20.11.17 ( 크롬 최신 버전으로 위장한 악성 앱 주의, 러시아와 북한의 해킹 단체들 코로나 연구 기관을 공격, 유튜브 영상 다운받다가 랜섬웨어 감염될 수 있다, 해커들이 좋아하는 API 공격 방법..

1. 크롬 최신 버전으로 위장한 악성 앱 주의!

 

최근 '크롬 웹브라우저 최신 버전'을 업데이트하라며 악성 앱 설치를 유도한 뒤 스마트폰내 정보 탈취를 시도하는 스미싱 사례가 발견되었다고 합니다.😀

출처 : 안랩 최신 보안 뉴스

공격자는 먼저 상품 배송과 관련된 내용 등 스미싱 문구의 단골 소재로 악성 앱 다운로드 URL이 담긴 스미싱 문자를 발송한다고 합니다.

 

사용자가 해당 문자메시지 내 URL을 실행하면 피싱 사이트에 연결되며, 위의 사진 처럼 팝업 메시지가 나타난다고 하네요.😀

 

해당 팝업 메시지의 '확인' 버튼을 클릭하면 'Chrome'이라는 파일명의 악성 설치파일(.apk)이 다운로드 된다고 합니다.

 

쉽게 속을 수 밖에 없는 이유는 정상 크롬 앱과 로고가 동일하여 가짜 파일인지 판별하기 어렵다고 하네요!

 

설치 이후 악성 앱은 사용자 스마트폰에서 문자, 주소록, SD카드, 계정정보, 휴대폰 고유식별정보 등 개인정보를 포함한 휴대폰 내 주요 정보를 공격자에게 모두 전송한다고 합니다.🤨

 

 

 

2. 러시아와 북한의 해킹 단체들 코로나 연구 기관을 공격

 

국가 지원을 받는 해킹 단체 세 곳이 현재 활발하게 코로나 바이러스 백신 및 치료법 개발 기업들을 공격하고 있다고 합니다.🤨

 

이 그룹은 러시아의 팬시비어(Fancy Bear)와 북한의 라자루스 그룹(Lazarus Group), 세륨(Cerium)이라고 합니다.

 

MS의 부회장인 톰버트는 최소 7개 코로나 관련 조직들이 사이버 공격에 노출되어 있다고 발표했으며, 공격이 발견된 나라는 캐나다, 프랑스, 인도, 한국, 미국으로 코로나 백신 연구와 개발을 위해 국가의 지원을 받는 곳이라고 밝혔습니다.

 

일부 공격은 "성공적"이라고 했지만 자세히 설명되지는 않았다고 합니다. 다만 공격 기법에 대해 다음과 같이 분류했다고 합니다.

- 팬시비어 : 비밀번호 스프레이 / 브르투포스를 통한 직원 계정 침해

- 라자루스 : 스피어피싱을 통한 크리덴셜 탈취

- 세륨 " 스피어피싱을 통한 크리덴셜 탈취

 

MS는 현재까지 피해 조직과 피해 규모, 공격과 관련된 상세한 내용은 밝히지 않았지만, 코로나 연구 성과를 노리는 사이버 공격도 공동으로 대응해야 한다고 강조했다고 합니다.😀

 

 

 

3. 유튜브 영상 다운받다가 랜섬웨어 감염될 수 있다

 

최근 유튜브 영상 고화질 다운로드로 위장한 피싱 사이트에서 '블루크랩 랜섬웨어'를 유포하는 사례가 발견되었다고 합니다.😮

 

이는 공격자가 취약한 웹서버를 탈취한 후, '유튜브 영상 고화질 다운로드'라는 키워드를 이용한 악성 게시글을 업로드했다고 합니다.

 

사용자가 이 피싱 사이트에 접속해 다운로드 링크를 클릭하면, 압축파일 형태 파일이 다운로드 된다고 합니다.

 

파일 압축 해제 후, 자바스크립트 형태(.js) 파일을 실행하면 관리자 권한을 요구하는 팝업창이 뜨며 '예'를 누를 경우 랜섬웨어에 감염된다고 합니다.

 

만일 '아니요'를 누르거나 PC를 재부팅한다고 해도 해당 팝업창이 지속적으로 나타나 사용자가 '예'를 클릭하도록 유도하낟고 합니다.🤨

 

이러한 랜섬웨어에 예방하기 위해선 보안수칙을 준수해야한다고 합니다.😀

 

 

 

4. 해커들이 좋아하는 API 공격 방법 4가지

 

(1) 코드 주입

 

공격자들은 멀쩡한 API를 자신들의 목적에 맞게 오염시키는 방법을 즐겨 사용한다고 합니다. 이를 위해 '코드 주입'이라는 기법을 활발히 사용한다고 합니다. 이것도 모르고 오염된 API를 사용하면, 해커들이 원하는 방향으로 기능하게 된다고 합니다.

 

API에 코드가 주입되었는지 확인하려면 여러 가지 '수동 점검'을 진행하는 것이 가장 좋다고 합니다. 특히 요청 확인을 강도높게 실시하여, 다각도로 기능을 점검함으로써 예상치 못한 반응이 나오는지 살펴야 한다고 합니다.😀

 

(2) 리플레이 요청 공격

 

악성 행위자들이 반복적으로 요청을 전송하는 것을 허락하는 API의 경우 이 공격에 취약하다고 합니다. 첫번째 악성 요청이 거부되더라도 공격자는 얼마든지 다음 요청을 전송할 수 있게 된다고 합니다. 그런데 이렇게 여러 요청이 반복해서 오는 것을 막는 API가 비교적 적기 때문에 해커들이 이 방법을 선호한다고 합니다.🤨

 

이 공격은 일종의 브루트 포스 공격으로 볼 수도 있으며, 막으려면 HMAC 인증을 활용해 요청 시도 제한 규정을 적용하거나 다중 인증과 생애 주기가 짧은 OAuth 접근 토큰을 활용하는 것이 좋다고 합니다.

 

(3) 요청 조작 공격

 

이 공격은 CSRF로 인증된 웹 애플리케이션(API)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격이라고 합니다. 인기가 많은 공격으로 유명 웹사이트들을 공격한 사례가 있다고 합니다.

 

공격자들은 주로 서버에서 생성되는 토큰들, 그 중에서도 HTML 코드에 감춰져 있는 토큰들을 활용해 CSRF 공격을 성립시킨다고 합니다. 이 토큰들은 요청이 만들어질 때마다 요청과 함께 서버로 전송되는 것으로, 이 토큰들을 통해 서버는 해당 요청을 신뢰할 수 있는지 확인할 수 있다고 합니다.😀

 

(4) 사용자 인증 파괴

 

API 개발자들이 항상 인증 시스템을 신경 쓰는 것은 아니며, 인증 절차가 제대로 갖춰지지 않는다면 매우 취약해 진다고 합니다. 만일 이러한 API가 해커에게 들어가게 된다면, 해커는 인증된 사용자인 것처럼 스스로를 위장시키고 각종 행위를 할 수 있게 된다고 합니다.🤨

 

이러한 공격을 방어하려면 타임스탬프 요청을 활용하는 것이 도움이 된다고 합니다. 이렇게 해두면 현재의 타임스탬프와 요청에 붙어 있는 타임스탬프를 비교할 수 있게 된다고 합니다. 이 비교값이 타당할 경우에 인증이 통과된다고 합니다.😀

 

 

 

 

 

 

 

 

 

 

 

출처

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29688&key=&dir_group_dist=&dir_code=&searchDate=

'크롬 최신 버전'으로 위장한 악성 앱 요주의

www.boannews.com/media/view.asp?idx=92611&page=1&mkind=1&kind=1

러시아와 북한의 해킹 단체들, 코로나 연구 기관에 공격 퍼부어

www.boannews.com/media/view.asp?idx=92616&page=1&mkind=1&kind=

[카드뉴스] 유튜브 영상 잘못 다운받다간 랜섬웨어 걸린다

www.boannews.com/media/view.asp?idx=92617&page=1&mkind=1&kind=1

해커들이 좋아하는 API 공격 방법 4가지