지하철 내 LTE망에서 넘어가는걸 보고 폰이 감염된 것으로 생각되었지만, 감염될만한 경로가 적었고 폰에 대해 뒤적뒤적 찾아봤지만 별다른 의심사항이 없어 좀 의아했던 일이였지요.
구글링이나, 네이버 검색으로 찾아보니 다수의 사람들이 동일한 증상으로 질문을 많이 올려주셨었고, 보안 관련 블로그,페이지,뉴스 등에서도 해당 내용에 대한 이야기를 다루었던 것으로 기억됩니다.
발생 원인(Causes of malware Infection) #왜 발생하였을까?
일단 가장 처음 의심되었던 것은 감염으로 인해 host 정보가 위조되었다고 생각하여 hosts 파일과 도메인에 대해 조회를 하였지만, 정상이였습니다.
대부분 공유기를 사용하는 무선랜 환경에서 발생되고, 저 또한 그렇게 알고 있었으나 LTE에서 확인되어서 좀 의아했습니다. 물론 이부분에 대해선 따로 찾아낸게 없어, 그저 감염 WIFI에 접근 후 남아있던 캐시로 인해 LTE에서도 넘어갔다 라고 생각할 수 밖에 없습니다. (사실 캐시를 한번 비웠었는데 말이죠 =_= )
주요 행위(Activities) #증상은 어떠한가?
특정 서비스 접근 시 98.xxx.xxx.148 IP로 넘어가며, 해당 서비스 페이지에서 count9.51***.com (직접 주소쓰기가 좀 그러네요;) 로 http 요청이 나가면서 98.xxx.xxx.148 내 다른 페이지로 넘어가기 됩니다.
다른 페이지에는 대부분 사람들이 발생한다고 질문하는 "한층 개선된 chrome의 최신버전이 출시되었습니다" 메시지가 발생합니다.
이후 추가적인 액션은 없었으나, 페이지의 구성 형태를 봐선 뒷단에 Exploit kit 가 있고 취약 디바이스 or 브라우저일 경우 Exploit Code 를 이용하여 추가적인 프로그램/App 설치를 유도할 것으로 생각됩니다.
대부분의 Exploit kit는 접근한 타겟에 대해 분석하고 취약 디바이스나 브라우저라면 Exploit Code 가 포함된 페이지를 Redirection 하고, 아니라면 의미없는 페이지로 넘어가기 하는 Case 가 대부분입니다. 위 현상 또한 이미지에 있는 페이지로 이동 후 별다른 Code 없이 바로 중국 포털서비스로 넘겨줍니다.
Metasploit 에서도 Autopwn 등의 기능을 사용하고 확인하면, 임의의 랜덤한 페이지로 사용자를 이동시키는 것을 볼 수 있습니다. 그런면을 보아 Exploit kit가 포함되어 있을 것이다. 라는 생각이 드네요.
쭉 확인해보니, APK를 다운로드 하는 URL도 포함되어 있었습니다.
hxxp://98.xxx.xxx.53:8014/15779QYCJ/15~~~~~.apk
위 URL 로 요청하며, 분석당시/현재 해당 파일이 다운로드 되지 않아 APK분석은 할 수 없었네요..
대응방안
별다른거 없습니다. 일단 대부분 사이트에서 권고하듯이, 공유기에 대해 보안설정은 필수이고 아무 WIFI를 잡아 사용하는것은 안좋습니다. 또한 안드로이드던, PC이던 업데이트를 자주하여 취약점 App에 대해 패치받을 수 있도록 합니다.
 |
HAHWULSecurity engineer, Gopher and H4cker!
 |
0 개의 댓글:
Post a Comment