SomeNotes247

공장 초기화해도 다시 설치된다 요즘 안드로이드 스마트폰 사용자들 사이에서, 삭제가 되지 않는 악성코드에 대한 불만이 많이 제기되고 있다. 주로 미국, 인도, 러시아에서 문제가 되고 있는데, 악성 앱을 찾아서 지우거나 아예 폰을 공장 초기화(factory reset) 해도 금방 다시 설치된다는 것이다. 이 악성코드는 Xhelper라고 하는데, 10.29일 Symantec은 이에 대한 보고서를 내놨다. 안드로이드 시스템 앱이 다운로드 엑스헬퍼는 완전한 앱의 형태가 아니라 앱 구성요소(application component)로 설치된다. 사용자가 이를 직접 다운로드하는 것이 아니라, 다른 앱에 의해 설치된다. 단독으로 작동하는 앱이 아니기 때문에 앱 런처(launcher)에는 보이지 않는다. 그리고 특정 이벤트 발생 시 자동으로 실행된다. 예를 들어 전원 연결, 재부팅, 앱 설치/삭제 등 행위 시 실행된다. 엑스헬퍼는 실행되면 해커의 C2 서버에 접속하여 다른 악성코드를 다운로드한다. 이 서버에는 dropper, clicker, rootkit 등 고위험성의 악성 앱이 많이 있을 것으로 시만텍은 믿고 있다. 현재는 광고 표시를 주로 하고 있지만, 스마트폰의 제어권을 완전히 장악할 수 있는 잠재력이 있는 것이다. 중국 저가 브랜드 스마트폰에 사전 탑재 엑스헬퍼를 다운로드하는 악성 앱, 즉 드로퍼(dropper)의 정체는 확실히 밝혀지지는 않았다. 다만 시만텍은 안드로이드 스마트폰에 사전 설치된 시스템 앱으로 추정하고 있다. 그렇다면 제거해도 다시 살아나는 것이 설명이 된다. 악성 시스템 앱에 의해 계속 다시 설치되는 것이다. 그리고 시스템 앱이기 때문에 공장 초기화도 소용없는 것이다. 많은 보안 앱이 엑스헬퍼를 탐지하고는 있지만, 완전히 제거하지는 못하고 있다. 이 드로퍼는 기기의 보안 설정도 임의로 수정하는 것으로 보인다. '알 수 없는 소스의 앱 설치 허용' 옵션이 저절로 켜진다는 피해자들이 있다. 실제로 엑스헬퍼를

Windows 10의 잠금 기능 사용 에너지 절약과 제품 수명 연장을 위해 PC의 화면만을 끄고자 할 때가 있다. 그러나 데스크톱 PC와 달리 노트북 PC는 디스플레이만을 끌 수가 없다. 별도의 스위치가 없기 때문이다. 절전 기능에 의해 5~10분 정도 입력 작업이 없으면 자동으로 화면이 꺼지기는 하지만, 내가 원할 때 바로 끌 수는 없다. 절전 모드에 바로 진입시키는 방법도 있지만, 이 때는 PC의 작동 자체가 멈추기 때문에 화면만을 끄는 방법으론 적절치 않다. 노트북 PC의 화면만을 끄고 싶다면 잠금 기능을 사용하면 된다. [윈도우 키] + [L] 키를 누르면 잠금 화면이 표시된다. 이 상태는 다른 사람이 무단으로 사용하는 것을 방지하는 기능으로, PC는 입력을 받아들이지 않을 뿐 정상적으로 작동하는 상태이다. 음악 재생, 악성코드 검사, 토렌트 파일 다운로드 등 하던 작업은 모두 계속된다. 잠금 상태에서는 1분이 지나면 화면이 자동으로 꺼진다. 바로 끄는 것과 거의 같은 효과를 얻을 수 있다. 노트북 PC를 오디오로 활용 이 점을 이용하면 노트북 PC를 오디오처럼 활용할 수 있다. 블루투스 스피커를 연결하고 MP3를 튼 다음 PC를 잠그면, 미니 콤포 부럽지 않은 음향을 즐길 수 있다. 블루투스 스피커는 자체적으로 재생 컨트롤 버튼이 있기 때문에 아주 편하다. 잠금 화면에서도 재생 컨트롤이 표시되고, 볼륨 조절을 할 수 있다. 윈도우 10은 태블릿 PC 등 모바일 기기도 지원하기 때문에, UI가 스마트폰을 닮아가고 있다. 내장 스피커 볼륨 조절은 핫 키를 이용해야 한다. LG 노트북의 경우 [Function 키] + [좌우 화살표 키]이다. 잠금 화면에 재생 컨트롤이 표시되는 것은 플레이어 앱이 지원하는지에 달려있다. Groove 음악, ACG player 등이 지원한다.

진입 불가 또는 자동 해제 윈도우 10의 절전 모드는 여러 가지 이유로 오작동하는 경우가 있다. 윈도우 자체의 버그, 장치 드라이버의 호환성 문제 등이 원인일 수도 있다. 이 경우에는 사용자 측면에서 할 수 있는 것은 없다. 업데이트가 나오길 기다릴 수 밖에. 그러나 의외로 ActiveX 및 그를 대체한다는 소위 실행파일 방식의 프로그램이 원인인 경우도 많다. 이런 것들을 싹 제거하면 전원 문제를 비롯해 PC의 알 수 없는 불안정 증상이 많이 사라진다. 저질 사이트에서 얼마 후에 또 강제로 설치하겠지만. 이런 류의 엉성한 프로그램은 많지만 특히 악명 높은 것들이 있다. 아무리 시간이 지나도 PC가 절전 모드에 들어가지 않거나, 들어갔다가도 저절로 깨어나는 경우에는 AnySign for PC라는 것이 설치돼 있는지 확인해 보자. 이는 앱 목록에서 확인하고 제거할 수 있다. 실행 파일은 AnySign4PC.exe인데, 악성코드는 아니고 한컴의 보안 프로그램이다. 주변 기기가 원인인 경우도 있다. 나는 블루투스 마우스가 말썽을 부린 적이 있다(관2). 설정된 시간보다 훨씬 많은 시간이 흘러야 절전 모드에 진입하는 현상이 간혹 있다. 완전히 해결하진 못했다. 복귀 불가 또는 먹통 절전 모드에 들어간 후 깨어나지 않는 경우도 있다. 아무 반응이 없고 그대로 다운돼 버리는 것이다. 절전 모드에 들어가다가 응답을 하지 않는 수도 있다. 화면은 꺼졌지만 디스크는 계속 작동하는데, 아무리 키를 두드려도 복귀하지 않는 것이다. 이들 경우에 전원 스위치를 눌러도 켜지지 않는다면, 전원 스위치를 길게 눌러 강제로 종료시키는 수 밖에 없다. 이는 PC에 디스크 등 하드웨어적인 고장을 유발할 수도 있는 아주 안좋은 상황이다. 10~20분 정도 그냥 두면 저절로 종료되는 경우가 많다. 강제 종료는 PC에 나쁜 영향을 끼치므로 가급적 피하는 것이 좋다. 좀 기다려 보는 것이 더 좋은 대처 방법이다. 이 증상도 역시 ActiveX류의 프로그램이 원인인 경우가

First Aid Beauty 해킹 2019.10.25일 P&G의 자회사 First Aid Beauty의 웹 사이트에 e-skimmimg 악성코드가 삽입돼 있는 것이 발견됐다. 이 사이트는 이미 5월에 해킹되어 악성코드가 삽입됐다. 이 악성코드는 사용자가 웹 페이지에 입력하는 정보를 실시간으로 가로채는 MageCart이다. 주로 전자상거래 사이트의 결제 페이지에 Java script로 삽입되어, 카드번호 등 지불 수단 정보를 탈취한다. 이번 사건에서는 오직 미국 지역에서 접속하는 사용자만을 노린 것이 특징이다. 피해자가 얼마나 되는지는 확인되지 않았지만, 이 사이트는 월 평균 10만 명의 방문객이 있고, 그 중 80%가 미국에서 접속한다. 또한 난독화와 암호화를 사용해서 잘 숨어 있었다. 보통 메이지카트는 2주 정도면 발각이 되는데, 이번 경우엔 반 년 가까이 몰래 활동했다. skimmer 이렇게 금융 정보를 슬쩍 긁어가는 형태의 공격 방법을 스키밍(skimming)이라 하고, 그 도구를 스키머(skimmer)라고 한다. 스키머는 물리적인 장치일 수도 있고, 악성코드일 수도 있다. 본래 ATM의 카드 삽입구에 복제 장치를 부착하는 방식으로 시작됐는데, 근래 무수한 전자상거래 사이트를 감염시킬 정도로 온라인 상에서 활개를 치고 있다. 메이지카트는 원래 스키밍을 전문으로 하는 해커단의 이름이었지만, 이제는 흔히 스키밍 악성코드를 통틀어 메이지카트라고 부른다. 2단계 인증 필수 우리 나라는 스마트폰을 이용한 간편결제와 앱 카드의 사용이 보편화되어, 메이지카트의 피해가 거의 없다. 결제시 중요 정보를 입력하지 않기 때문이다. 그러나 해외 직구 시에는 외국 사이트를 이용하므로 안심할 수는 없다. 게다가 전문가 사이에서는, 메이지카트가 앞으로는 로그인 정보 등 다른 중요 정보까지 노리는 방향으로 확대될 수 있다는 우려가 나오고 있다. 10.23일 FBI에서는 메이지카트에 대한 대응책을 다음과 같이 제시했다. 모든 소프트웨어

Spidey Bot 게이머가 많이 사용하는 복합 채팅 앱인 디스코드를 악의적으로 변조하는 악성코드가 발견됐다. Spidey Bot이라는 악성코드인데, 일부에선 BlueFace라 부르기도 한다. 지금은 Windows의 데스크톱용 앱만을 노린다. 다른 디스코드 앱들은 표적이 아니다. 최초 감염 경로는 확인되지는 않았지만, 디스코드에서 오가는 채팅 중에 포함된 악성링크를 통해 다운로드되는 것이 유력하다. 신뢰할 수 없는 출처에서 프로그램 설치는 절대 피해야 한다. 일단 감염되면 디스코드 앱을 변조하여 악성 행위를 하도록 기능을 바꾼다. 먼저 다음과 같은 정보를 수집한다. 디스코드 계정 토큰. ID, 이메일, 전화번호 등 디스코드 계정 정보와 지불 수단 저장 여부. 브라우저 정보와 디스코드 버전. 시간대, 화면 해상도, IP 주소. 클립보드의 첫 50 글자. 클립보드에는 각종 암호나 중요한 문서 내용, 이미지 등이 포함될 수 있어, 특히 우려되는 부분이다. 그 후에는 백도어 기능을 하는 함수 fightdio()를 실행한다. 이 함수는 원격 서버에 접속하여 명령을 받는다. 따라서 지불 정보 탈취, 임의의 명령 실행, 다른 악성코드 설치 등 추가적인 악성 행위를 할 수 있다. Electron app의 취약점 Discord는 Electron이라는 프레임워크를 이용해 만들어진 앱이다. 일렉트론은 크로미움 브라우저의 렌더링 엔진과 자바 스크립트를 사용해 앱을 만든다. 일렉트론 앱은 HTML, CSS, Java script를 사용해 작동하는 웹 앱(web app)으로, 마치 하나의 전용 브라우저로 비유할 수 있다(참2). Slack, Signal, Skype 등의 앱이 이에 해당한다. XSS(cross-site script) 등 브라우저에 대한 공격 방법이 그대로 적용될 수 있다는 약점이 지적되고 있다. 사실 악성코드가 PC에 침투하면 여러 방법으로 다른 프로그램을 감염시킬 수 있다. 그러나 디스코드 앱은 자바 스크립트를 암호화하거나 무결성

ESET은 Microsoft SQL Server 11, 12에서 작동하는 백도어를 발견했다. 스킵 2.0이란 것인데, 중국 정부의 사주를 받는 Winnti 해커단의 것으로 추정했다. 윈티는 이를 이용해 게임 앱이 사용하는 MS SQL 서버의 게임 머니(in-game currency) 데이터베이스를 조작해, 금전적 이익을 취했다. 스킵 2.0을 실행하려면 관리자 권한이 필요해, 해커는 먼저 해당 서버를 해킹해야 한다. 스킵 2.0은 만능 암호(magic password)를 사용하는 것이 특징이다. 해커는 만능 암호를 사용해서 서버에 있는 어떠한 계정에라도 들어갈 수 있다. 그리고는 데이터베이스를 복사, 변경, 삭제할 수 있다. 또한 만능 암호가 사용될 될 때는 로깅, 이벤트 발행, 기타 감사(audit) 매커니즘을 작동하지 못하게 만들어, 이상징후 탐지가 어렵다. 참고 자료 Stealthy Microsoft SQL Server Backdoor Malware Spotted in the Wild

HTTPS 연결은 안전 NordVPN, TorGuard VPN, VikingVPN 등의 일부 서버가 해킹됐었던 사실이 뒤늦게 드러났다. 사건들은 2018년 초 비슷한 시기에 일어났다. 이들은 그동안 입을 다물고 있다가, 몇몇 전문가들의 트윗에 의해 해당 사실이 알려지자 뒤늦게 인정했다. 나는 VPN 서비스의 신뢰성에 대해 의문을 품은 지 오래됐다(관1). VPN 서비스는 고객의 인터넷 트래픽을 자신들의 서버를 통과하도록 한다. 이렇게 해서 통신을 암호화하고, IP 주소와 접속 위치를 숨겨준다. 이들은 보통 이런 서버를 전세계 각지에 걸쳐 수 천대씩 운영한다. 고객의 트래픽을 암호화하는 데는 SSL/TLS 인증서가 필요하다. 각각의 VPN 서버에는 이런 인증서들이 있는데, 해커가 이를 탈취할 경우 고객의 통신 내용을 엿볼 수 있다. 다만 https 연결을 사용하는 사이트는 자체적으로 SSL/TLS 인증서를 사용해 통신 내용을 암호화하므로, VPN 서버의 인증서를 탈취해도 엿볼 수가 없다. 또한 다른 VPN 서버의 통신 내용은 엿볼 수 없다. NordVPN 서버의 인증서 탈취 NordVPN은 가장 인기있는 VPN 서비스 중의 하나다. 2018.3월 수 천대의 서버 중에서 핀란드에 있는 1대의 서버가 해킹당했다. 이것은 제3자 데이터 센터에서 렌트한 것인데, NordVPN 측에 알리지 않은 원격 제어 시스템이 숨겨져 있었다. 즉 숨겨진 백도어(backdoor)가 있었던 것이다. 해커는 이를 통해 루트 권한을 얻었다. NordVPN은 2018.10월 해킹 사실을 안 즉시, 문제의 데이터 센터와 계약을 해지하고, 그 곳에 있던 서버들을 자사 네트워크에서 제거했다. 노드VPN은 고객의 활동에 대한 어떠한 로깅도 하지 않는다고 밝혔다. 또한 VPN 접속을 위한 credential(자격증명, 즉 ID와 password)도 저장하지 않는다. 따라서 해커가 해당 서버를 완전히 통제하더라도 탈취할 만한 정보는 없다는 것이다. 그러나 인증서의 개인키 3

Avast 해킹 2019.5.14~10.4일에 걸쳐 씨클리너를 노린 공급망 공격(supply chain attack)이 있었다. 이는 보안회사 어베스트에 대한 해킹을 통해 이루어졌다. 어베스트는 이 작전을 'Abiss'라고 불렀다. 해커는 어베스트의 임시 VPN profile을 이용해 내부 네트워크로 침투할 수 있었다. 이 프로필은 더 이상 사용하지 않는 것이라 비활성화됐어야 하는 것인데 그대로 방치돼 있었고, 2단계 인증으로 보호되지도 않았다. 로그에 의하면 이 계정에 대한 로그인 시도는 여러 credential(자격증명, 즉 ID와 PW의 조합)을 통해 이루어졌다. 다른 경로로 이미 탈취한 크리덴셜을 이용한 것이다. 결국 허술한 계정 관리가 해킹으로 이어진 것이다. 침해된 계정은 관리자 권한이 없었으므로, 해커는 권한 상승 공격에도 성공한 것으로 보인다. 5.63 버전으로 업데이트 이 사건은 아직 조사 중으로, 상세한 내용이 공개되지는 않았다. 씨클리너를 노려 악성코드를 삽입하려 한 것으로 보이는데, 성공 여부는 확실하지 않다. 어베스트는 15일 예방적 차원에서, 공격이 진행된 기간에 배포된 CCleaner 5.57~5.62 버전에 대해 자동 업데이트를 실시했다. 해당 버전은 잠재적인 위험이 있으므로, 최신 5.63 버전으로 업데이트해야 한다. 씨클리너는 참 말썽이 많은 녀석이다. 참고 자료 Hackers Breach Avast Antivirus Network Through Insecure VPN Profile

패치로 될까? 2019.10.13일, The Sun은 Samsung Galaxy S10과 Note 10의 지문인식 기능이 뚫렸다고 보도했다. 이 기사를 처음 봤을 때는 대충 읽어 넘겼다. 지문인식을 비롯한 생체인증에 대한 우회 시도는 보안 전문가나 호기심 많은 사람들에 의해 늘 있어왔기 때문이다. 그리고 더 선은 제도권의 눈치를 보지 않고 통쾌한 기사를 날리기도 하지만, 황당한 기사도 곧잘 내기 때문에 전적으로 신뢰하기는 어려운 source인 점도 고려했다. 그러나 각종 IT 전문 매체들의 후속 보도를 보니 문제가 심각하다는 것을 알게 됐다. 해당 기종의 지문인식 모듈은 일반적인 광학식이 아니라 초음파를 이용한다. 이론적으로는 더 진보된 방식이라 한다. 그러나 실제로는 출시 초부터 인식 오류로 많은 문제를 일으켰다. 정당한 지문을 제대로 인식하지 못해 3~4번씩 반복해야 하는 일이 잦았다. 삼성의 서비스 포털에서는, 손가락에 입김을 불거나 물티슈로 닦아 촉촉하게 한 후 다시 해보라는 애처로운 해법을 제시하기도 했다. 결국 삼성은 인식률 개선을 위해 소프트웨어 업데이트를 했는데, 이것이 문제를 초래한 것이다. 등록되지 않은 아무 손가락이나 다른 사람의 손가락, 심지어는 고구마나 고무 인형 같은 물체로도 지문인식이 해제되는 결과를 초래했다. 도트 문양이 있는 실리콘 케이스 조각을 지문인식 센서 앞에 덧대기만 하면. 하드웨어적인 결함이나 성능 미달을 소프트웨어적으로 해결하려다가 더 큰 문제를 초래한 경우라고 생각한다. 사건 초기에는 사용자의 과실로 몰아가는 분위기가 커뮤니티 사이트들에 있었다. 지문 등록 시에는 화면 전면을 덮는 케이스를 사용하지 않거나 공인된 케이스만을 사용해야 한다는 것이다. 그러나 이 사실이 널리 알려지자, 케이스 없이 선명하게 등록된 지문일지라도, 나중에 인증 시도시 실리콘 조각을 화면의 센서 부분에 덧대면 무단 인증이 가능하다는 것이 밝혀졌다. 타 기종에서도 지문 인식이나 얼굴 인식 같은 생체 인증을 우회하려는 시도는 계속

ActiveX로 인한 시스템 불안정 내 PC는 Windows 10 1903 버전이고, 아주 안정적이다. 그런데 얼마 전부터 절전 모드에 들어가는 도중에, 또는 절전 모드에 들어간 이후에 그대로 다운돼 버리는 일이 가끔 생겼다. 제어판의 안정성 기록을 확인해 보니, 그 때마다 KcpPayService.exe라는 프로그램이 충돌을 일으키고 있었다. 이것은 악성코드는 아니다. 한국사이버결제의 결제 모듈이다. 아마도 오래 전에 쇼핑몰 이용시 설치됐을 것이다. 요즘은 앱카드만을 사용하고 있어서 이런 게 작동할 일이 없는데, 놀랍게도 pc에 충돌을 일으키고 있었다. 이게 가장 짜증나는 부분이다. 억지로 이것 저것 설치되는 것에 더해, 필요가 없는 때에도 항상 실행되고 있다는 것이다. 안정성에 악영향을 끼칠 뿐만 아니라, 취약점이 있을 경우 해킹의 통로가 되는 등 보안 문제를 야기할 수도 있다. ActiveX를 대체한다는 소위 실행파일 방식이란 것도 마찬가지다. ActiveX 컨트롤 제거 요즘의 ActiveX 모듈은 앱 설치 목록에 표시돼서, 쉽게 제거할 수 있는 경우가 많다. 그러나 예전의 것들은 프로그램 목록에 나타나지 않아, 일일이 찾아서 제거해야 한다. KcpPayService.exe도 목록에 나타나지 않아서, 파일 탐색기로 검색해 찾아야 한다. 해당 폴더에 들어가면 UninstallKcpPay.exe라는 파일이 있는데, 이것을 실행하면 결제 모듈이 삭제된다. 프로그램 목록에 표시되지 않는 액티브엑스 컨트롤은 인터넷 익스플로러의 설정에서 제거할 수 있다. [추가 기능 관리]에서 '모든 추가 기능'을 표시되도록 한 후, 해당 액티브엑스 컨트롤을 더블 클릭하면 상세 정보를 볼 수 있다. 여기엔 [제거] 버튼도 있다. 위 그림처럼 제거 버튼이 비활성화돼 있는 경우도 있는데, 이런 것은 제거할 수 없다. Windows에 꼭 필요한 것이거나, 다른 프로그램의 일부분인 경우가 이에 해당한다.

SIM Tool Kit(STK)의 취약점 2019.9.12일 AdaptiveMobile Security는 SIM 카드에 명령을 보내 스마트폰을 해킹하는 방법인 SimJacker에 대한 보고서를 발표했다. 심재커는 정부와 협력 관계에 있는 특정 민간 기업에 의해 실제로 활용되고 있었다. 몇몇 국가에서 2년 이상, 소수의 VIP에 대해 위치 정보를 탈취하는 데 사용됐다. 통신사는 가입자들에게 여러 서비스를 유연하게 제공하기 위해 심 툴킷을 사용한다. 설치된 앱 목록에서 확인할 수 있다. 심 카드에 직접 설치되기 때문에, 저장 공간상 크기는 0 바이트로 나타난다. 이 취약점은 심 카드에 있는 심 툴킷의 것이기 때문에, 운영체제나 휴대폰 제조사에 영향을 받지 않는다. 아이폰이든 안드로이드 스마트폰이든 관계 없고, 심지어 심 카드를 사용하는 IOT 기기도 취약하다. 즉 취약한 심 카드를 사용하는 모든 스마트 기기가 위험에 노출된 상태다. S@T browser 이번에 발견된 취약점은 구체적으로는 심 툴킷의 구성 요소 중 하나인 S@T 브라우저에 있었다. 즉 S@T 브라우저를 채택한 심 카드는 모두 취약하다. 이것은 전세계 30개 국 이상에서 널리 사용되고 있다. 이것은 다음과 같은 기능을 한다. 기기의 위치 정보와 IMEI 정보 획득. 메시지 발송. 피해자 몰래 가짜 뉴스를 퍼뜨리는 데 악용될 수 있다. 전화 발신. 무단으로 유료 콜을 걸어 요금을 탈취할 수 있다. 또한 피해자 몰래 해커에게 전화를 걸면, 주변 소리를 도청하는 데 악용할 수 있다. 스마트폰의 웹 브라우저 실행. 임의로 악성 웹 페이지를 열어 악성코드를 설치할 수 있다. 심카드를 작동 불능 상태에 빠지게 하여 DOS 공격. 언어, 무선 통신 유형, 배터리 잔량 등 기기의 각종 정보 수집. 이렇게 다양한 기능을 하기 때문에, 실제 사례가 발견된 위치 추적 외에도 스파이웨어 같은 악성코드 역할을 할 수가 있다. 이 기능들은 SMS를 통해 작동되는데, 일반 SMS와는

Poison Carp 해커단 2019.9.24일 Citizen Lab은 중국 정부가 배후에 있는 해커단이 티벳의 주요 인사에 대한 정밀 표적 공격을 벌인 것에 대한 보고서를 발표했다. 시티즌 랩은 이들을 포이즌 카프라고 불렀다. 이 작전은 2018.11월~2019.5월에 걸쳐 수행됐다. WhatsApp을 통해 악성 링크가 포함된 메시지를 보내고, 피해자가 링크를 클릭하면 iOS와 Android 웹 브라우저의 취약점을 이용해 스파이웨어를 설치했다. Chrome 브라우저의 원격 코드 실행 취약점 악용 안드로이드 스마트폰에 대한 공격에는 총 8개의 원격 코드 실행(RCE, remote code execution) 취약점이 이용됐다. 크롬 브라우저의 버전에 따라 각기 다른 것이 사용됐다. 예를 들어 크롬 68~69에는 CVE-2018-17463, 크롬 70에는 CVE-2018-17480, 크롬 71~73에는 CVE-2019-5825가 악용됐다. 악성 링크를 클릭해 악의적으로 조작된 웹 페이지가 열리면, 피해자의 어떠한 상호작용이 없이도 자동으로 악성코드가 설치된다. 즉 웹 페이지를 보는 것만으로 해킹되는 드라이브 바이 다운로드(drive-by download) 공격인 것이다. 크롬의 보안 업데이트는 신속하게 이루어진다. Goople Play 스토어 앱에서 자동 업데이트를 켜 놓으면 수시로 업데이트된다. 이렇게 하면 위험을 크게 줄일 수 있다. MoonShine 악성코드 이 작전에는 초기 exploit 단계와 각 침투 단계별로 여러 악성코드가 사용됐다. 시티즌 랩은 이들을 통틀어 문샤인이라고 불렀다. 문샤인의 가장 큰 특징은 정당한 앱을 감염시켜 그의 권한으로 작동한다는 점이다. Facebook, Facebook messenger 등을 감염시켜, 이들 앱이 열릴 때 악성코드가 실행되도록 했다. 이런 방식은 악성코드에 필요한 권한을 따로 요구할 필요가 없어서, 피해자가 알기 어렵다. 문샤인의 최종 payload는 Scotch라고 하는데,

CVE-2019-2215 Android의 0-day 취약점이 실전에서 활용되고 있는 것이 밝혀졌다. NSO Group은 페가수스 스파이웨어 등 감시용 해킹 툴을 각국 정부 기관에 판매하는 회사인데, 이들이 해당 취약점을 활용하고 있었다. 이 취약점은 Android kernel의 binder driver에 있는 로컬 권한 상승(LPE, local privilege escalation) 취약점이다. 즉 안드로이드의 샌드박스 등 여러 방어 장치를 우회하여, 기기에 변경을 가하는 등 완전한 제어권을 탈취하게 되는 것이다. 모든 권한 상승 취약점이 그러하듯이, 이를 악용하려면 먼저 기기에 교두보를 확보해야 한다. 물리적으로 기기를 조작하거나, 가짜 앱을 설치하도록 유도하거나, 다른 원격 코드 실행(RCE, remote code execution) 취약점을 이용해 원격으로 악성코드를 설치하든가 해야 한다. 이렇게 설치된 악성코드가 운영체제의 방어 장치를 돌파하여, 기기에 중요한 변경을 가할 수 있도록 하는 것이 권한 상승 취약점이다. 최근의 사례들을 보면, 크롬 브라우저와 왓츠앱(WhatsApp)의 원격 코드 실행 취약점이 많이 악용되고 있다. 이 취약점은 2017년 말에 이미 패치가 된 것인데, 어쩐 일인지 2018년 가을 이전에 출시된 대부분의 안드로이드 스마트폰이 취약하다고 한다. 심지어 안드로이드 9, 10을 설치한 구글 픽셀 1, 2도 취약하다는 것이 확인됐다. 안드로이드 업데이트가 구글에 의해 일괄적으로 수행되지 않는 한, 이런 일은 또 일어날 것이다. 윈도우의 경우, PC 제조사에 관계 없이 마이크로소프트가 보안 업데이트를 전적으로 담당하고 있다. 참고 자료 Actively Exploited Android Zero-Day Impacts Google, Samsung Devices

암호로 보호된 pdf 문서의 내용을 외부로 유출할 수 있는 취약점이 발견됐다. 이를 이용한 공격 방법을 PDFex라고 하는데, 암호 자체를 알아내거나 암호화를 해제하는 것이 아니다. pdf 암호화 규격의 취약점을 이용해 우회하는 것이다. pdf 문서 규격의 암호화 표준에는 2가지 문제점이 있다. 우선 부분적인 암호화(partial encryption)를 지원하는 것이 문제다. 암호화된 pdf 문서 내에는, 문서의 구조를 정의하는 개체(objects)가 암호화되지 않은 상태로 포함될 수 있다. 즉 암호화된 본문(ciphertexts)과 평문(plain texts) 개체가 공존할 수 있다. 여기에 해커가 평문으로 악성코드를 삽입할 수 있는 틈이 생긴다. 다음으로 암호화된 부분이 조작될 수 있다는 점이다(ciphertext malleability). 부분 암호화된 문서가 아니거나 pdf 뷰어가 부분 암호화를 지원하지 않는 경우에는 이 취약점을 이용한다. pdf가 사용하는 CBC 암호화 모드는 무결성 검사(integrity check)를 하지 않는다. 따라서 해커는 CBC gadget을 이용해, 암호화된 부분을 변경하거나 아예 새로 만들어서 악성코드를 삽입할 수 있다. 이런 취약점을 이용해 암호화된 문서에 무단으로 삽입된 악성코드는, 피해자가 문서를 열면 그 내용을 평문으로 해커의 서버로 전송한다. 암호를 알 필요도 없이, 내용을 그대로 볼 수 있는 것이다. 이 연구에서는 많이 쓰이는 pdf 뷰어 27가지를 대상으로 테스트했는데, 모두 성공했다. 여기에는 Adobe Reader, Foxit Reader, 크롬 브라우저, 사파리 브라우저 등이 포함된다. 그런데 PDFex의 실용성에는 의문이 든다. 문서 암호화는 단순히 파일이 통째로 유출됐을 때를 대비하는 것이 주 용도다. 악성코드나 해킹을 통해 원격으로 유출됐거나, 직접 PC나 하드 드라이브를 훔쳐갔거나 하는 경우 말이다. 그러나 PDFex 공격을 하려면 먼저 그 문서에 악성코드를 삽입해야 한다.