 한다. 맬버타이징은 대부분 허술한 광고 네트워크를 이용해 이루어진다. 구글, 아마존, 네이버 등 신뢰할 수 있는 광고 네트워크에서 문제가 발생하는 경우는 드물다. 군소 광고 네트워크, 사이트 자체적으로 운영하는 광고 서버 등이 흔히 해킹의 표적이 된다. 무료로 운영되는 사이트에서 광고 게재는 불가피하다. 광고 자체가 유용한 정보이기도 하다. 그러나 방문객에게 피해를 입힐 수도 있으므로, 무분별한 광고 게재는 피해야 한다. GreenFlash Sundown exploit kit 이 사이트의 경우 gif 이미지로 된 애니메이션 광고에 악성코드가 있었다. 광고를 클릭할 필요도 없다. 정상적인 파일 변환 페이지와 함께 익스플로잇