- 챗GPT를 속여 고급 데이터 탈취형 멀웨어를 만드는 데 성공했다고 한 전문가 발표 > 시그니처 기반 탐지 도구나 행동 패턴 기반 탐지 도구로는 탐지할 수 없음 > 챗GPT에는 악의적인 활용을 차단하는 보호 기능이 탑재되어 있으나, 우회하는 방법들이 등장 중
내용
- 해당 전문가는 과거에 멀웨어를 개발해 본 경험이 전무하며, 멀웨어를 만들 때에 단 한 줄의 코드도 스스로 작성하지 않았음 > 챗GPT로 간단한 명령 실행문을 여러 개 작성 후 하나로 합침
-특정 문서를 자동으로 검색해 찾아내고, 찾아낸 문서들을 잘게 쪼개 이미지 파일에 삽입하여 구글 드라이브로 업로드 하는 멀웨어 > 4시간만에 멀웨어를 완성하고 바이러스토탈에서 탐지되지 않는 것을 확인
- 다음 사유로인해 연구 결과를 발표 > ChatGPT가 마련한 악용 방지 보호장치를 우회하는 것이 얼마나 쉬운지 > 코드를 작성하지 않고 ChatGPT만 사용하여 고급 악성코드를 생성하는 것이 얼마나 쉬운지
- 멀웨어 작성 과정 ① 최초 멀웨어 생성 요청에는 ChatGPT 거절
② 로컬 디스크에서 5MB보다 큰 PNG 파일을 검색하는 코드를 만들어달라 요청 ③ 발견된 PNG 파일들에 스테가노그래피 기법을 덧입히는 코드 요청 ④ 내문서, Desktop 및 AppData 폴더에서 워드 문서와 PDF 문서를 검색해 찾는 코드 요청 > 유출할 문서를 찾기위한 목적
⑤ 유출된 파일을 구글 드라이브에 업로드하기 위한 코드 요청 > 구글 도메인의 경우 대부분의 기업이 신뢰하기 때문 ⑥ 1MB보다 큰 파일의 경우 분해해 PNG 스테가노그래피 파일에 삽입하는 코드 요청
⑦ 테스트 결과 정상 동작 확인 - 생성된 멀웨어가 바이러스토탈에서 탐지되는지 확인 > 테스트 1: 5/60 Malicious - 스테가노그래피 관련 라이브러리를 변경 진행 > 테스트 2: 2/60 Malicious - 추가적인 작업 진행 > 테스트 3: 0/60 Malicious
기타
- 이번 작업을 진행하면서 걱정되는 점 > 인공지능을 기반으로 한 챗봇은 난독화의 목적을 스스로 이해하고 있는 것처럼 보임 > 탐지 우회와 관련된 내용을 구체적으로 요청하거나 언급하지 않았는데도, 탐지가 되지 않는 방법을 스스로 찾음
- 챗GPT를 둘러싼 각종 보안 연구가 현재 활발히 진행 중 > 현재 보안 업계에서는 챗GPT가 피싱 공격을 매우 효과적으로 바꿔준다는 데에 동의 > 하지만, 챗GPT가 멀웨어를 만들어준다거나 새로운 익스플로잇을 발견해낼 수 있다는 것에 대해서는 분석이 더 필요
- 멀웨어 전문가들은 챗GPT를 통해 화면 보호기 파일을 생성한 후 실행파일을 삽입하는 실험을 진행 > 챗GPT에 매일 기업에서 사용하는 애플리케이션들의 쉬운 활용법을 안내하기 위한 작업으로 입력 > 챗GPT는 아주 상세하게 SCR 파일(화면 보호기 파일)에 어떻게 실행파일을 삽입하고 자동으로 실행시키는지 답변
- 취약한 버전의 WindowWinVerifyTrust 함수의 서명 유효성 검사 취약점으로인해 발생하는 임의 코드 실행 취약점
- 공격자는 해당 취약점을 악용해 기존 서명을 유지하고, 서명된 파일을 수정하여 파일에 악성 코드 추가 가능
영향받는 버전 ① Microsoft Windows XP SP2 및 SP3 ② Windows Server 2003 SP2 ③ Windows Vista SP2 ④ Windows Server 2008 SP2 및 R2 SP1 ⑤ Windows 7 SP1 ⑥ Windows 8 ⑦ Windows 8.1 ⑧ Windows Server 2012 Gold 및 R2 ⑨ Windows RT Gold 및 8.1
3. 대응방안
① 벤더사 제공 업데이트 적용 [5]
- MS는 Windows Authenticode로 서명된 바이너리들의 인증 방식 자체를 변경 > 서명된 바이너리를 누군가 변경하면 해당 바이너리를 더 이상 서명된 바이너리로 윈도우가 인식하지 않도록 한 것 > ‘옵트인’ 방식으로 이루어졌으며, 사용자들이 패치를 적용할 것인지 말 것인지를 선택하도록 함
※ 옵트인: 당사자가 개인 데이터 수집을 허용하기 전까지 당사자의 데이터 수집을 금지하는 제도
- 그러나, 2014.07.29 Microsoft는 더 이상 지원되는 Microsoft Windows 릴리스의 기본 기능으로 더 엄격한 확인 동작을 시행할 계획이 없다고 발표
> 사실상 패치가 되지 않은 채(사용자 스스로 패치를 진행하지 않는 이상) 사용 중
- 레지스트리 편집을 통해 취약점 수정이 가능 [6][7]
> 해당 취약점에 관한 실질적인 조치 방안이 아닌것으로 확인됨
> 레지스트리를 수정하여도 Window 업데이트 시 해당 레지스트리가 삭제되기 때문
- 23.04 Microsoft는 해당 취약점을 포함한 총 97개의 보안 패치를 발표 [8][9]
> 또한 제로데이 취약점과, 초고위험도 취약점 및 랜섬웨어 유포에 악용된 취약점이 포함되어 있어 패치 적용 필수
- 영상 회의 솔루션인 PBX와 기업용 통신 앱(윈도용, 맥OS용, 리눅스용)인 3CX 데스크톱앱을 제공하는 벤더사
2. 취약점
-3CX는전 세계 60만 개 기업이 고객사로 알려져 있으며, 솔루션을 사용하는 사람은 매일 약 1200만 명으로 알려짐
- 다수의 보안 업체에서 3CX 데스크톱앱 바이너리의 정상 업데이트 파일에서 수상한 행동 패턴의 확인을 알렸고, 관련 조사를 통해 확인
- 국내 모 대학에서 공급망 공격이 알려지기 이전에 18.12.407 버전과 18.12.416 버전의 3CX Electron Windows App 설치 로그 확인
- 북한의 라자루스(Lazarus)로 추정되는 해킹 그룹이 CVE-2013-3900 및 고푸람 멀웨어를 이용, 윈도우와 맥 사용자들을 대상으로 3CX의 VoIP 데스크톱 애플리케이션을 침해
고푸람(Gopuram) - 2020년 동남아시아 암호화폐 기업에서 최초 발견된 백도어 - 여러 기능을 가진 모듈을 포함: 데이터 탈취, 추가 멀웨어 설치, 임의 서비스 시작, 종료 및 삭제, 피해자 시스템의 직접 제어 권한 등 - 애플제우스(AppleJeus)라는 또 다른 백도어가 함께 설치 - 고푸람, 애플제우스 모두 라자루스와 연관
영향받는 제품 및 버전 ① Electron Windows application shipped in Update 7 - 18.12.407 - 18.12.416
② Electron macOS application - 18.11.1213 - 18.12.402 - 18.12.407 - 18.12.416
2.1 CVE-2013-3900
- 2013년에 발견되고 패치된 취약점
- 당시 MS의 설명에 따르면, 익스플로잇에 성공한 공격자들은 서명된 실행파일에 악성 코드를 삽입할 수 있게 된다고함
- MS는 윈도 오센티코드(Windows Authenticode)로 서명된 바이너리들의 인증 방식 자체를 변경
> 서명된 바이너리를 누군가 변경하면 해당 바이너리를 더 이상 서명된 바이너리로 윈도우가 인식하지 않도록 한 것
> ‘옵트인’ 방식으로 이루어졌으며, 사용자들이 패치를 적용할 것인지 말 것인지를 선택하도록 함
2.2 공격 방식
- 애플리케이션의 설치 패키지(MSI 파일) 내에 있는 두 개의 DLL이 공격자에 의해 감염
- 3CX의 인증서로 서명되어 있었으며, 자동 업데이트를 통해 DLL 파일을 유포
- 유포된 DLL은 추가 악성 파일을 설치 및 실행하여 정보 유출형 악성코드 인포스틸러 설치
- 공격 방식은 다음과 같음
① 침해된 파일 3CXDesktopApp.exe가 실행되면, DLL Side-Loading 기법으로 ffmpeg.dll이 로드됨
> ffmpeg.dll: d3dcompiler.dll에서 악성쉘 코드를 읽고 로드 및 실행하기 위해 사용되는 트로이목마 DLL
② ffmpeg.dll은 다시 d3dcompiler.dll을 DLL Side-Loading 기법으로 로드
> d3dcompiler.dll: 입력된 16진수 문자열 뒤에 암호화된 쉘코드가 추가된 DLL
[사진 1] d3dvompiler.dll 로드 과정
③ d3dcompiler.dll은 쉘코드를 복호화해 C2 접근을 위한 ICO 파일이 있는 GitHub 저장소 엑세스
> 3jB(2bsG#@c7 키와 함께 RC4를 사용하여 악성 쉘코드 복호화
> GitHub에 엑세스하지 못하면 프로세스 종료
> GitHub 저장소: raw[.]githubusercontent[.]com/IconStorages/images/main/icon[.]ico_현재는 삭제되어 접속 불가
[사진 2] 하드코딩된 GitHub 저장소
④ ICO 파일을 이용해 C2 엑세스 시도
- Window
> ICO 파일: Based64 인코딩 및 AES+GCM 암호화 사용
> ICO 파일의 뒷부분에는 실제 C&C 서버의 주소들이 인코딩되어 존재하며, 이를 복호화 할 경우 실제 C&C 서버 주소가 확인
[사진 3] 공격에 사용된 ICO 파일
> 다운로더는 ICO 파일의 뒷부분에서 “$” 시그니처를 검색한 후 인코딩된 문자열을 찾아 복호화
[사진 4] ICO 파일에 삽입된 인코딩 데이터
[사진 5] 복호화된 C2 주소
- MAC
> 공격자는 DMG 설치 파일에 악성코드를 삽입
[사진 6] MAC 공격에 사용된 파일
> 설치 파일 내부에 존재하는 공유 라이브러리 파일들 중 libffmpeg.dylib 파일에는 C&C 주소가 XOR 인코딩되어 저장되어 있음
[사진 7] XOR 인코딩된 C2 주소 목록
⑤ 인포스틸러 멀웨어로 정보 수집
> 지정된 애플리케이션이 아닌 임의 애플리케이션에 의해 로드되면 에러 발생
> 3CXDesktopApp 폴더에서 config.json 파일을 확인하여 호스트 이름, 도메인 이름, OS 버전 정보 수집
[사진 8] config.json 확인
> 미리 정의된 문자열 목록을 이용해 Chrome, Edge, Brave 브라우저의 History 및 FireFox의 places.sqlite 정보 수집
[사진 9] 미리 정의된 문자열 목록
[사진 10] 공격 방식 요약
2.2.1 DLL Side-Loding 기법
- 안티바이러스 S/W에 의해 탐지되는 것을 우회하여 악성코드를 전파하기 위해 사용하는 기법 중 하나
- 윈도우 OS의 DLL loading 메카니즘을 악용한 기법
- 윈도우 애플리케이션 실행 과정에서 필요한 시점에 동적으로 라이브러리를 호출하는데, 이를 DLL (Dynamic Linking Library)이라 함
- 이때, 필요한 DLL의 이름은 애플리케이션에 따라 내부에 명시되어 있거나, 없을 수도 있음
- 만약 DLL이 애플리케이션 내부에 명시되어 있지 않은 경우 OS에 미리 정의된 순서에 따라 DLL을 찾음
Window OS의 DLL 검색 순서 ① Application이 load 된 Directory ② 현재 Directory ③ 시스템 Directory ④ 16비트 시스템 Directory ⑤ Windows Directory ⑥ PATH 환경 변수에 나열된 Directory
- DLL 검색 순서를 악용해, 특정 애플리케이션이 사용하는 DLL이 아닌 악성코드가 포함된 DLL을 OS가 먼저 검색하여 실행하도록하는 기법
- 단, 악성 DLL의 이름은 정상 DLL의 이름과 동일해야 함
3. 조사 보고서
- MANDIANT는 해당 사건에 대한 분석 보고서를 발표
- 해당 공격은 과거 발생한 1차 공급망 공격이 2차 공급망 공격으로 이어진 최초의 사례
[사진 11] 공격 과정 요약
3.1 내용 요약
① 최초 침입 벡터: 트레이딩 테크놀로지스(Trading Technologies) 소프트웨어 엑스트레이더(X_TRADER) 설치 패키지
- 엑스트레이더는 금융거래를 목적으로 사용하는 소프트웨어
- 공격자는 모종의 사유로 트레이딩 테크놀로지스를 침해해 엑스트레이더 설치 패키지를 감염
> 공격에 사용된 파일명: X_TRADER_r7.17.90p608.exe (MD5: ef4ab22e565684424b4142b1294f1f4d)
> 엑스트레이더는 2020년 서비스가 종료되었지만, 웹 사이트에서 2022년에도 다운로드가 가능했음
> 또한, 감염된 소프트웨어에를 서명하는데 사용된 인증서는 2022.10 만료되도록 설정
② 3CX 직원이 감염된 설치 패키지 다운 및 실행
- 감염된 소프트웨어 설치파일 setup.exe를 실행 및 악성 파일이 추출되어 백도어 설치
> SIGFLIP: RC4로 페이로드를 해독하고 바이트 시퀀스 FEEDFACE를 사용하여 쉘코드 검색
> DAVESHELL: 드로퍼 역할을 수행하는 쉘코드
> VEILEDSIGNAL (MD5: c6441c961dcad0fe127514a918eaabd4): C2 통신을 위한 백도어로, C2 주소 하드코딩
③ 공격자의 내부 이동 및 공격 지속성 유지
- 백도어와 오픈 소스 FRP를 이용해 3CX 내부를 이동하며 자격 증명을 수집
> FRP: NAT 또는 방화벽 뒤에 있는 로컬 서버를 인터넷에 노출할 수 있는 빠른 역방향 프록시
- 공격을 지속하기 위해 추가작업 수행
> Window: Taxhaul 멀웨어로 DLL 사이드로딩을 사용하여 지속성을 달성하고 탐지 가능성을 줄이며, Coldcat 다운로더를 배포
> Mac: POOLRAT 백도어로 지속성 달성
④ UNC4736 공격 그룹
> 3CX 공급망 공격과 트레이딩 테크놀로지스 공급망 공격의 배후를 모두 북한 해킹그룹으로 추정되는 UNC4736로 지목
⑤ 3CX는 공격을 탐지하는 데 사용할 수 있는 YARA 규칙 및 IoC 공유
4. 대응방안
① 벤더사 관련 공지 참고
> 3CX에서는 현재 새로운 인증서 발급 준비 중이며, 인증서 발급 전까지 PWA 애플리케이션을 대신 사용할 것을 권장
- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화
4. Lockbit 랜섬웨어 국세청 해킹 주장
1. 개요
- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급
2. 주요내용
- 23.04.01 오후 8시 유출 데이터 공개 예고
- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음
3. 대응방안
- 랜섬웨어 대응 방안 준수 및 모니터링 강화
5. 쿠팡 개인정보 유출
1. 개요
- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시
2. 주요내용
- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출
- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등
- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단
※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음
- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표
※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중
3. 대응방안
- 해킹 관련 대응 방안 준수 및 모니터링 강화
6. 해외사례
- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개
※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등
- 23.03.16 대상 기관이 데이터 유출 및 랜섬웨어 피해를 당했다고 사칭하는 피싱메일이 미국에서 발견
- 공격자는 자신들의 안내를 따르지 않을 시 DDoS 공격을 감행하겠다고 협박
- 국내에서도 랜섬웨어 및 DDoS 등 관련 피해가 급증하는 것으로 확인되어 주의 필요
[사진 1] KISA 보호나라 2023_사이버 보안 위협 전망 보고서.pdf 中 랜섬웨어(좌) 및 DDoS(우) 증가 추이
2. 내용
- 공격자는 피싱메일에서 자신이 "Midnight"이라 소개
- 또 다른 메일에서 Midnight 그룹이 "Surtr 랜섬웨어"와 "Silent 랜섬웨어"를 사칭하는 것으로 확인됨
Surtr 랜섬웨어 - 2021년 말 처음 등장한 RaaS - 파일 암호화 후 ".Surtr" 확장자 추가 - Revil 랜섬웨어 그룹과 협력했을 가능성이 존재
Silent 랜섬웨어 - 비싱(Vishing, VoIP + Phishing)으로 랜섬웨어 유포하며, 콜백 피싱으로도 불리는 기법을 이용 - 피해자에게 자동 결제 연장 등의 피싱메일 발송 - 피해자가 메일 내 제공된 전화번호로 연락 - 공격자는 피해자에게 정보를 요구하거나 문제 해결을 위해 RDP 등의 원격 접속 도구 등 설치 유도 - 설치된 원격 접속 도구를 이용해 네트워크 접속 및 랜섬웨어 유포
- 피해 대상을 어떤 기준으로 선정되었는지 불분명하나 DDW, SNS, 뉴스 등에서 정보를 얻었을 것으로 판단
- 그러나 일부 랜섬웨어 피해자가 포함되어 있어, 다른 랜섬웨어 조직과의 협력의 가능성도 대두
- 공격자는 메일을 통해 서버에서 900GB의 "필수 데이터"를 탈취 하였다고 주장
- 공격자는 대상의 고유 데이터를 사용하여 신뢰성을 부여하고, 실제 공격보다 훨씬 적은 비용을 요구
[사진 2] 랜섬웨어 피해 사칭 메일
- 관련된 또 다른 메일에서는 피해자가 금전을 지불하도록 압력을 목적으로 DDoS 공격 협박
- "Phantom Squad"라는 이름을 가진 DDoS 협박 그룹의 방식과 유사
- 실제로 금전을 지불하지 않은 피해자에게 DDoS 공격을 진행하였으나, 낮은 수준의 공격크기 였음
Phantom Squad (팬텀 스쿼드) - 금전을 지불하지 않으면 DDoS 공격을 하겠다고 협박한 스팸성 피싱메일로 다수 판단 - 그러나 실제로, Xbox Live, Sony PlayStation, Steam 등에 DDoS 공격을 감행한 이력이 있음 - 0.2 비트코인(~$720)을 요구
2023년 3월 31일, 어느덧 그날이 다가왔습니다. 카트라이더가 라이더님과 함께 해온 소중한 여정에 마침표를 찍게 되었습니다.
라이더 여러분과 함께 달려온 지난 18여 년은 카트라이더 개발팀 모두에게 무엇과도 바꿀 수 없는 소중하고 행복한 기억입니다.
라이더 여러분과 수없이 많은 계절을 함께 보내며 매 순간 벅찬 마음으로 모두에게 사랑받는 게임이 되기 위한 도전을 멈추지 않았습니다. 라이더 여러분이 보내주셨던 따뜻한 관심, 따끔한 충고 그 모두가 개발진의 치열한 고민과 쉼 없는 도전의 원동력이 되어주었습니다. 라이더 여러분께 마음 깊이 감사드리며 함께한 시간 영광이었습니다.
인연의 끝은 언제나 아쉬움으로 가득하지만, 그 과정 속 의미를 되새기고 안녕을 건네고자 합니다. 카트라이더와 함께한 시간이 라이더 여러분께 잊을 수 없는 행복한 추억이었길 바라며, 개발팀 또한 라이더 여러분들과 함께 한 모든 순간을 가슴 깊이 간직하겠습니다.
끝이 아닌 새로운 시작을 향해 달려 나가는 카트라이더의 미래에도 한없이 따뜻한 관심과 성원을 부탁드립니다.
감사합니다.
사랑과 존경을 가득 담아, 카트라이더 개발팀 드림
2004.08.18부터 6,800일째 되는 2023.03.31 23:59을 끝으로 카트라이더 서비스가 종료되었다.
카트라이더는 2004.04.12 1차 CBT 때부터 시작해서 서비스 종료 시점까지 매일은 아니더라도 꾸준히 즐겨 하던 게임이었다. 주변에서는 카트라이더를 망겜이라 왜 하냐는 말들이 정말 많았고, 게임을 할 때도 망겜이라고 생각한 적이 많았다. 하지만 카트라이더는 그동안 해보았던 게임 중에 최초로 만랩을 달성했고, 주변에 소개한 최초의 게임이었으며, 학창 시절을 함께했고, 책임져준 또 다른 친구였다.
사실 서비스 종료 얘기가 나왔을 때는 설마 했고, 3.31 서비스 종료 일자를 본 순간에는 만우절 장난이었으면 했었다. 카트라이더에 직접 접속해 마지막 순간을 함께 하고 싶었지만, 일정상 접속하지 못하였다. 그 대신 트위치 스트리머 분들의 방송을 통해 마지막 순간을 지켜보았다.
카트라이더 서비스 종료 전 시스템 메시지가 상단에 흘러나왔다. 카트라이더 서비스 종료와 그동안 함께해 준 유저들에게 전하는 마지막 메시지였다. 인 게임에서 직접 확인하지 못하였지만, 순간 가슴이 먹먹해지면서 울컥해 부끄럽지만 눈물이 흘렀다. 앞서 말한 대로 카트라이더는 단순한 게임의 의미를 넘어 오랜 친구와도 같은 게임이었다. 18년 동안의 기억이 통째로 삭제된듯한 기분이었다.
