SomeNotes247

검색 광고를 이용한 피싱 요즘 가상화폐 시세가 오르니까 잠잠하던 관련 피싱(phishing)이 고개를 들고 있다. 요 며칠 새 메타마스크(MetaMask) 사용자를 노린 피싱이 많은 피해자를 만들고 있어, 메타마스크는 공식 트위터 계정을 통해 경고를 했다(참2). 하지만 대응이 너무 늦었다는 비판이 많다. 위 그림(참2)은 구글에서 metamask를 검색한 결과이다. 공식 주소인 metamask.io보다 가짜 사이트가 먼저 나온다.  이는 검색 엔진들이 검색 광고(search ad)를 운영하기 때문이다. 특정 키워드에 대해 광고비를 지불하면 검색 결과 상단에 노출시켜 준다. 구글뿐만 아니라 네이버 등 모두 마찬가지다. 문제는 검색 광고를 누구라도 살 수 있다는 점이다. 가짜 사이트를 등록해 피싱에 이용할 수 있다. 오래돼고 많이 이용되는 수법이다. 검색 광고는 일반 검색 결과와 구별되도록 표시를 하게 돼 있다. 그림에서도 Ad라고 명시돼 있다. 그리고 url을 보면 공식 주소와 다르다는 것을 알 수 있다.  대부분 공식 주소를 정확히 모르기 때문에 검색을 할 것이다. 이런 경우 광고 표시가 된 링크를 피하고, 일반 검색 결과를 클릭해야 한다. 이번 사건과는 별개의 문제이지만, 출처가 불분명한 게시판, 메일, 메시지 등의 링크를 클릭하지 말아야 하는 것은 물론이다. 만약 속아서 가짜 메타마스크 사이트에 접속하면 어떻게 될까. 정교하게 제작된 피싱 사이트들은 눈으로는 구별하기 어렵다. 메타마스크는 브라우저 확장 프로그램으로, 이를 통해 새 이더리움 지갑을 만들거나, 기존의 지갑을 가져올(import) 수 있다. 이때 가상화폐 주소의 key, 즉 암호를 입력해야 한다. 이 키는 지갑을 지키는 유일한 수단이다. 그런데 가짜 사이트에서 가짜 메타마스크를 설치하면, 이 키가 해커에게 넘어간다. 해커는 가상화폐를 맘대로 훔쳐갈 수 있다. 참고 자료 1. MetaMask phishing steals cryptocurrency wallets via Google ads 2. P

트릭봇(TrickBot)은 근래 가장 활발히 활동하는 악성코드 중의 하나다. 정보 탈취부터 랜섬웨어 등 다른 악성코드 설치까지 다용도로 활용되고 있다. 이제는 UEFI를 감염시키는 모듈까지 추가됐다. 이를 트릭부트(TrickBoot)라고 한다. UEFI는 PC 메인보드의 펌웨어(firmware)로, 이전에는 BIOS라고 하던 것이다. 시스템 시작 시 가장 먼저 실행된다. Windows 등 운영체제보다 먼저 실행되기 때문에, 이것이 악성코드에 감염되면, 보안 소프트웨어가 탐지하거나 제거하기 어렵다. 또한 부팅 과정에서 운영체제 자체를 변조하고, 보안 기능들을 해제할 수 있다. UEFI는 메인보드에 별도의 SPI Flash memory 칩에 있기 때문에, 운영체제를 재설치하거나 SSD/HDD 등 저장장치를 교체해도 악성코드를 제거할 수 없다. 이런 공격을 막기 위해 UEFI에는 쓰기 방지 기능이 있다. 정당한 UEFI image인지 확인하는 매커니즘도 있다. 문제는 PC나 메인보드 제조사에 따라, 이런 기능이 비활성화된 경우가 있고, 활성화됐더라도 취약점이 있는 경우가 있다는 점이다. UEFI에는 부팅 과정에 악성코드가 실행되는 것을 방지하는 보안 부팅(Secure Boot) 기능이 있다. 그러나 TrickBoot는 UEFI 자체를 감염시키기 때문에 보안 부팅이 도움이 되지 않는다. TrickBoot는 UEFI를 감염시키기 위해 RWEverything, fwexpl 등 기존의 앱을 사용했다. 그리하여 UEFI를 읽고, 쓰고, 아예 지워버릴 수도 있다. 백도어 등 악성코드를 설치하는 것은 물론, PC를 부팅 불가로 만들 수도 있는 것이다. UEFI를 감염시키는 악성코드는 매우 드물다. 아직까지는 LoJax와 MosaicRegressor가 전부였다. 게다가 이들은 고도로 표적화된 공격에만 사용됐다. 반면에 TrickBot은 무차별적으로 대량 공격을 하는 봇넷이다. 일반인들도 UEFI 공격에 노출된 것이다. UEFI를 보호하기 위해서는 쓰기 방지를 활성화하고, 알려진

파일 없는 악성코드(fileless attack) 요즘 독일에서 가짜 게시판 글을 통해 악성코드를 퍼뜨리는 사례가 많다. 아래 그림(참2)과 같은 모양을 하고 있는데, 낯이 많이 익은 모습이다(관1). 수법도 동일하다. 정상 사이트를 해킹해 가짜 글이 먼저 나타나게 하거나, 가짜 사이트를 만든 후 SEO poisoning 기술을 썼다. SEO poisoning은 검색 엔진을 속이는 것으로, 특정 검색어를 검색 사이트에서 검색하면 악성 사이트(가짜 혹은 광고하려는 사이트)가 상단에 나타나게 된다. 이에 속은 방문자가 링크의 압축 파일을 다운로드하고, 그 안에 있는 자바스크립트 파일을 실행하면 악성코드에 감염된다. 이 작전에서는 Gootkit이라는 트로이 목마나 Sodinokibi(관2, REvil이라고도 함) 랜섬웨어를 유포하고 있다. 주목할 점은, 파일 없는 악성코드 기법을 쓴 점이다. 별도의 exe 실행 파일을 생성하지 않는다. 악성코드는 암호화되어 txt 파일이나 레지스트리의 무작위한 위치에 저장된다. 이것을 Windows Powershell을 이용해, 메모리에서 바로 복호화하고 실행한다. 이 때문에 많은 보안 앱이 탐지를 못하거나, 탐지해서 차단하더라도 완전히 제거하지는 못하는 일이 생기고 있다. 이에 대한 보고서(참2)를 발표한 Malwarebytes의 제품은 레지스트리에 남은 잔당까지 완전히 소탕한다고 한다. 관련 자료 1. 무료 다운로드로 위장한 악성코드 2. 악성코드가 UAC 알림을 계속 나타낸다 참고 자료 1. Gootkit malware returns to life alongside REvil ransomware 2. German users targeted with Gootkit banker or REvil ransomware