꼰머의 보안공부

1. Browser in the Browser (BitB)

- 2022.03에 새롭게 등장한 피싱공격

- 브라우저 창 안에 또 다른 브라우저 창이 열린 것처럼 꾸며내어 사용자들을 속여 계정 정보를 알아내는 피싱 공격

- 공격자가 HTML과 CSS 코드를 활용하여 정상적인 로그인 과정 등을 흉내

- SSO(Single Sign On_한 번의 인증으로 여러 사이트를 이용할 수 있게 하는 인증) 방식을 악용

2. 실습

① 기본 소스코드는 github에 공개되어 있는 Open Source를 사용

- git clone 명령을 사용해 파일 다운로드

② pyphisher 다운로드 및 실행

- pyphisher: 파이썬을 사용한 피싱 도구로, 피싱을 위한 facebook, twitter, instagram 등 다양한 웹 사이트를 포함

python3 pyphisher.py

- pyphisher 실행 시 피싱 사이트 생성을 위한 다양한 웹 페이지를 지원하는 것을 알 수 있음

> 실습에서는 [10] Gmail New 사용

> 실행 시 옵션 선택 사항에 대해서는 스킵 처리

- 피싱을 위한 URL을 생성해주며, 해당 URL에 접속 시 Google의 로그인 창이 나타남

※ [사진 4]에서 pyphisher이 생성한 URL과 주소창의 URL이 다른 이유는 생성된 URL 접근 시 피싱 사이트 경고를 띄우며 URL이 변경됨.

③ 생성된 URL과 사용자를 속이기 위한 피싱 사이트의 설정을 진행

- index.html 파일의 내용 중 다음 부분을 피싱을 위한 설정으로 변경

- index.html을 확인해보면 span 태그를 사용해 주소를 위조하는 것을 알 수 있음

> span 태크는 웹 페이지의 일부에 스타일을 적용시키기 위해(페이지를 꾸미기위해) 사용되는 태크

> 공격자의 피싱 사이트 주소 등을 span 태그를 사용해 사용자에게 보여주어 계정 정보 등 입력 유도

> 마지막 ifram 태그 내 src 값이 공격자가 생성한 피싱 주소

④ 웹 서버 실행

-m moduele: 라이브러리 모듈을 스크립트로 실행

⑤ 외부에서 접속 시 로그인 팝업 창이 발생

- 로그인 폼이 적용되지 않아 ③의 과정에서 다른 URL로 변경해 보았지만, 정상적으로 적용되지 않음

- Kali에서 localhost:8001로 접근 시 로그인 폼 정상 출력

- 사용자가 정상적인 페이지로 착각하여 계정 정보를 입력하면, 공격자에게 PC 정보와 입력한 계정 탈취 및 파일로 저장

> 로그인 결과 403 에러(서버에 요청이 전달되었지만, 권한 때문에 거절되었다는 에러) 발생

⑥ 와이어샤크 확인

- 와이어샤크로 패킷을 확인해보면 입력한 계정 정보 확인(노출)

> 피싱페이지를 구성하는 방법에 따라 다른 결과를 보일 것으로 판단됨

3. 대응방안

① 출처가 불분명한 이메일, 메시지에 포함된 링크 클릭 금지
② URL 확인
③ 다중인증 사용
④ 팝업창이 웹 페이지 화면 내에서만 움직일 수 있으므로, 확인해보기 등 보안 규칙 준수

> 정상적인 웹 페이지 및 팝업의 경우 웹 페이지 밖으로 이동이 가능함

> 아래 동영상의 경우 실습에서 사용한 피싱 사이트로 팝업이 웹 페이지 밖으로 움직여지지 않음

1. 개요

- 23.03.16 대상 기관이 데이터 유출 및 랜섬웨어 피해를 당했다고 사칭하는 피싱메일이 미국에서 발견

- 공격자는 자신들의 안내를 따르지 않을 시 DDoS 공격을 감행하겠다고 협박

- 국내에서도 랜섬웨어 및 DDoS 등 관련 피해가 급증하는 것으로 확인되어 주의 필요

2. 내용

- 공격자는 피싱메일에서 자신이 "Midnight"이라 소개

- 또 다른 메일에서 Midnight 그룹이 "Surtr 랜섬웨어"와 "Silent 랜섬웨어"를 사칭하는 것으로 확인됨

Surtr 랜섬웨어
- 2021년 말 처음 등장한 RaaS
- 파일 암호화 후 ".Surtr" 확장자 추가
- Revil 랜섬웨어 그룹과 협력했을 가능성이 존재

Silent 랜섬웨어
- 비싱(Vishing, VoIP + Phishing)으로 랜섬웨어 유포하며, 콜백 피싱으로도 불리는 기법을 이용
- 피해자에게 자동 결제 연장 등의 피싱메일 발송
- 피해자가 메일 내 제공된 전화번호로 연락
- 공격자는 피해자에게 정보를 요구하거나 문제 해결을 위해 RDP 등의 원격 접속 도구 등 설치 유도
- 설치된 원격 접속 도구를 이용해 네트워크 접속 및 랜섬웨어 유포

- 피해 대상을 어떤 기준으로 선정되었는지 불분명하나 DDW, SNS, 뉴스 등에서 정보를 얻었을 것으로 판단

- 그러나 일부 랜섬웨어 피해자가 포함되어 있어, 다른 랜섬웨어 조직과의 협력의 가능성도 대두

- 공격자는 메일을 통해 서버에서 900GB의 "필수 데이터"를 탈취 하였다고 주장

- 공격자는 대상의 고유 데이터를 사용하여 신뢰성을 부여하고, 실제 공격보다 훨씬 적은 비용을 요구

- 관련된 또 다른 메일에서는 피해자가 금전을 지불하도록 압력을 목적으로 DDoS 공격 협박

- "Phantom Squad"라는 이름을 가진 DDoS 협박 그룹의 방식과 유사

- 실제로 금전을 지불하지 않은 피해자에게 DDoS 공격을 진행하였으나, 낮은 수준의 공격크기 였음

Phantom Squad (팬텀 스쿼드)
- 금전을 지불하지 않으면 DDoS 공격을 하겠다고 협박한 스팸성 피싱메일로 다수 판단
- 그러나 실제로, Xbox Live, Sony PlayStation, Steam 등에 DDoS 공격을 감행한 이력이 있음
- 0.2 비트코인(~$720)을 요구

3. 참고

[1] https://www.bleepingcomputer.com/news/security/fake-ransomware-gang-targets-us-orgs-with-empty-data-leak-threats/
[2] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=67084
[3] https://www.bleepingcomputer.com/news/security/ransomware-gangs-move-to-callback-social-engineering-attacks/
[4] https://www.bleepingcomputer.com/news/security/ddos-extortion-group-sends-ransom-demand-to-thousands-of-companies/

1. 개요

- 스마트폰은 오늘날 휴대폰의 기능을 넘어 인증 수단으로도 사용됨

1.1 심(Subscriber Identity Module, SIM)

- 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별

- 1990년대 등장하여 초기에는 단순히 가입자의 식별 정보만 확인하는 용도로 사용

- 2000년 이후 3G 서비스가 보급화된 후 주소록 저장, 교통카드, 신용카드 등의 부가 기능이 포함된 유심(Universal Subscriber Identity Module, USIM) 카드가 사용

- 유심칩에는 고유 번호가 있고, 이동통신사에 휴대전화 개통을 위해 필요한 정보가 모두 있어 다른 휴대전화로 바꿔 꽂아도 사용가능

2. 심 스와핑 (SIM Swapping)

- 피해자 스마트폰의 유심정보를 복제해 피해자의 개인정보 또는 은행이나 금융정보에 접근 및 탈취하는 신종 해킹 수법

- 상당수의 심 스와핑 공격은 개인들의 가상화폐 탈취가 주된 목적인 것으로 나타남

- 보통 피해자가 휴대폰을 확인하지 못하거나(ex 새벽), 고객샌터와 연결이 어려운 시간대(ex 새벽, 휴일) 이루어짐

2.1 원인

- 개인 정보를 많이 수집한 경우에 한해서 심 스와핑이 종종 발생

> 소셜 미디어 등에 공개한 이메일, 생일 등 정보 + 해킹 등으로 탈취한 개인정보 = 한 개인에대한 완성된 정보

> 사용자를 가장해 이동통신사에 연락해 신원을 인증한 후 유심칩을 재발급

- 일반적으로 새로운 심카드를 발급했다면 기존의 심카드는 폐기하고, 해당 내용이 통신사의 전산 시스템에 기록됨

> 심 스와핑의 경우 이러한 과정을 거치지 않아 동일한 유심이 2개가 됨

> 이로인해, 공격자가 복사한 유심을 휴대폰에 끼운 채 재부팅을 하면 전산상으로 "기기 변경"이 이뤄진 것으로 기록됨

> 즉, 공격자가 유심을 복재하였지만 전산상 해킹의 흔적이 남지않음

> 반대로, 정상 사용자의 휴대폰은 통신모듈이 정지되고 가입자 식별도 불가능해짐

※ 사용자가 이상을 인지한 후 유심을 뺀 후 다시 넣고 전원을 켜면 공격자의 휴대폰이 먹통이 되는 원리

2.2 공격 방식

① 개인정보 수집

- 피싱, 악성코드, SNS 등의 다양한 해킹 기법을 통해 개인정보와 금융정보를 수집

- 다크웹에서 유출된 개인정보 구매

② 심 스와핑 수행

- 피해자를 사칭해 이동통신사나 온라인으로 유심 신청

- 유심 분실, 파손을 이유로 피해자를 가장해 재발급 신청 또는 관련 직원 매수

③ 개인정보 및 금융자산 탈취

- 새로운 유심을 사용해 피해자의 계정을 이용해 추가 정보 탈취

※ 해외와 국내의 공격 방식은 차이를 보임

2.3 사례

- 미국 FBI는 심 스와핑이 갈수록 악용되고 있다고 경고

> 2018 ~ 2020년까지 약 1200만 달러(약 143억 원)의 피해액이 발생

> 2021년 한 해만 6800만 달러(약 810억 원)의 피해액이 발생

① 미국 AT&T 사례

- 미국의 한 사용자는 심 스와핑으로 2380만 달러의 암호화폐를 도난

- AT&T 대리점 직원이 심 스와핑을 도왔던 정황이 밝혀짐

- 이동통신사인 AT&T에 도난당한 피해액의 10배에 달하는 소송을 제기

② 캐나다 심 스와핑 사례

- 10대 소년 해커가 심 스와핑으로 432억 원(4600만 캐나다 달러)가량의 가상화폐 탈취

> 이동통신사를 속여 새로운 유심을 발급

> 전화번호를 이용한 비밀번호 초기화에 성공한 뒤 자신의 전자지갑에 가상화폐를 옮긴 것

- 캐나다 경찰과 FBI는 1년 8개월의 공조 수사를 통해 캐나다 온타리오주 해밀턴에서 체포

③ 유럽정보보호원(European Union Agency for Cybersecurity)이 발간한 '심 스와핑 대응' 보고서

> 설문에 응한 유럽 22개국 48개 이동통신(MNO) 사업자 중 25곳이 심 스와핑 사고를 경험

> 이들 중 6곳에선 관련 사고가 50건 이상 발생

④ KT 심 스와핑 사례

- 전산상 해킹의 흔적이 없어 KT는 단순히 '기기변경'으로 판단 및 추가대응하지 않음

- 피해자들은 KT에 다음 정보를 요청하였지만, 받아 들여지지 않음

> 기존 기지국 정보와 복제된 유심을 사용해 재부팅 시 기지국 정보가 다를 경우 공격을 의심해 볼 수 있음

> 피해자들은 개보위에 분쟁조정위원회를 요청하였고, KT에 기지국 정보를 제공하라 조정_KT는 문자를 수신한 기지국 정보는 제3자의 기지국 정보이기 때문에 제공할 수 없다고 거부

> 피해자들은 다시 분쟁조정위원회 요청 및 개보법에따라 정보를 제공하라고 결론

제35조(개인정보의 열람) ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. <하략>

3. 대응방안

① 이동통신사에 연락해 전화 회선 자체를 일시 정지 요청

- 대표적인 증상은 전화나 문자가 제대로 송·수신되지 않거나 무선 네트워크 접속 불가 등의 메시지가 표시됨

- 휴대전화를 끄지 않고 무단 접근에 대한 알람이 수신되는 것을 확인

② 유심에 비밀번호(PIN 번호) 또는 다른 USIM 사용 제한 설정

- 핀을 사용하면 통신기기를 재시동하거나 심 카드를 제거할때마다 핀 번호를 입력해야 함

- 초기 유심 카드 비밀번호는 0000 또는 00000000이며, 3회 이상 틀릴 경우 유심이 잠김

- 단, 해커가 유심을 새로 발급할 때는 효과가 없음

③ 앱 기반 2단계 인증 등 별도의 보안 장치를 사용

- SMS 또는 스마트폰 번호가 아닌 앱을 활용한 인증기능을 사용

- 단, 해커가 휴대전화를 통제하게 되면 우회할 수 있음

④ 엠세이퍼(M-Safer) 서비스 이용

 - 한국정보통신진흥협회(KAIT)에서 운영 중인 이동전화 가입 제한 서비스 이용

- 가입제한 서비스 : 본인 아닌 타인으로부터 이동전화 신규가입 또는 명의변경 등을 제한하는 서비스

- 가입사실현황조회 서비스: 본인 명의로 가입된 통신서비스 현황을 조회일자 기준으로 확인할 수 있는 서비스

- SMS안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 가입자 본인 명의로 사용하고 있는 이동전화 회선을 통해 SMS로 알려주는 서비스

- 이메일안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 e-mail로 알려주는 서비스

※ 서비스는 신청자에 한하여 제공

⑤ 계정 잠금 요청

- 가상화폐거래소, 금융권 등 이용중인 서비스에 계정 잠금 요청

⑥ 개인 정보 관리

- FBI는 소셜 미디어나 웹사이트에 자신의 신상과 투자 정보, 금융 자산 정보를 공개하지 말 것을 권고

⑦ 기본 보안 수칙 준수

- 검증되지 않은 하이퍼링크, 첨부파일은 되도록 열지 않는 것을 권장

- 스스로 개인정보를 보호하기 위한 노력과 보안 실천 수칙들을 숙지

4. 참고

[1] https://www.joongang.co.kr/article/25091396#home
[2] https://m.nocutnews.co.kr/news/5717179
[3] https://www.boannews.com/media/view.asp?idx=106573
[4] https://blog.naver.com/n_privacy/222649951402
[5] https://www.ajunews.com/view/20220123163806841
[6] https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=2340
[7] https://www.sedaily.com/NewsView/260XD7N878
[8] https://hummingbird.tistory.com/6906
[9] https://finjoy.net/483

1. 이메일(E-mail)

- 네트워크. 그 중에서도 주로 인터넷을 이용한 메세지 송수신 규약

- 오늘날 이메일은 가장 널리 사용되는 디지털 커뮤니케이션 방법 중 하나

1.1 위협

- 수많은 사이버 공격이 이메일로부터 시작

- 최근 팬데믹 이후 재택근무 등 비대면 업무가 보편화되면서 이메일을 통한 공격이 증가

- 이메일을 사용해 소셜 엔지니어링, 랜섬웨어, 피싱 메일 등을 통한 사이버 위협이 증가하는 추세

- 아크로니스 ‘2022년 하반기 사이버 위협 및 동향 보고서’

> 피싱 및 악성 이메일 위협이 60% 증가했으며, 사건당 평균 데이터 유출 피해 비용이 500만 달러를 넘어설 것으로 예상

> 사회 공학적 공격이 지난 4개월 동안 급증하여 전체 공격의 3%를 차지

2. BEC 공격

- 기업 이메일 침해 (Business Email Compromise, BEC)

- 피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격 즉, 정당한 송신자로 위장하여 수신자를 속이는 방법

> 기업들을 위해 개발된 마케팅 서비스와 도구, 구글의 무료 번역 서비스인 구글 트랜슬레이트(Google Translate)를 활용

> 이메일 마케팅 도구나 번역 도구 모두 점점 정확해지고 사용 방법도 간단해지고 있으며 가격도 저렴해지는 추세

- 멀웨어를 활용하는것 보다 쉬운 공격 형태이며, 추적의 어려움 및 투자 시간 대비 높은 수익을 얻어 공격자들에게 인기

- 정상적인 내부 업무 프로세스와 절차를 악용하기에 피해 사실을 즉시 인지하기 어려움

- 공격자는 기업 인프라 외부에 위치

2.1 피해

- 2022년 발생한 사이버 공격 사례 중 랜섬웨어 뒤를 이어 가장 많이 발생한 공격

- 2016 ~ 2019 전 세계에서 260억 달러의 피해가 발생하였으며, 2022년 한 해 동안 누적된 피해액은 430억 달러로 집계

- 파이어브릭 오스트리치(Firebrick Ostrich)

> 2021년 4월부터 지금까지 151개 기업과 기관들을 사칭하고, 212개 악성 도메인들을 생성

> 자신들이 사칭하는 회사가, 공격 표적이 된 회사와 서로 사업적 관계를 맺고 있다는 것만 알면 공격을 시작

> 조사 후 사칭할 회사와 유사한 웹 도메인 생성하고, 가상의 회사를 생성해 메일을 전송

> 공격 표적에 계좌번호를 전송해 입금을 유도하는 메일 사용

2.2 대응

- 정당한 송신자로 위장해 수신자를 속이는 수법이므로 임직원의 보안인식 제고가 필요

> ‘늘 합리적으로 의심하라’는 교육부터 시작

> 사내 공식 프로세스를 좀 더 탄탄하게 형성 > 한두 사람의 담당자가 임의로 업무를 완료할 수 없도록

> 악성 메일 모의훈련 진행

- 행동 패턴을 기반으로 한 머신러닝 및 인공지능 도구를 투입

> 메일, 메일과 관련된 트래픽, 그 메일로부터 나온 첨부파일이나 링크가 비정상적인 행동 패턴을 나타내는지 확인

3. EAC 공격

- 이메일 계정 침해 공격 (Email Account Compromise, EAC)

- 다양한 방법을 동원해 실제 메일 계정을 침해(탈취)한 후 공격에 악용

3.1 피해

- 실제 이메일 계정을 탈취하므로 추가적인 공격을 수행할 수 있음

> 계정 침해가 이뤄진 다음에는 DMARC 등 이메일 보안 매커니즘이 작동하지 않음

> 메일함에 저장된 민감한 정보를 찾아 빼돌리기

> 공격자가 제어하는 또 다른 계정으로 중요한 메일을 송수신할 수 있도록 설정 변경

> 연락처에 저장된 곳으로 스팸 메일 전송

- 공격자가 실제로 기업의 인프라 내에 들어와 있음

> BEC 공격보다 더욱 치명적인 결과를 초래할 위험이 있음

3.2 대응

- 실제 공격을 통해 이메일 계정을 탈취하므로 계정에대한 보호가 필요

> 계정 장악을 위한 온갖 공격 시나리오로부터 실질적인 방어 대책이 마련

> 100% 방어률을 기록하지 못한다는 것을 인지

> 외부 메일 모니터링과 기업 방화벽 내에서부터 발생되는 이메일 메시지들에 대한 악성 여부 점검도 실시

4. 참고

- https://www.boannews.com/media/view.asp?idx=93197

- https://www.boannews.com/media/view.asp?idx=113972

- http://www.boannews.com/media/view.asp?idx=69256&page=2&mkind=1&kind=1

- https://www.itbiznews.com/news/articleView.html?idxno=63857 

- https://www.cloudflare.com/ko-kr/learning/email-security/what-is-email/

- https://www.dailysecu.com/news/articleView.html?idxno=142574 

- https://www.acronis.com/en-us/lp/cyberthreats-report-2022-end-year/#registration

- https://mantos.kr/8

1. 사회공학기법 유형

2. 사회공학기법 대응

1. 사회공학(Social Engineering)이란

- 기술적인 방법이 아닌 사람들 간의 신뢰를 바탕으로 사람을 속여 정보를 획득하는 기법.

- 케빈 미트닉 : 기업 정보 보안에 있어서 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용되지 않은 중요한 프로그램이나 잘못 설정된 방화벽이 아니다. 가장 큰 위협은 바로 당신이다.

2. 공격 흐름

① 정보 수집하기

- 공격 대상과 관련된 사적, 공적 정보 등 관련된 다양한 정보를 수집.

- 쓰레기통 뒤지기, 파쇄된 문서 맞추기, SNS 등을 통해 정보 수집.

② 의사소통

- ① 단계에서 얻은 정보를 바탕으로 공격 대상과 관계 형성 및 추가 정보 획득.

- 공격 대상과 신뢰를 형성하고 경계심을 줄임.

③ 도출

- ② 단계에서 형성한 신뢰를 통해 공격자가 원하는 정보나 목표를 이루기 위해 공격 대상에게 요청.

④ 프리텍스팅

- 공격 대상이 공격자의 요청에 응할 경우 피해가 발생.

2.1) 사회공학 사이클

- 케빈 미트닉에 의한 4단계 분류

1단계(research)

공격자는 목표 기업의 사내 보안 규정에 휴대용 저장 매체(ex: USB 메모리) 보안에 관련된 사항이 없으며 USB 메모리 사용에 대한 규정이 없다는 것을 발견하였다.

2단계(developing trust)

공격자는 최근에 나온 USB 3.0 메모리를 구매한 후 백도어를 생성하는 악성 코드를 삽입한다. 공격자는 USB 3.0 메모리를 퇴근 시간에 목표 회사의 현관에 떨어뜨려 놓는다.

3단계(exploiting trust)

보안 교육을 제대로 받지 않은 신입 사원이 마침 업무에 필요한 USB 3.0 메모리를 발견하고 호기심과 함께 자신의 업무용 컴퓨터에 연결을 해 본다. 컴퓨터가 USB 3.0 메모리를 인식함과 동시에 해당 컴퓨터에는 백도어가 자동으로 설치된다.

4단계(utilizing trust)

공격자는 백도어가 설치된 컴퓨터에 수시로 접속하여 정보를 빼내거나 사내 네트워크에 접속하여 또 다른 취약점이 있는지 확인한다.