요약 - 2022년 한 해 동안 발생한 모든 사이버 공격의 71%가 멀웨어 없이 발생
내용 - 보안 업체 크라우드스트라이크 CEO 조지 커츠의 RSAC 강연
① 공격자들이 얼마나 쉽게 기업 네트워크에 침투하고 횡적으로 움직이는지를 선보임
- 침투하고, 횡적으로 움직이고, 계속 네트워크에 남아서 필요한 일들을 하는데 아무런 경보도 울리지 않고, 흔적도 남지 않음을 계속해서 강조
- 보이지도 않고 느껴지지 않는 건 멀웨어를 사용하지 않기 때문

② 사이버 공격 단체 스파이더(Spider)
- 피해자가 보유하고 있는 도구들을 상황에 맞게 활용하여 목적을 달성
- 피해자의 도구를 사용하기 때문에, 경보나 흔적이 발생하지 않음

③ 스파이더의 공격 방식 예시
- 공격을 실시하기 전에 제일 먼저 표적에 대한 강도 높은 정찰을 진행 후 특정 사용자를 공격 대상으로 지정
- 특정 사용자에게 음성 통화로 크리덴셜 침해를 알리고, 악성 링크를 전송해 크리덴셜과 다중인증 정보 입력 요구
- 테일즈(Tails) OS와 이블징크스2(Evilginx2)라는 도구를 활용해 애니데스크(AnyDesk) 계정 생성 및 접근
> 테일즈 OS: 익명성과 프라이버시를 위한 데비안 기반의 운영 체제, 모든 통신을 Tor 네트워크를 통해서 수행
> 이블징크스2: 세션 쿠키와 함께 로그인 자격 증명을 피싱하는 데 사용되는 중간자 공격 프레임워크
> 애니데스크: 컴퓨터 원격 제어 프로그램
- 디지털오션 드롭릿(DigitalOcean Droplet)과 같은 도구를 일종의 가상기계처럼 활용하기도 함
> 디지털오션: 미국의 클라우드 컴퓨팅/호스팅업체 및 플랫폼
- 따라서, ‘정상 도구’ 혹은 ‘피해자가 이미 설치해 사용하고 있는 도구’를 적극 활용함으로써 ‘지속적인 출입이 가능한 주체’가 되는 것

④ 네트워크 관리자나 보안 담당자들이 흔히 하는 큰 오해
- 공격자가 네트워크에 접속해 새로운 사용자 계정을 생성 할 때, 반드시 관리자 권한을 가지고 있어야 한다는 것
> 권한이라는 것을 위임할 수 있기 때문에, 관리자 권한 없이도 공격자가 새로운 사용자 계정을 생성할 수 있음
> 예를 들어 고객 관리 시스템에서는 권한을 양도하거나 열어두는 경우가 비일비재하기 때문

⑤ 멀웨어 없는 공격의 핵심은 공격자가 피해자의 네트워크에 침입한 사실을 탐지하는 것이 어렵다는 것
- 멀웨어가 없기 때문에 엔드포인트의 탐지 도구 또는 최신 멀웨어 탐지 도구 등을 사용해도 소용 없음
- 대신 엔드포인트에서부터 클라우드와 관리자 아이덴티티에 이르기까지 가능한 모든 텔레메트리 정보를 수집
> 멀웨어 탐지로는 찾을 수 없는 것들이 확인될 것
> 방대한 양의 정보를 수집하고 분석하기에 업무량이 지나치게 늘어난다는 문제가 있음
> 그러므로, 인공지능이나 머신러닝을 기반으로 한 도구를 활용
- 다중인증 시스템을 유지하는 게 중요
> 다중인증 또한 탈취 등의 문제가 자주 발생하나, 다중인증을 유지하는 것은 필수적인 일
> 그만큼, 공격자들 또한 투자해야 할 자원과 시간을 늘리는 것이기 때문
기타 - 좋은 ‘보안 실천 사항’ 대부분 공격을 100% 막아준다는 면에서 의미를 갖는 게 아님
> 공격자들을 지연시키고 자원을 낭비시키는 것
> 그룹 전체가 '보안 실천 사항'을 준수하면 공격자들의 움직임은 크게 위축될 것

 

보안뉴스

 

멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술

아무런 흔적도 남기지 않고, 아무런 소란도 떨지 않으면서 침투할 곳은 다 침투해 훔쳐갈 것을 다 훔쳐가는 데에 공격자들이 점점 능숙해지는 중이다. 이들은 보이지도 않고 느껴지지도 않는다.

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

오늘은 ‘세계 패스워드의 날’... 하지만 패스워드 관리는 여전히 ‘허술’  (0) 2023.05.05
챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT  (1) 2023.05.05
엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
요약 - 데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공
- 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드
내용 - 보안 업체 맥아피(McAfee)가 발견한 이 멀웨어의 이름은 골도슨(Goldoson)
> 엘포인트, 롯데시네마, 곰 등을 감염시킴
> 해당 앱들은 구글 플레이에서는 1억 회 이상, 원스토어에서는 800만 회 이상 다운로드 된 것으로 조사

- 맥아피는 발견 직후 곧바로 구글에 연락을 했고, 구글은 앱 개발사에 연락해 취약점을 제거하라는 요청문 발송
> 일부 앱들은 구글 플레이에서 곧바로 삭제되었으며, 개발사에서 발 빠르게 대처해 취약점이 수정된 경우도 있음
> 맥아피는 문제가 됐던 모든 앱들을 공개하며 사용자들에게 “최대한 빨리 업데이트 하라”고 권고

- 골도슨의 작동 방식
① 장비를 감염시킨 후 곧바로 공격자들의 C&C 서버에 등록
② 원격에 저장되어 있는 설정 파일들을 다운로드_화면에서는 앱이 정상적으로 실행
> 라이브러리 이름과 원격 서버 도메인을 매번 바꾸기 때문에 잘 탐지되지 않음
③ 다운로드한 설정 파일에는 감염시킨 앱의 기능에 적용될 매개변수들이 저장
> 관련된 요소들이 어떤 주기로 실행될 지가 결정
> 원격에서 매개변수 수정 가능
④ 이 설정 파일들을 바탕으로 주기적으로 장비를 확인하고 정보를 빼돌려 이틀에 한 번꼴로 C2로 전송
> 정보를 수집할 수 있는 건 QUERY_ALL_PACKGES라는 권한 허용 설정 때문
> 설치될 당시 이 권한을 요청하며, 사용자는 통상적으로 권한을 허용
> 사용자의 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근

- 골도슨은 사용자 모르게 웹 페이지들을 로딩하는 기능도 있음
> 기능을 활용할 경우 특정 광고의 조회수를 부풀릴 수 있게 되며, 이를 통해 부당한 수익 창출
기타 - 서드파티 요소나 오픈소스 요소들을 통한 멀웨어 유포가 얼마나 효과적인지 증명
> 개발자들은 소프트웨어를 만드는 과정에서 서드파티 코드나 라이브러리를 적잖이 사용
> 적절한 검사를 제대로 하지 않고 기능성만 고려하는 경우가 대부분

- 보안 업체 짐페리움(Zimperium)의 부회장 컨 스미스(Kern Smith)
> 개발자 편에서의 꼼꼼한 서드파티 요소의 점검을 진행 필요 주장
> 모든 개발자와 개발사들이 보다 투명하게 소프트웨어 구성 요소들을 공개하고 공유 주장

- 골드슨 도메인 및 감염 앱 확인은 아래 보안뉴스 참고

 

보안뉴스

 

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼

데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공했다. 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 됐다

www.boannews.com

 

Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea | McAfee Blog

Authored by SangRyol Ryu McAfee’s Mobile Research Team discovered a software library we’ve named Goldoson, which collects lists of applications installed,

www.mcafee.com

'보안뉴스' 카테고리의 다른 글

챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT  (1) 2023.05.05
멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술  (0) 2023.05.03
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
요약 - 북한 해커조직, Browser in the Browser 기술 사용 등 피싱 관련 기술 고도화
- 웹주소 표시줄에 실제 사이트의 주소가 표시, 화면으로 피싱 페이지 파악 불가
내용 - 과거의 피싱 공격은 타이포스쿼팅 이용
> 실제 주소와 유사한 주소를 사용해 눈속임
> 예를 들어 정상 주소가 google인 경우 공격자들은 g00gle 등으로 변경

- 최근 확인된 공격에서는 피싱 페이지의 주소 표시줄에 실제 사이트 주소가 표시됨
> 화면만으로는 피싱 페이지임을 알 수 없음
> 이를 이용한 Steam 계정 탈취, 금융기관 대상 피싱 등 악용 사례가 발견
> 대부분의 기업에서 사이트 접속 시 주소를 주의 및 확인해야 한다는 교육하는 것을 노린 공격

- 위조된 피싱 페이지는 실제 브라우저에서 제공하는 것이 아님
> 공격자에 의해 정교하게 제작된 CSS 코드로 확인
> 실제 피싱 사이트의 소스코드를 확인해보면 주소 표시줄에 나타나는 도메인과 파라미터를 지정하는 코드가 확인됨

- 해당 공격은 디자인을 통해 가짜 팝업창을 만들기 때문에 정상 팝업창과 달리 브라우저 밖으로 이동되지 않는 특성을 지님
> 일반 사원들은 관련 내용 숙지가 어렵기에 이메일을 통해 수신한 링크에서는 어떠한 형태로든 로그인 하지않도록 주의 필요
기타 - 브라우저 인 더 브라우저(Browser in the Browser, BitB)
> 2022.03에 새롭게 나온 피싱공격
> 브라우저 창 안에 또 다른 브라우저 창이 열린 것처럼 꾸며내어 사용자들을 속여 계정 정보를 알아내는 피싱 공격
> SSO(Single Sign On_한 번의 인증으로 여러 사이트를 이용할 수 있게 하는 인증) 방식을 악용

> 동작방식
① 해커가 만든 피싱 사이트로 유인하기 위해 사용자에게 이메일 등에 링크를 포함하여 전송
② 사용자가 링크를 누르면 실제 사이트와 똑같은 혹은 유사한 피싱 사이트 접속
③ SSO 로그인을 위해 계정 정보 입력
※ 이때, 비밀번호가 틀리다는 알림을 띄워 여러번의 입력하도록 유도_비밀번호 정확도를 높이기 위한 방법
④ 입력한 계정 정보가 공격자에 전송 및 탈취

> 대응방안
① 출처가 불분명한 이메일, 메시지에 포함된 링크 클릭 금지
② URL 확인
③ 다중인증 사용
④ 팝업창이 웹 페이지 화면 내에서만 움직일 수 있으므로, 확인해보기

- CSS 코드 (Cascading Style Sheets)
> 웹페이지를 꾸미기 위한 코드
> HTML 태그 등에 할 장식의 종류, 크기, 색깔, 폰트 등을 지정

 

보안뉴스

 

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용

최근 북한 해커조직이 피싱 공격에 BitB(Browser in the Browser) 기술을 사용하는 등 피싱 관련 기술이 고도화되고 있어 주의가 요구된다. 과거의 피싱 공격은 피싱 사이트의 주소가 실제 사이트와 달

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술  (0) 2023.05.03
엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
요약 - 챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 전문가 발표
> 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없음
> 챗GPT에는 악의적인 활용을 차단하는 보호 기능이 탑재되어 있으나, 우회하는 방법들이 등장 중
내용 - 해당 전문가는 과거에 멀웨어를 개발해 본 경험이 전무하며, 멀웨어를 만들 때에 단 한 줄의 코드도 스스로 작성하지 않았음
> 챗GPT로 간단한 명령 실행문을 여러 개 작성 후 하나로 합침

-특정 문서를 자동으로 검색해 찾아내고, 찾아낸 문서들을 잘게 쪼개 이미지 파일에 삽입하여 구글 드라이브로 업로드 하는 멀웨어
> 4시간만에 멀웨어를 완성하고 바이러스토탈에서 탐지되지 않는 것을 확인

- 다음 사유로인해 연구 결과를 발표
> ChatGPT가 마련한 악용 방지 보호장치를 우회하는 것이 얼마나 쉬운지
> 코드를 작성하지 않고 ChatGPT만 사용하여 고급 악성코드를 생성하는 것이 얼마나 쉬운지

- 멀웨어 작성 과정
① 최초 멀웨어 생성 요청에는 ChatGPT 거절

② 로컬 디스크에서 5MB보다 큰 PNG 파일을 검색하는 코드를 만들어달라 요청

③ 발견된 PNG 파일들에 스테가노그래피 기법을 덧입히는 코드 요청

④ 내문서, Desktop 및 AppData 폴더에서 워드 문서와 PDF 문서를 검색해 찾는 코드 요청
> 유출할 문서를 찾기위한 목적

⑤ 유출된 파일을 구글 드라이브에 업로드하기 위한 코드 요청
> 구글 도메인의 경우 대부분의 기업이 신뢰하기 때문

⑥ 1MB보다 큰 파일의 경우 분해해 PNG 스테가노그래피 파일에 삽입하는 코드 요청

⑦ 테스트 결과 정상 동작 확인

- 생성된 멀웨어가 바이러스토탈에서 탐지되는지 확인
> 테스트 1: 5/60 Malicious - 스테가노그래피 관련 라이브러리를 변경 진행
> 테스트 2: 2/60 Malicious - 추가적인 작업 진행
> 테스트 3: 0/60 Malicious
기타 - 이번 작업을 진행하면서 걱정되는 점
> 인공지능을 기반으로 한 챗봇은 난독화의 목적을 스스로 이해하고 있는 것처럼 보임
> 탐지 우회와 관련된 내용을 구체적으로 요청하거나 언급하지 않았는데도, 탐지가 되지 않는 방법을 스스로 찾음

- 챗GPT를 둘러싼 각종 보안 연구가 현재 활발히 진행 중
> 현재 보안 업계에서는 챗GPT가 피싱 공격을 매우 효과적으로 바꿔준다는 데에 동의
> 하지만, 챗GPT가 멀웨어를 만들어준다거나 새로운 익스플로잇을 발견해낼 수 있다는 것에 대해서는 분석이 더 필요

- 멀웨어 전문가들은 챗GPT를 통해 화면 보호기 파일을 생성한 후 실행파일을 삽입하는 실험을 진행
> 챗GPT에 매일 기업에서 사용하는 애플리케이션들의 쉬운 활용법을 안내하기 위한 작업으로 입력
> 챗GPT는 아주 상세하게 SCR 파일(화면 보호기 파일)에 어떻게 실행파일을 삽입하고 자동으로 실행시키는지 답변

 

보안뉴스

 

챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공

챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 보안 전문가가 발표했다. 이 멀웨어는 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없다고 한다. 챗G

www.boannews.com

 

I built a Zero Day with undetectable exfiltration using only ChatGPT prompts

ChatGPT is a powerful artificial intelligence language model that can generate human-like text in response to prompts, making it a useful tool for various natural language processing tasks. As I mentioned earlier, one of these tasks is writing code. So, I

www.forcepoint.com

 

'보안뉴스' 카테고리의 다른 글

엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼  (0) 2023.04.22
북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
요약 - 우크라이나의 유틸리티 기업이 침해사고 발생
- 토렌트 웹사이트에서 다운로드한 마이크로소프트 오피스 불법 복제 버전을 설치
내용 - 우크라이나의 한 유틸리티 회사의 정보 및 통신 시스템에 대한 무단 액세스를 식별

- 조사 결과
> 올해 1월 직원 중 한 명이 토렌트 toloka[.]to에서 라이선스가 없는 Microsoft Office 2019 버전을 다운 및 설치
> 설치된 소프트웨어에는 DarkCrystal RAT 멀웨어와 DWAgent 원격 관리 도구가 포함
기타 - 전문가들은 사용자들에게 주의를 촉구
>  라이선스 소프트웨어 사용
> 공식 웹 사이트에서만 소프트웨어 다운로드
> 소프트웨어 업데이트
> 출처가 불분명한 의심스러운 링크 및 첨부 파일 피하기

 

보안뉴스

 

마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생

보안 외신 사이버뉴스에 의하면 토렌트 웹사이트에서 다운로드한 마이크로소프트 오피스(Microsoft Office) 불법 복제 버전을 설치한 후 우크라이나의 유틸리티 기업이 침해사고를 당했다. 이는 우

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용  (1) 2023.04.17
챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
레딧 해킹 사건이 드러낸 한 사람의 중요성  (0) 2023.02.14
요약 - 카카오톡 메신저 시스템에서 심각한 보안 결함이 발견
- 카카오톡 오픈채팅 이용자들의 실명·전화번호를 비롯한 개인정보가 고가에 거래되는 중
내용 - 1월 카카오 플랫폼 서비스 관련 개발자 커뮤니티인 '카카오 데브톡'
> '카카오톡 오픈채팅방의 보안 허점과 개인정보 누출'이라는 제목의 글 게시
> "카카오톡 메시지 전송에 쓰이는 '로코 프로토콜'을 악용해 오픈채팅방 참여 이용자의 카카오톡 프로필 ID, 카카오톡 로그인에 쓰이는 이메일 주소, 전화번호까지 추출 할 수 있다"
※ 오픈채팅방에서 채팅방 익명 이용자의 실제 카카오톡 아이디와 메일주소, 전화번호를 뽑아내는 과정을 담은 스크린샷을 글에 첨부

- 오픈채팅방 이용자에 배정된 익명 ID에 대해 특정 명령어를 써 데이터 요청
> 해당 이용자의 카카오톡 아이디 식별 번호, 로그인용 메일 주소, 전화번호를 알 수 있었음

- 해킹 툴은 카카오톡의 '로코 프로토콜'의 보안 취약점을 활용
> 로코 프로토콜은 12년째 카카오톡 메시지 전송에 쓰이는 규칙
> 2011년 카카오톡 메시지 전송량이 급증하자 카카오가 개발 및 도입_10년 넘게 사용되면서 보안 취약점이 다수 발견
> 최소 2년 전부터 로코 프로토콜을 악용한 '로코봇'을 홍보하는 동영상과 글 등이 다수 존재

- 실제 개발자 커뮤니티 '깃허브' 등에서는 오픈채팅 유저아이디와 실제 프로필 아이디를 연결하는 로직(규칙성)을 추정하는 연구가 이루어짐
> 2020년 8월 이전에 생성된 오픈채팅방의 경우 로직이 발견되어 실제로 유저아이디를 통해 이용자 신상정보를 확인하는 해킹이 발생
※ 카카오는 이후 생성된 오픈카톡방부터 새로운 알고리즘을 적용 - 최근 인공지능(AI) 기술 발전 등으로 로직을 파악했다고 주장하는 개발자가 속속 등장

- 개인정보 추출 인원 1명에 7000원이 매겨졌으며, 5000명 이상 추출할 경우 1인당 5000원으로 할인
> 불법 솔루션 판매자와 접촉해 '테스트'를 요청하면 지목한 오픈채팅방에서 사용하는 닉네임, 실명, 전화번호가 포함된 리스트를 샘플로 제공
기타 - 카카오 입장
> 시스템 구조상 오픈채팅방을 통해 익명 이용자의 개인정보 조회까지는 할 수 없다
> 오픈채팅방 회원 식별번호에 대해 일부 보안 취약점이 있기는 했다
> 이를 통해 알아낼 수 있는 것은 톡 유저 아이디(식별값) 뿐이고, 별도 DB에 저장하는 전화번호까지는 알 수 없는 구조
> "현재까지 오픈채팅방에 대한 개인정보 유출 피해 사례는 접수된 바가 없다"
> "정부 조사에 적극 협조해 실제 정보 침해 행위가 일어났는지 확인할 것"

- 과학기술정보통신부와 한국인터넷진흥원(KISA)
> 카카오톡의 오픈채팅방 보안 취약점과 불법행위 여부 확인 중

- 개인정보보호위원회
> 카카오톡 오픈채팅방의 보안 취약점과 개인정보 유출 경위 및 규모
> 기술적·관리적 보호조치 등 ‘개인정보 보호법’ 위반 여부에 대해서 조사

- 현재 주식리딩방 업체들이 이런 방식으로 유출된 DB를 사들여 사기 마케팅에 활용 등 피해 발생

 

보안뉴스

 

익명 오픈채팅방도 다 털려?…카카오는 이미 알고 있었다 [선한결의 IT포커스]

"익명 오픈채팅방에 있으면 누군지 모를 것 같죠? 익명 ID만 알아도 카톡 프로필 사진부터 상태 메시지, 전화번호까지 알 수 있습니다. 문의 사항은 텔레그램 보내세요." 일부 개발자들 사이에서

n.news.naver.com

 

[단독]카톡 오픈채팅 해킹...1명당 단가 7000원·2시간 만에 '뚝딱'

카카오는 기술적으로 절대 불가능하다고 하는 오픈채팅 이용자의 개인정보 유출, 실제로는 어떤 과정을 통해 이뤄졌을까. 전자신문이 대규모 개인정보 유출이 발생한 지난 8일 유출 피해 제보

www.etnews.com

 

[단독]카톡 '오픈채팅' 보안 구멍 뚫렸다

카카오톡 메신저 시스템에서 심각한 보안 결함이 발견됐다. 카카오톡 오픈채팅 이용자들의 실명·전화번호를 비롯한 개인정보가 고가에 거래되고 있는 것으로 나타났다. 유출된 개인정보 기반

www.etnews.com

 

개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 카카오톡 오픈채팅방의 개인정보 유출과 관련 조사에 착수했다고 밝혔다. 개인정보위는 카카오톡 오픈채팅방의 보안 취약점과 개

www.boannews.com

'보안뉴스' 카테고리의 다른 글

챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공  (0) 2023.04.06
마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
레딧 해킹 사건이 드러낸 한 사람의 중요성  (0) 2023.02.14
한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응 외 2건  (0) 2023.02.12
요약 - 공식 앱 서명 인증서 유출 관련 공격유형과 사례분석 및 대응방안
내용 - 코드 서명 인증서 유출로 인한 악성코드 유포가 확산

- 앱은 개발자가 자가 생성한 인증서를 기반으로 서명 및 배포
> 구글 플레이스토어(Google Play Store) 등 마켓에 업로드할 때 개발자와 사용자를 구분하는 용도로 사용
> 개발자가 자신이 개발한 앱임을 증명하는 중요한 수단
> 앱 업데이트도 해당 서명을 확인해 일치할 경우에만 가능해 앱 자체를 보호하는 역할

- 앱 서명 인증서 정책은 개인 개발자의 자유로운 앱 개발 및 배포를 위해 만들어짐
> 별도의 인증기관을 두지 않고 개발자가 자체적으로 인증서를 관리
> 장점: 앱 개발과 배포의 진입장벽을 낮추고 사용자들의 폭넓은 앱 경험 가능
> 단점: 서명 인증서 유출

- 공격자가 유출된 서명 인증서를 활용해 수행한 악성 행위 유형
① 인증서로 악성코드 탐지 회피
> 보안 솔루션의 검사에서 악성으로 탐지되는 것을 회피

② 인증서의 공식 서비스 앱 데이터 공유
> 안드로이드 시스템에서 ‘콘텐트 프로바이더(Content Provider)’는 앱 간 데이터를 공유
> 콘텐트 프로바이더 설정을 ‘서명 공유’로 지정한 경우, 해당 인증서로 서명된 모든 앱이 콘텐츠 프로바이더에 접근 가능
> 악성 앱으로 내부 사용자 데이터를 취득하며, 실질적으로 공식 앱 공격 기법으로 활용

- 유출된 인증서를 획득해 공격자가 악성행위를 감행한 국내 사례
① 악성 기능이 추가된 앱을 플레이스토어에 업로드
> 앱 ‘광주버스’ 은 2012년에 서비스를 시작, 2018년 개발자가 개발 및 업데이트를 중단
> 인증서 정보는 폐기하지 않음
> 공격자는 인증서, 코드, 개발자의 아이디 및 패스워드를 취득 > 앱에 악성코드를 추가해 플레이스토어에 재업로드
※ ‘libAudio.3.0.so native’ 라이브러리 파일을 추가, ‘libMovie.so’라는 추가 라이브러리 파일을 내려받아 구글 아이디 등 개인정보를 탈취

② NHN 인증서 유출
> 일부 안드로이드의 화이트리스트 기반 보안 솔루션은 비교적 검증이 간단한 서명 정보를 추출해 공식 마켓에 등록돼 있는 서명 정보인 경우 정상적인 앱으로 처리
> 보안 솔루션에서 악성코드로의 탐지를 회피하려는 수단으로 N사 인증서를 사용한 것으로 확인
※ 기존 금융 관련 보이스피싱 앱인 ‘kaishi’ 악성코드로, 수신번호 조작 및 발신 번호 조작 기능을 수행하며, ‘다운로더(Downloader)’ 악성코드로도 동작

③ 스마트폰 제조사 펌웨어(Firmware)용 인증서 유출
> 2022.11.12 구글은 Google APVI Report를 통해 플랫폼 인증서가 유출된 정황이 확인됐음을 발표
> 플랫폼 인증서(Platform Certificate)란 시스템 이미지에서 안드로이드 앱에 서명하는데 사용하는 앱 서명 인증서
> 해당 인증서로 서명된 앱은 ‘sharedUserId’를 ‘android.uid.system’으로 지정해 시스템 권한을 획득
> 시스템 권한과 ‘사용자 데이터’(user data) 영역에 접근하는 권한이 부여 > OS와 같은 접근 권한으로 동작할 수 있게 됨
※ 구글 펌웨어 인증서로 서명됐으며, 해당 제조사 스마트폰에서만 악성 행위를 수행한다는 특징

④ 공격자의 고의적인 화이트 인증서 생성 시도
> 2021.12.07 구글 플레이스토어에 등록된 앱의 사례로 샘플 분석을 통해 발견
> 2022.02.16까지 주기적으로 버전 코드만 변경해 업데이트
> 서명 정보는 2023.12.05부터 kaishi 악성코드를 서명할 때 사용
※ 플레이스토어에서 주기적인 업데이트를 제공하고, 해당 인증서를 일정 기간 노출시켜 신뢰를 쌓은 후 악성코드 서명에 사용한 것으로 추정
기타 - 안드로이드는 운영체제 및 마켓의 특성상 앱 개발과 업로드가 자유로움
> 인증 및 관리에 개입이 없어 앱의 유지보수와 보안 관리는 전적으로 개발자에 책임

- 앱 서명 인증서 유출로 인한 악성코드 확산에 대해서는 일부 개선책이 필요
① 인증서 관리 체계에 대한 인식 제고
> 개발자가 소유 및 관리하는 인증서는 별도의 인증기관이 없음
> 앱 서명 인증서는 자체적으로 더 높은 수준으로 관리해야 하며, 이를 체계적으로 수행할 방안도 마련 필요

② 보안 솔루션 개선 체계 마련
> 보안 솔루션이 개인과 기업 개발자의 인증서를 쉽게 신뢰하면 현존 위협의 대응에 한계
> 악성 샘플을 기능 기반으로 분류하는 기법을 복합적으로 활용해 악성 행위를 방지

 

보안뉴스

 

앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니

코드 서명 인증서 유출로 인한 악성코드 유포 행위가 꾸준히 확산되고 있다. 마이크로소프트는 지난해 말과 올해 초에 ‘악의적으로 사용되는 Microsoft 서명된 드라이버에 대한 지침’을 발표했

www.boannews.com

'보안뉴스' 카테고리의 다른 글

마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생  (0) 2023.04.06
개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
레딧 해킹 사건이 드러낸 한 사람의 중요성  (0) 2023.02.14
한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응 외 2건  (0) 2023.02.12
VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건  (0) 2023.02.11
요약 - 2월 5일 유명 온라인 커뮤니티인 레딧(Reddit)에서 스피어피싱 공격을 통해 해킹 사고가 발생
내용 - 다중인증이라는 현대 조직들의 방어 시스템에 존재하는 약점이 고스란히 드러난 해킹 사건
> 스피어피싱 공격을 통해 레딧 내부 직원들을 속여 크리덴셜과 이중인증용 토큰을 탈취

- 공격자는 수시간 동안 레딧의 시스템을 검토하고, 내부 문건들과 대시보드, 코드를 다양하게 열람
> 수사를 진행 중이지만 아직까지 사용자 데이터나 생산 시스템에 접근한 것으로 보이지는 않음
> 즉 가장 핵심이 되는 부분에까지 공격자들이 도달하지는 못했을 가능성이 높다는 것

- 크리덴셜 기반 공격을 막기위한 방어 기법은 이중인증 및 다중인증
> 레딧의 모든 직원들이 이중인증 옵션을 필수로 사용
> 공격자들 이중인증에 점점 익숙해지면서 여러 가지 공략법이 등장
① 우버 침해 사고 사례 : ‘다중인증 폭탄’ 기법 사용
※ 다중인증 관련 메시지를 끊임없이 보냄으로써 아무나 먼저 질린 사람이 메시지를 확인도 하지 않고 인증정보를 입력하도록 유도
② 레딧 침해 사고 사례 : 내부 직원용 포털 페이지를 똑같이 만든 스피어피싱 페이지를 활용
> 더 강력한 다중인증 체계로 옮겨가는 움직임이 있음_사용자의 위치 정보를 파악하여 인증 과정에 활용

- 공격자는 어떤 방어 장치이든 공격자들은 항상 우회하는 방법을 들고 나타남
> 다중인증이라는 것도 공격의 트렌드에 따라 계속해서 조정하고 변화시켜야 하는 요소

- 해당 사건의 경우 일부 직원이 속아서 발생한 사건이지만, 동시에 그 직원이 보안 교육을 제대로 받아 어느 정도 피해를 줄일 수 있었던 사건
> 피싱 페이지에 자신의 크리덴셜을 입력한 직후 내부 IT 팀에 해당 사실을 신고
> 피해 규모 및 대응 시간을 획기적으로 감소시킴
기타 - 최근 소셜엔지니어링 및 피싱 공격이 무섭게 증가
> 23.01월 말 경 게임사인 라이엇게임즈(Riot Games)에서 침해 사고가 발생
> 22.09 테이크투(Take Two)라는 게임사 또한 직원 크리덴셜을 도난 당해 정보가 침해

- 보안 업체 바라쿠다네트웍스(Barracuda Networks)의 조사결과
> 1350명의 IT 전문가들과 IT 보안 관리자들을 대상
> 지난 한 해 동안 75%의 응답자들이 한 번 이상의 이메일 침해 사고를 겪음
> 사고 때문에 발생한 피해액 중 최고는 100만 달러
> 피싱/스피어피싱 공격으로 인한 계정 탈취 공격에 대해서는 꽤나 취약한 모습
> 원격 근무가 보편화 된 요즘, 계정 탈취 공격에 취약하다는 건 커다란 약점이 될 수 있음

- 딱 한 사람이 피싱에 속아도 조직 전체가 피해를 입게 된다는 게 명확히 드러난 사건

- 레딧은 사용자 비밀번호 등은 유출되지 않았다고 밝힘
> 계정 보호를 위해 이중 요소 인증을 설정하고 몇 개월에 한 번씩 암호를 갱신하거나 암호 매니저를 사용하라고 권장

 

보안뉴스

 

레딧 해킹 사건이 드러낸 한 사람의 중요성

최근 유명 온라인 커뮤니티인 레딧(Reddit)에서 해킹 사고가 발생했다. 이 때문에 다중인증이라는 현대 조직들의 방어 시스템에 존재하는 약점이 고스란히 드러났다. 결론부터 말하자면 공격자들

www.boannews.com

 

“소스 코드 등 도난” 레딧도 해킹 피해 - 테크레시피

해외 커뮤니티 사이트인 레딧(Reddit)이 2월 10일 지난 2월 5일 사이버 공격을 받아 업무 시스템에 침입, 소스 코드와 사내 문서 등을 도난당했다고 발표했다. 레딧에서 만든 스레드에서 2월 5일 밤

techrecipe.co.kr

'보안뉴스' 카테고리의 다른 글

개인정보위, 카카오톡 오픈채팅방 개인정보 유출 관련 조사 착수 외 3건  (0) 2023.03.15
앱 서명 인증서 유출, 최근 국내외 발생사례와 대응방안 살펴보니  (0) 2023.03.06
한미 합동 사이버 보안 권고문 발표... 북한 랜섬웨어 공격 대응 외 2건  (0) 2023.02.12
VMware ESXi 취약점 패치 필수! 최근 랜섬웨어 유포에 악용 외 2건  (0) 2023.02.11
[패스워드리스 체험기] 네이버의 야심찬 선언 “비밀번호여, 이젠 안녕”  (0) 2023.02.08

+ Recent posts

티스토리툴바