[News Clipping] 2021. 06. 2주차

Main News - 다중인증, 공격자들은 이미 우회하는 방법 깨우치고 있다

다중인증, 공격자들은 이미 우회하는 방법 깨우치고 있다

크리덴셜을 겨냥한 사이버 공격의 증가 – 여러 조직들에서 다중인증 시스템 적용

--> 이 다중인증 시스템에 공격자들이 적응하기 시작했다는 분석 보고서 나옴

 

사이버아크가 발견한 바에 의하면 공격자들이 다중인증 시스템을 우회하는 방법은 최소 서너가지 -> 이 방법들을 활용할 경우 다중인증 시스템의 효과를 크게 낮출 수 있음

싱글사인온(Single Sign On SSO) : 인프라에서 비밀키를 훔치는 것/ 솔라윈즈 사태때 공격자들이 활용했었음

 

코로나 사태로 많은 사람들이 원격 근무 시작 – 다중인증의 필요성 극대화

-> 많이 사용된 것이 SSO. 그러나 중요한 결함이 있을 수 있음

> 어떤 기업의 경우, 사용자가 SSO 인프라에 로그인하고 나면 중요한 자산에 접근할 때도 다시 인증 할 필요가 없도록 인프라 구성, 이럴 때 공격자가 저단계 장비에 SSO로 접근하는데 성공함으로써 민감한 정보 등에도 접근할 수 있게 됨(권한 상승 공격과 같은 효과)

> 아이덴티티를 기반으로 인증 nwh가 짜여져 있지 않다는 것이 치명적 약점

> 다중인증의 기본 구조가 되어야 할 제로트러스트가 결여되어 있음

> 그저 여러 장비와 서비스에 편리하게 로그인 되어야 한다는 필요만 만족시키는 데 집중

 

> 또 다른 기업의 경우 다중인증을 도입해 놓은 상태이지만 새로운 사용자들을 등록하는 과정 중 취약점을 유발시키기도 함

> 모바일 인증과 기업의 다중인증이 연동되도록 한 것.

> 공격자는 사용자의 핸드폰을 노려 이메일 함에 접근한 뒤 이 등록 메일만 찾아내면 됨

 

> 또 어떤 조직의 경우 원격 데스크톱에서 회사 서버로 접근할 때 다중인증을 요구하지만, 서버 제외 포트나 서버 내 애플리케이션들에 접근할 때는 다중인증을 구축하지 않음

> 공격자들이 접근할 다른 경로가 그대로 보존되었음

> 딱히 서버로 곧장 접근하지 않아도 여러 방법들이 있음

> 오히려 다중인증이 적용되었다고 방심하다가 이런 허술한 부분을 보강하지 않아 공격 발생

 

다중인증이 더 이상 효과를 발휘하지 못한다는 뜻이 아님

현재 다중인증이 허술하게 구축된 부분이 많고, 공격자들이 이를 알아내 여러 가지 방법으로 공략하기 때문에

다중인증을 구축하는 데서 끝내는 것이 아니라 계속 감시함으로써 보완을 이어가야 함.

커다란 보안 아키텍처의 일부라는 걸 좀 더 이해할 필요 있음

 

Main News - 웹하드와 토렌트에서 함부로 파일 받았다간... ‘njRAT’ 악성코드 감염된다

웹하드와 토렌트에서 함부로 파일 받았다간... ‘njRAT’ 악성코드 감염된다

최근 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 RAT 악성코드의 일종인 ‘njRAT 악성코드’가 웹하드와 토렌트를 통해 유포되고 있어 주의가 요구됨

 

njRAT 악성코드

- 다운로드 및 명령 실행, 키로깅, 사용자 계정정보 탈취 등 수행 가능 / 과거부터 공격자들에 의해 꾸준히 사용되고 있음

인터넷에서 쉽게 빌더를 구할 수 있기 때문에 국내 사용자들을 대상으로 다양한 형태로 유포 중

대표적으로 토렌트와 웹하드를 이용해 정상 프로그램으로 위장해 유포하는 방식

- njRAT 같은 이미 알려진 악성코드들은 보안 프로그램에 의해 쉽게 차단되기 때문에 공격자들은 다양한 방식을 이용해 탐지 우회

- 공격자는 올해부터 주로 토렌트를 통해 njRAT을 게임 설치 프로그램과 함께 포함시켜 유포, 최근에는 웹하드에서 유포하는 사례도 확인

- 물론 공격자가 직접 웹하드에 업로드한 것인지 또는 토렌트에서 다운로드 받은 파일을 업로더가 그대로 업로드한 것인지는 알 수 없음

- 압축파일을 풀면 사용자는 .exe가 게임 프로그램일 것으로 여겨 해당 파일을 실행할 가능성 높음

하지만 그 파일은 악성코드 로더, 실제 게임 프로그램은 .dll 이름으로 존재.

- 로더는 .dll과 악성코드를 함께 실행, 이에 따라 게임과 njRAT 악성코드가 동시에 실행되는 형태

- 이렇게 정상 프로그램으로 위장해 실제 정상 프로그램과 악성코드를 같이 실행시키는 방식은 이전에 유포되는 방식과 유사

 

- 로더 .exe는 실행 시 현재 날짜를 구한 후 6월 4일 이후부터는 예외를 발생시키고 종료되도록 하는 루틴 존재. 즉, 이 악성코드는 2021년 6월 3일까지만 동작하는 것. 또한, 현재 경로에서 실제 게임 프로그램인 .dll파일이 존재하는지 여부를 검사하며 없을 경우에도 종료됨

- 이후 data 폴더에 존재하는 .dll파일들을 Program Data 폴더에 복사 후 실행. Run Key에 등록해 재부팅 후에도 동작할 수 있도록 함. 여기 사용되는 문자열들은 인코딩되어 있으며 실행중 디코딩되어 사용됨.

 

- 과거는 악성코드가 exe파일 하나로 존재해 더블 클릭만으로 악성코드의 행위 발현, 이번에 발견된 형태는 .exe와 .dll 파일이 동일 경로에 함께 존재해야 실행됨

- 공격자는 이렇게 시간 조건을 포함해 각각의 파일들이 단독으로 실행될 수 없도록 구현,

  샌드박스 같은 보안 장비에서 악성 행위를 발현하지 못하게 하는 방해 기법 사용함

  -> 이전에 발견된 njRAT과 차별점, 시간이 지나며 분석 및 진단을 회피하는 기능들 추가되고 있음

 

자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드 하는 것을 권장

 

---

정보보안의 기술 발전에 대한 중요성이 높아지면서 날이 갈수록 보안기술이 발전하기는 하지만, 그와 비교하여 공격기법은 더욱 빠른 속도로 발전하는 것 같다. 다중인증으로 안주하는 것에 그치지 않고 계속 주시해야 하며, 자료 공유 사이트에서 다운로드 받을 때 조심하는 것은 물론, 공격자의 공격행위를 발견할 수 없도록 교묘하게 숨기는 방식도 있다고 하니 더욱 주의해야 한다. 뛰는 놈 위에 나는 놈, 그 나는 놈을 잡기 위해서 훨씬 노력해야 할 것이다.