꼰머의 보안공부

1. 국방모바일보안

- 국방모바일보안 앱은 국방부에서 개발과 배포를 담당하고 있는 MDM(Mobile Device Management) 애플리케이션

- 모든 병사, 직원 및 외부 출입자들은 보안 상 의무적으로 설치해야 하는 앱으로, 병사용, 직원용, 외부인용 버전이 존재

- 현재 국방부는 군 내부 보안규정에 따라 부대 출입 시 국방모바일보안 앱을 사용하도록 조치

- 군사 기밀 유출을 방지하기 위해 위치 기반 카메라 차단 기능을 제공 (전화, 인터넷 등 기능은 차단되지 않음)

- 군사 시설 내 NFC 기기에 접촉하여 카메라를 비활성화 하며, 위병소에 설치된 비콘을 인식해 활성화

※ 비콘으로 카메라를 활성화하지 못한 경우 앱에 사전 등록된 공공기관 등 주소를 찾아 위치 기반으로 차단 해제 필요

- 시민단체 인터랩에 의해 사용자 개인정보 및 군사정보 유출이 가능한 보안 취약점이 발견

2. 주요내용

2.1 사용자 개인정보 관련 취약점

- 세 가지 버전 모두 GPS 위치정보와 시간, 날짜를 일일 로그 파일에 작성

- 로그 저장 경로: /data/user/0/kr.go.mnd.mmsa/files/MobileSticker/log

- 로그는 사용자가 위치 기반으로 기기 잠금 해제를 시도하는 등의 ActivityCheckOutGPS 액티비티에 관련된 GPS 기능을 사용할 때 작성됨

위험 1. CWE-532: Insertion of Sensitive Information into Log File

- 로그 파일에 저장된 정보는 민감 정보일 수 있으며, 공격자에게 중요한 정보를 제공할 수 있음

> 배포 전 로그 레벨을 적절히 설정하여 민감한 사용자 데이터와 시스템 정보가 노출되지 않도록 하는 것이 중요

- 국방모바일보안 앱의 경우 GPS 정보를 로그에 기록함으로써 위치정보가 노출될 수 있음

위험 2. 위치정보법

- 위치정보법에 근거 위치정보는 개인정보로 취급되며, 위치정보 수집을 위해서는 사용자의 동의를 받아야 함

- 또한, 수집ㆍ이용ㆍ제공 목적을 달성한 때에는 위치정보를 지체없이 파기하여야 함

제2조 (정의)
1. “위치정보”라 함은 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 「전기통신사업법」 제2조제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 측위(測位)된 것을 말한다.
2. “개인위치정보”라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알수 있는 것을 포함한다)를 말한다.

제18조(개인위치정보의 수집)
① 위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.

제23조(개인위치정보의 파기 등) 
① 위치정보사업자등은 개인위치정보의 수집, 이용 또는 제공목적을 달성한 때에는 제16조제2항에 따라 기록ㆍ보존하여야 하는 위치정보 수집ㆍ이용ㆍ제공사실 확인자료 외의 개인위치정보는 즉시 파기하여야 한다. 다만, 다른 법률에 따라 보유하여야 하거나 대통령령으로 정하는 정당한 사유가 있는 경우 개인위치정보를 보유할 수 있다

- 세 가지 버전 모두 플레이스토어 앱 정보에서 "국방모바일보안앱은 사용자의 개인정보 일체를 수집 및 취급하지 않습니다." 명시

> 앱 설치 시에도 개인정보를 수집하지 않는다고 안내하지만, 로그로 기록하며, 위치정보법 제 18조 위반에 해당

- 국방모바일보안 앱에서 위치정보를 기록한 후 미리 저장된 위치정보(앱 작동 범위)와 비교 목적으로만 사용

> 위치 정보 비교 후 더 이상 필요하지 않으므로 파기해야 하지만, 로그로 기록하며, 위치정보법 제 23조 위반에 해당

2.2 데이터베이스 관련 취약점

- 국방모바일보안 앱에는 AegisGate.db 라는 이름의 로컬 SQL 데이터베이스가 포함

> 해당 데이터베이스는 기기의 정보(관리자 전화번호, 기기 정보, 설정 정보)를 기록 및 저장하며, 앱이 특정 기능을 수행할 때 사용됨

위험 1. 불필요 데이터 저장

- 외부인 버전에서 사용자로부터 AdminTelephone 번호를 입력 받아 AdminTellInfo 테이블에 기록

- 직원 버전에서 수/발신 전화번호가 ConfigInfo 테이블에 기록

- 해당 데이터를 앱에서 사용되지 않지만 기록되어 외부에 노출되어 악용될 가능성 존재

위험 2. 미흡한 암호화

- 데이터베이스에 포함된 모든 값들은 AES/CBC/PKCS5Padding 으로 암호화되고 base64 로 인코딩

> 그 중 AES 키는 타임스탬프를 기반으로 하여 생성되는데, 타임스탬프는 SHA256 인코딩을 거쳐 생성된 32 바이트 값

> 전화번호는 타임스탬프 기반 키와 앱에서 생성된 IV 값을 이용해 암호화를 거친 뒤 base64 로 인코딩되어 저장

- [사진 3]의 메소드에서 타임스탬프 기반으로 생성된 키가 AgentK 테이블에 저장됨 

> 공격자가 데이터베이스와 IV에 접근할 수 있을 경우 데이터베이스에 저장된 데이터를 복호화 할 수 있게 됨

2.3 위치 정보  관련 취약점

- 국방모바일보안 앱의 전반적인 보안은 좋은 편

> 공격자가 기기에 접근할 수 있을 때 개인정보 유출을 초래하는 취약점 발견

> 해당 취약점은 국방모바일보안(외부인) 2.1.17, 국방모바일보안(직원) 2.1.25 버전에 존재

- 두 버전에는 "BroadcastReceiverExternal"이라는 브로드캐스트 리시버가 존재

- 권한이 설정되어 있지않아 누구나 리시버를 내보낼 수 있음

※ 브로드캐스트 리시버: 안드로이드는 기기의 상태 변화 이벤트(충전, 비행기 모드 설정 등)가 발생한 경우 인텐트로 감싸진 Broadcast 신호를 보내는데, 해당 신호를 받아 인텐트 필터를 통해 구분 후 관련된 기능에 전달해 주는 역할을 수행

- 브로드캐스트 리시버는 “com.markany.aegis.AEGIS_ACTION_ADMIN_REQUEST” 인텐트 필터를 가짐

> 해당 인텐트가 포함된 브로드캐스 수신 시 문자열 값 “action_admin”과 “action_admin_exportLog”이 포함되는지 확인

> 두 문자열이 포함된 경우 앱이 기록한 모든 로그를 /storage/emulated/0/Aegis/ 경로로 추출

- Drozer에서 다음의 명령을 수행할 경우 누구나 접근 가능한 저장소 디렉토리에 로그 추출이 가능함

※ Drozer: 모바일 앱 취약점 진단 프레임워크로 안드로이드 시스템에 접근하여 앱을 동적으로 진단할 수 있는 도구이며, 서버-클라이언트로 동작

run app.broadcast.send --action com.markany.aegis.AEGIS_ACTION_ADMIN_REQUEST --component kr.go.mnd.mmsa.of kr.go.mnd.mmsa.of.br.BroadcastReceiverExternal --extra string action_admin action_admin_exportLog

- 이 경우, 사용자에게 알림이 발생하며, 추출된 로그를 통해 대략적인 GPS 위치 정보 등을 확인 가능

※ 앱에서 직접 로그를 추출은 관리자 권한이 없어 불가능

- 국방부는 해당 취약점에 대해 다음과 같은 입장을 발표

> 인터랩 제보 통해 해당 취약점 확인 및 개발업체와 협조해 보완 조치중

> 국방모바일보안 앱은 사용자 데이터를 수집하지 않으며, GPS 기록은 개인 휴대전화 내부에 로그로만 저장될 뿐 유출 위험은 없음

> 개발업체와 협조하여 앱 로그에 GPS 정보가 포함되지 않도록 보완할 예정

> GPS 정보는 부대 외부에서 국방모바일보안 앱 해제를 위해 이용될 뿐 부대 위치 정보는 포함되지 않음

> 국방모바일보안 앱은 사용자 등록 및 로그인 기능이 없어 개인정보 보관 등의 우려는 없음

3. 참고

[1] https://interlab.or.kr/archives/19268
[2] https://www.boannews.com/media/view.asp?idx=118437&page=1&kind=1

보안뉴스

오랜만에 잠실 롯데월드몰에서 쇼핑을 했다. 친구를 만나기 전에 시간이 남아 구경하며 시간을 때우려 했었는데, 그동안 살까 말까 고민하던 향수를 구매하였다. 사실 대학교 다닐 때 잠깐 향수를 사용했었는데, 그때는 향기 보다 가격에 더 우선순위를 두어서 그런지 매번 향수는 별로라고 생각했었다. 그러다 우연히 지인들과 향수 얘기를 하게 되어 다시 사볼까 하는 생각이 들기도 했던지라 우연한 기회가 온 만큼 구매를 하게 되었다.

두 가지 향수를 구매했는데, 한 가지는 러쉬 더티이고, 다른 한 가지는 메종 마르지엘라 레이지 선데이 모닝이다. 

먼저 러쉬 더티는 추천하는 글을 너무나도 많이 봐서 혹시 마케팅이 아닌가 할 정도로 의심을 했었다. 그리고, 매장을 지날 때 풍기는 향이 너무 진하다는 생각도 했었다. 매장을 방문하기 전까지도 긴가민가 하다가 밑져야 본전이라는 생각에 매장을 방문했고 직원분에게 20대 남자가 쓰기 좋은 향수가 있을까 물어보았다. 

직원분께서는 더티와 팬지를 추천해 주셨다. 더티를 시향 해 보았을 때 상쾌한 민트향이 강했고, 팬지는 오렌지향이 강했었다. 두 가지 모두 첫 향과 잔향감을 맡아보고 큰 차이가 없는 것 같아 고민하다가 더티로 결정했다. 두 가지 외에도 여러 향을 시향 해 보았는데 러쉬 향 자체가 강한 느낌이 강한 것 같다는 느낌을 받았다. 한 가지 아쉬운 점은 향수 캡이 얇고 힘이 없어 불안한 느낌이 없지 않아 있다.

메종 마르지엘라 레이지 선데이 모닝은 이름에서도 알 수 있듯이 포근한 향이었다. 향수를 포장한 상자에도 이름에 어울리는 포근한 그림이 프린팅 되어있다. 매장에서는 향수 앞에 놓인 시향지를 통해 시향을 할 수 있었다. 시향한 느낌은 더티나 팬지와 달리 포근하고 가벼운 꽃 향이라는 생각이 들었다. 거리를 지나다 은은하게 퍼지는 꽃향기처럼 부담스럽지 않고 기분 좋은 향이었다. 시향을 하면 할 수록 점점 향기에 매료되어갔다. 향수 보틀이 다른 향수 보틀과 달리 독특한데, 찾아보니 약재용 병에서 영감을 받아 캡이 없는 디자인이 특징이라고 한다. 

그리고 친구와 같이 시화나래휴게소를 향해 드라이브를 다녀왔다. 날씨가 좋고 주말이라 이동하는 차들이 많아 정체가 있었지만 맑은 하늘과 신나는 노래를 틀어놓고 수다를 떨다 보니 정체가 신경 쓰이지 않았다. 서해라서 혹시나 간조가 아닐까 걱정했지만 다행히도 만조라 시원한 바다를 볼 수 있었다. 커피를 사들고 휴게소 내 마련된 공원에 돗자리를 펴놓고 편하게 쉬다가 왔다. 나무 그늘 아래 앉아있으니 풀냄새와 시원한 바람, 가끔씩 들려오는 파도 소리를 들으니 천국이 따로 없었다. 그리고 오랜만에 야외에서 아기들이 뛰어노는 소리와 모습을 볼 수 있어 또 좋았다. 공원 산책부터 가볍게 낚시와 차크닉을 즐기기에 좋은 장소인 것 같다.

보안뉴스

보안뉴스

1. 개요

- 텐센트와 저장대학교 연구진이 스마트폰 지문 인식을 우회할 수 있는 'BrutePrint'(브루트프린트)라는 시스템을 개발

- BrutePrint는 약15달러(약 2만)으로 제작 가능하며, 지문 인증을 무제한으로 시도해 지문 인증을 우회할 수 있음

- 방대한 지문 정보를 가진 장치를 스마트폰에 부착해 지문을 스캔하는 것으로 인식하도록 센서를 속이는 방법으로 작동

- 해당 기법을 적용하려면 대상 스마트폰에 물리적인 접근이 가능해야 함

2. 주요 내용

2.1 일반적인 지문 인식 방법

- 스마트폰 지문 인증 프로세스는 ① 획득 > ② 보정 > ③ 위조 방지 > ④ 매칭 단계로 구성

① 획득: 지문 감지

② 보정: 입력된 지문 화질 향상 및 원본 지문 화질 조정

> 데이터베이스에 저장된 원본 지문은 깨끗한 상태로 저장된 반면, 입력된 지문은 흐릿한 상태로 입력되기 때문

③ 위조 방지: 두 지문의 유사도 측정

④ 매칭: 잠금 해제

- 일반적으로 스마트폰 지문 인증 시스템은 횟수 제한 초과 시 잠금 등을 이용해 보안성을 향상

2.2 방법론

- 3가지 취약점을 이용

① CAMF(Cancel-After-Match-Fail): 특정 오류 신호가 수신될 경우 실패 시도를 초기화하는데, 해당 오류 신호를 주입하여 시도 제한 우회 

② MAL(Match-After-Lock): 잠금 모드에서 공격자가 지문 이미지의 인증 결과를 유추할 수 있는 취약점

③ SPI(Serial Peripheral Interface)의 데이터 평문 전송으로 인한 MITM 취약점

※ SPI(Serial Peripheral Interface): 지문 센서와 스마트폰 프로세서 간의 동기 직렬 통신에 사용

- 연구에 사용된 지문 정보의 수집은 학술적 목적의 지문 데이터베이스와 유출된 지문 정보를 이용

2.3 디바이스

- 지문 이미지 저장용 메모리 SD 플래시, 컨트롤러 STM32F412, 스위치 RS2117, B2B 커넥터로 구성되었으며, 부품의 합계는 약 15달러(약 2만원)

- 디바이스는 운영보드와 공격보드로 구성되어 있어, 스마트폰 지문 인증 센서에 오인식시키는 것이 가능함

- 저장된 지문 데이터를 수집하고, 수집된 데이터와 저장된 지문 데이터베이스를 사용해 지문 사전을 생성해 공격 수행

- 스마트폰 기종별로 적용된 지문 판독 유형은 정전식, 광학식, 초박형, 초음파식 등 다양

> 대상의 판독 유형에 맞춰 가공한 이미지를 전송할 수 있도록 설계

2.4 결과

- Apple iPhone SE와 Apple iPhone 7 제외한 나머지 스마트폰에서 지문 인증을 무제한으로 실행해 우회하는데 성공

- 또한, 스마트폰 소유자에 대한 사전 지식이 없는 상태에서도 최단 40분 만에 우회에 성공

2.5 완화 방안

- CAMF 관련 검증을 추가하여 모니터링 - Ex) 임계값

> 오류로 인한 초기화 여부 확인 및 발생 횟수를 카운트하여 임계값 도달 시 보안 수준 강화

- 스마트폰 제조 벤더사의 중요 데이터 암호화 책임 강화

3. 추가 대응 방안

- 등록 지문 개수 최소화

> 갤럭시의 경우 최대 4개의 다른 지문을 추가할 수 있음

> 다수의 지문이 등록된 경우 다른 공격 유형에 노출될 위험 증가

- PIN 등 암호 추가 적용

4. 참고

1. 취약점 [1]

- 공격자가 조작된 XML 페이로드를 전송하여 원격 코드 실행을 실행하는 취약점

- XMLDecoder를 이용한 역직렬화 과정에서 취약점이 발생

① 영향받는 버전
- WebLogic Server 10.3.6.0.0
- WebLogic Server 12.1.3.0.0
- WebLogic Server 12.2.1.1.0
- WebLogic Server 12.2.1.2.0

② 관련 URL
- /wls-wsat/CoordinatorPortType
- /wls-wsat/CoordinatorPortType11
- /wls-wsat/ParticipantPortType
- /wls-wsat/ParticipantPortType11
- /wls-wsat/RegistrationPortTypeRPC
- /wls-wsat/RegistrationPortTypeRPC11
- /wls-wsat/RegistrationRequesterPortType
- /wls-wsat/RegistrationRequesterPortType11

2. 실습

Attacker 환경
- Kali Linux

Victim 환경
- CentOS 7 x64
- WebLogic Server 10.3.6.0.0
- Java: JDK1.7.0_80

- WebLogic Server 10.3.6.0.0 설치 및 구동 [2][3]

> JDK8로 설치를 진행하였는데, 도메인 생성 과정 중 도메인 생성 실패 오류 발생

> 구글링 결과 JDK8과 WebLogic 10.3.6.0은 호환이 되지 않아 발생하는 문제로, JDK7을 이용함

**** Domain Creation Failed! java.lang.SecurityException: The provider self-integrity check failed. ****

- registry.xml 파일에서 Weblogic 버전을 확인할 수 있음

> 버전 확인 방법

① java weblogic.version 명령 이용

② config.xml 파일 상단 <domain-version> 태그 확인 / 명령어: cd ${DOMAIN_HOME}/config 

③ registry.xml 파일에서 version 확인 / 명령어: cd ${MW_HOME};cat registry.xml

④ WebLogic Admin Console 좌측 하단 확인 또는 [로그인] > [환경] > [서버] > [서버이름] > [모니터링] > [일반] 확인

- 구동 후 외부에서 정상 접근 확인

- 공개된 PoC를 통해 스캔 결과 취약점에 영향 받음_[+]표시_을 확인 [4]

- /wls-wsat/CoordinatorPortType11 URL에 shell.jsp 업로드 성공

> 비밀번호(password 매개변수_값 secfree)와 임의의 명령(command 매개변수)을 사용자로부터 입력받아 실행한 결과를 반환하는 웹쉘로 확인됨

- 공격자는 조건을 만족한 URL을 통해 임의의 명령을 실행 및 결과를 확인할 수 있음

> 조건 1: 비밀번호(password)는 secfree 

> 조건 2: 임의의 명령(command) 전달

3. 8220 Gang [5]

- 2017년부터 활동한 해킹그룹으로 암호화폐 채굴을 목적으로 활동

> C2와 통신을 위해 8220 포트를 사용하여 파생된 이름

> Tsunami 멀웨어, XMRIG 크립토마이너, Masscan, Spirit 등을 공격에 이용

- 최근 CVE-2017-3506 또는 lwp-download를 사용하는 사례가 확인

> lwp-download: URL에서 파일을 다운로드하는 리눅스 유틸리티

- 8220 Gang 해킹그룹이 CVE-2017-3506를 이용하는 과정 및 파일은 다음과 같음

① wls-wsat/CoordinatorPortType URL을 이용해 취약한 서버에 진입

② PowerShell 스크립트로 드로퍼 다운로드

③ 드로퍼를 이용해 최종적으로 암호화폐 채굴기 다운로드 및 설치

> 공격에 사용된 스크립트와 바이너리 파일은 Base64 인코딩과 난독화가 적용

> 피해자가 인지하지 못하도록 숨겨진 창으로 명령 실행

> AMSI 감지 비활성화 수행

※ AMSI(Antimalware Scan Interface): 응용 프로그램 및 서비스와 시스템에 있는 모든 맬웨어 방지 제품이 통합할 수 있도록 하는 다목적 인터페이스 표준

> 공격에 사용된 파일

4. 대응방안

① 벤더사 제공 패치 및 업데이트 적용 [6]

② wls-wsat 미사용 시 삭제

> rm -rf /app/wls1036/wlserver_10.3/server/lib/wls-wsat.war
> rm -rf /app/wls1036/domains/domain/servers/portal/tmp/_WL_internal/wls-wsat
> rm -rf /app/wls1036/domains/domain/servers/portal/tmp/.internal/wls-wsat.war
> rm -rf /app/wls1036/domains/domain/servers/admin/tmp/_WL_internal/wls-wsat
> rm -rf /app/wls1036/domains/domain/servers/admin/tmp/.internal/wls-wsat.war

③ wls-wsat 컴포넌트 비활성화 옵션 추가
> $DOMAIN_HOME/bin/setDomainEnv.sh 파일 수정 [7]

④ WAF에서 wls-wsat 하위 URL(/wls-wsat/*) 차단

> /wls-wsat/CoordinatorPortType
> /wls-wsat/CoordinatorPortType11
> /wls-wsat/ParticipantPortType
> /wls-wsat/ParticipantPortType11
> /wls-wsat/RegistrationPortTypeRPC
> /wls-wsat/RegistrationPortTypeRPC11
> /wls-wsat/RegistrationRequesterPortType
> /wls-wsat/RegistrationRequesterPortType11

⑤ 침해지표 모니터링 [5]

참고

[1] https://nvd.nist.gov/vuln/detail/CVE-2017-3506
[2] http://1004lucifer.blogspot.com/2018/08/weblogic-linux-103-1211.html
[3] http://1004lucifer.blogspot.com/2018/08/weblogiclinux-103-1211.html
[4] https://github.com/Al1ex/CVE-2017-3506
[5] https://www.trendmicro.com/en_us/research/23/e/8220-gang-evolution-new-strategies-adapted.html
[6] https://www.oracle.com/security-alerts/cpuapr2017.html
[7] http://1004lucifer.blogspot.com/2018/12/weblogic-cve-2017-10271.html

1. 개요

- 북한 해킹조직들이 대한민국 국민들을 대상으로 무차별·지속적 해킹공격을 진행

- 국가정보원이 처음으로 北해킹공격 관련 통계를 공개하며 경각심 제고

※ 대한민국 대상 해킹공격 중, 2020~2022년에 발생한 북한으로부터의 사이버 공격 및 피해통계를 공개

- 북한발 공격은 이메일을 악용한 해킹 공격(74%), 취약점 악용(20%), 워터링 홀(3%), 공급망 공격(2%), 기타(1%) 순으로 집계

※ 국민 대부분이 사용하는 상용 메일을 통한 해킹공격을 한다는 것은, 국민 전체를 대상으로 해킹공격을 하고 있다는 뜻

2. 주요내용

- 북한은 해킹메일로 확보한 계정정보를 이용해 정보 탈취하며, 수발신 관계를 분석해 2~3차 공격대상을 선정 및 악성코드 유포 등을 수행

- 북한이 사칭한 기관 비율은 다음과 같음

> 일반적으로 발신자명을 먼저 확인하는 점에 착안해 주로 네이버, 카카오를 사칭

- 또한, 해킹 메일 제목은 다음과 같음

> 계정 정보, 회원 정보 등 변경 또는 이용제한 안내와 같이 계정 보안 문제를 주제로 피싱메일 발송

- 사칭 발신자명 및 사칭 메일주소

> 사용자들의 의심을 낮추기위해 '발신자명'과 '메일 제목'을 교묘히 변형

3. 사칭방법 및 대응방안

- 관리자를 사칭하며, 악성 링크를 삽입해 계정 입력 유도 및 정보 탈취

대응방안	참고
발신자 이름을 유사하게 흉내내므로, 아이콘 차이 확인
발신자 주소 확인	※ 공식 메일주소 - 사칭 메일주소 비교 표 참고
메일 내 링크 주소 확인
링크 클릭 후 표시되는 화면의 주소 확인
메일 무단열람 방지를 위한 2단계 인증 설정
일반적인 보안 규칙 준수	- 출처가 불분명한 파일, 링크 실행 및 클릭 금지 등

4. 참고

[1] https://www.nis.go.kr:4016/CM/1_4/view.do?seq=234&currentPage=1&selectBox=&searchKeyword=&fromDate=&toDate= 

[2] https://www.boannews.com/media/view.asp?idx=118493&page=1&kind=2