카테고리 없음

뉴스정리_스테가노그래피 기술 이용하는 멀웨어

JYKang_ 2019. 7. 30. 17:29

# 기사정리

남아메리카의 전자상거래 사이트들을 주 표적으로 하는 드로퍼가 발견되고 있다고 한다.

스테가노그래피 기법을 이용, 웹 사이트에 드로퍼 기능을 하는 코드가 숨겨진 JPEG 이미지를 업로드하면, JPEG 이미지의 EXIF 메타데이터를 추출해 읽어내는 PHP의 기능에 의해 멀웨어가 다운로드된다. ( EXIF에 삽입된 php 코드가 서버 측에서 이미지를 처리하는 과정에서 실행되는 것 같다. )

 

php에 대해 어느 정도 알고 있고, 이미지를 조작할 수 있다면 공격이 가능하다는 점에서 아주 어렵거나 복잡한 공격은 아니지만, 흔하지도 않은 공격 방법이라고 한다. 비슷한 원리를 이용한 공격은 2013년에 마지막으로 발견되었고, 그 당시 공격은 웹 쉘 백도어 전체가 헤더에 존재했던 것에 비해 지금은 다단계로 공격이 진행되어 더 진화한 형태라고 할 수 있다. (1단계로 이미지는 멀웨어를 다운로드하는 드롭퍼 역할만 하고_무언가를 다운로드하는 행위 자체를 악성 행위라고 단정 짓기는 어려우므로, 멀웨어 탐지를 벗어날 가능성이 크다_ 실질적인 악성 행위는 여러 단계를 걸쳐서 수행됨)

 

현재 다크웹에서는 CNP 데이터 판매량이 급증하고 있는데, 이런 추세를 감안할 때 이번 멀웨어의 공격 의도 역시 CNP 데이터 수집이라고 추정해볼 수 있다.

 

 

# 용어/기술 정리

1. 스테가노그래피 (Steganography)

: 파일이나 메시지, 이미지, 영상 등을 또 다른 파일, 메시지, 이미지, 영상 등에 숨기는 기술

: 메시지가 제 3자에게 노출되더라도 그 의미를 파악할 수 없게 하는 기술은 암호화 기술(Cryptography)

  메시지가 제 3자에게 아예 노출이 되지 않도록 숨기는 은닉 기술은 스테가노그래피

: 변경되어도 원본과 크게 달라지지 않는 부분(ex_LSB)의 데이터를 조작하거나, 파일 포맷의 헤더 등을 이용

: 메시지와 같은 데이터뿐만 아니라 실행 가능한 코드(스크립트 파일 등)가 숨겨져 있기도 함

 

2017년 랜섬웨어 유포에 사용된 이미지(스테가노그래피 기술 이용)_https://blog.alyac.co.kr/1288

 

2. 화이트리스트 기법

: ACL(Access Control List)를 이용해 접근이나 동작이 허가되는 대상을 명시, 그 외에는 차단하는 방식.

: 최근 한국이 일본의 화이트리스트(백색 국가)에서 제외될 가능성으로 시끄러운데, 특정 분야에 한정되어서 사용되는 것이 아니라 "우호적인/안전한/허용되는 대상의 목록(리스트)"정도로 넓게 이해할 수 있을 것 같다.

: 반대되는 개념으로는 블랙리스트 기법이 있다. (허용되지 않는 대상의 목록을 관리, 그 외에는 허용)

"웹 기반 방화벽(WAF)과 멀웨어 스캐너 등은 이미지 파일을 화이트리스트 기법으로 처리하는 것이 보통"

> 파일 업로드 취약점을 이용한 공격에는 asp, aspx, php, jsp 등 서버 상에서 실행 가능한 스크립트 파일이 이용되는데, 이러한 확장자를 블랙리스트로 관리할 경우 우회할 수 있는 방법이 존재하는 것으로 추정된다. 따라서 어떤 확장자로 우회하더라도 허용되는 확장자가 아닌 경우 모두 차단하는 화이트리스트 기법을 이용하는 것 같다.((2019.08.03 확인 후 수정))

 

3. CNP 사기(Card-Not-Present fraud) 

: 카드 부재 사기. 신용카드 사기의 일종. 

: 전화나 온라인상으로 거래할 경우 판매처에서 거래에 이용되는 신용카드를 직접 확인할 수 없어서(?) 발생.

: 카드번호, 카드 유효기간, 카드 보안번호(CVV/CVC), 카드 소유자의 개인정보(이름 등)를 hacking/skimming/phishing 등의 방법으로 수집해 카드의 실제 주인이 아닌 제 3자(사기꾼)가 금융거래를 하는 것. = unauthorized transaction!

: 여기에 이용되는 데이터를 cnp데이터라고 하는 것 같다.

  (즉, 결제에 필요한 카드번호, 유효기간, 보안번호, 개인정보 등=cnp 데이터)

: 판매자가 카드 유무를 확인할 수 없다,라고 국문으로 번역해서 정말로 존재하지 않는 카드 정보로 결제가 되는 건 줄 알고 "어떻게 그게 가능하지????" 싶었는데, 그게 아니라 거래 과정에서 실물 카드를 사용하는지, 카드/결제 정보를 이용해 거래를 하는지에 따라서 card-present fraud 또는 card-not-present fraud로 구분되는 거였다!

 

https://creditcards.usnews.com/articles/what-is-card-not-present-fraud

# 참고사이트

KOROMOON님 블로그_EXIF를 이용한 웹 쉘