K . N . H :: BLOG

  Microsoft - Security Intelligence Report(SIR) Vo.24

1) 가상 화폐 채굴 : 랜섬웨어보다 더 은밀하게, 돈은 더 많이!

• 공격자들은 백신 회사들의 탐지 기법으로 랜섬웨어 보다는 가상 화폐 채굴 프로그램을 선호
• 가상 화폐 채굴 프로그램은 피해자의 PC 또는 브라우저에 숨겨저 동작하는 종류로 나뉨
• 랜섬웨어 탐지 비율을 뚜렸한 하락세를 보임

2) 클라우드 분야에서의 SW 공급망 공격의 심각성 확대

• 2018년도 발생한 클라우드, 서비스, 인프라 침해와 관련된 사고 발생
  • 구글 확장 프로그램 클릭 시 악성코드 다운로드
  • Docker Hub 에 업로드된 악성 이미지를 다수의 사용자가 다운로드 한 사고
• 해당 사고를 막기 위해선 클라우드, 오픈소스, 하드웨어 제작자들의 탐지 및 방어 노력 필요

3) 피싱 공격의 여전한 강세

• 제로데이 및 APT 공격은 위한 전제조건으로 피싱이 사용되지만 방어 기법이 정교해짐에 따라 공격자들은 단일 URL, IP 사용보다는 다양한 인프라와 공격 진입점, 공공 클라우드 인프라 등을 사용하여 탐지 회피

  Symantec - ISTR 24

1) 폼재킹 공격의 대두

• 가상 화폐 가치가 떨어지면서 크립토 재킹 보다는 악성 자바 스크립트를 이용해 고객 신용카드 정보를 빼내는 폼재킹 공격 방식이 증가

2) 크립토재킹과 랜섬웨어는 하락세지만 꾸준히 지속

• 가상 화폐 가치가 폭락하면서 크립토 재킹 공격은 2018년 1월 대비 2018년 12월에 52% 감소했으나 꾸준히 탐지
• 랜섬웨어 역시 20% 하락했으나 2018년 기업 대상 공격은 12% 증가
• 익스플로잇킷 기반 유포방식에서 이메일을 통한 랜섬웨어 유포로 트렌드가 바뀜

3) 표적 공격

• 온라인 판매자들이 사용하는 3rd party 서비스의 취약점을 노리는 공급망 공격은 2018년 78% 증가
• 이메일을 열람하면 파워쉘을 실행시켜 정상 프로세스에 악성코드를 심는 방식의 공격기법이 2017년 대비 1000% 증가

  TrendMicro - Advanced Defenses for Advanced Email Threats

1) 주요 이메일 보안 위협 - 크리덴셜 피싱

가짜 office 365 로그인 양식을 이메일로 보내 피싱 사이트로 연결 유도하는 방식의 피싱 공격이 40% 증가

2) 주요 이메일 보안 위협 - BEC 공격

스푸핑된 이메일을 통해 부동산 거래 과정에서 가짜 계좌로의 입금 유도, 피해자게에 기프트 카드 구매 요구 등

전체 공격의 1% 정도에 해당하지만 피해핵은 125억 달러에 달함

※ BEC(Business Email Compromise) : 잘못된 송금을 유도하는 사이버 공격으로, 비즈니스 이메일 사기.

3) 주요 이메일 보안 위협 - 파일 남용 유형

탐지를 회피하기 위해 .ARJ .IQY 파일 같은 오래되거나 자주 사용하지 않는 확장자 파일에 백도어나 트로이 목마를 심는 방식으로 공격

4) 주요 이메일 보안 위협 - 악성코드 유포

IoT나 앱스토어를 통한 악성코드 유포가 늘어나고 있지만 악성 이메일을 통한 공격의 12%는 여전히 악성코드가 차지하고 있음

5) 대응 방안

과거의 이메일 기반으로 사용자의 작문 특성을 머신러닝으로 학습하여 의심되는 이메일과 비교하는 방법

AI와 컴퓨터 비전을 겹합하여 실시간으로 크리덴셜 피싱 시도 차단

참조 - KISA, 2019년 1분기 사이버 위협 동향 보고서

  공격 방식

공격자가 조작된 RDP 패킷을 전송하여 피해 시스템에 임의 코드를 실행할 수 있는 취약점

 ※ 공격자는 해당 공격을 통해 서비스 거부 공격 또는 랜섬웨어 감염 등에 악용할 수 있음

  공격 대상

RDP(윈도우 원격 데스크톱 프로토콜) 서비스가 실행되고 있고 최신 보안 업데이트가 적용되지 않은 시스템

  공격 영향받는 Windows 버전

o Windows XP, Windows 7, Windows Server 2003, 2008 및 2008 R2

 - Windows XP SP3 x86
 - Windows XP Professional x64 Edition SP2
 - Windows XP Embedded SP3 x86
 - Windows Server 2003 SP2 x86
 - Windows Server 2003 x64 Edition SP2
 - Windows 7 for 32-bit Systems Service Pack 1
 - Windows 7 for x64-based Systems Service Pack 1
 - Windows Server 2008 for 32-bit Systems Service Pack 2
 - Windows Server 2008 for x64-based Systems Service Pack 2
 - Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
 - Windows Server 2008 R2 for x64-based Systems Service Pack 1

  해결 방안

o 허용한 사용자만 윈도우 RDP에 접근할 수 있도록 방화벽 등을 통한 접근 통제 강화

o 영향 받는 제품의 이용자는 윈도우 자동/수동 업데이트를 이용하여 최신 버전으로 설치

    - 수동 설치가 필요한 경우 참고사이트(1번)에 접속 > “Security Updates”의 하단 Download 링크 클릭하여 설치

    - 윈도우 XP, 2003 서버 사용자의 경우 아래 참고사이트(2번)에 접속하여 보안 업데이트 파일 다운로드 및 설치

    ※ 기술지원이 종료된 Windows XP, Windows Server 2003까지 보안업데이트 제공

  참고사이트

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
[2] https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

1) 수동 설치 다운로드 위치

2) 윈도우 XP, 2003 서버 사용자 다운로드 위치

Proxychains의 사용법을 모르는 분들은 이전 포스팅을 읽으시면 도움이 되실거 같네요

Proxychains 으로 IP 숨기기 (1/2)

Proxy Chain 으로 Tor 서비스를 설정해서 사용하면 간단하고 편리합니다.

하지만 나의 패스워드나 개인정보가 어떤 Proxy를 타고가는지 알 수 없기 때문에 정보보안에 불안할 수 밖에 없죠

이번 포스팅에서는 그 불안한 문제를 해결할 수 있는 나만의 Proxy 서버 설정하는 법을 알려드리겠습니다.

먼저, Proxy Chain을 만들기 위해선 자신이 직접 Proxy 서버와 포트를 찾아야 합니다.

귀찮죠? 하지만 귀찮을수록 정보보안은 향상됩니다.

하지만 번거로움을 조금 덜고자 Proxy 서버를 알려주는 가장 깔끔하고 직관적인 사이트 소개해드립니다.

제가 찾아본 사이트 중 가장 깔끔하고 직관적이여서 저는 이 사이트를 이용합니다.

위 사진에서 궁금할 법한 것들 하나씩 소개해드릴께요.

먼저, 프로토콜이 크게 4가지로 구분되어 있습니다. HTTP, HTTPS, SOCKS4, SOCKS5

이중 HTTP와 HTTPS의 차이는 익히 아실거고 SOCKS4 와 SOCKS5는 뭐가 다를까요?

SOCKS4 vs SOCKS5

이 둘의 차이는 SOCKS4는 TCP 만 지원하는 반면 SOCKS5는 UDP까지 지원한다는게 가장 큰 차이 입니다.

UDP를 지원하니까 당연히 DNS도 이용이 가능하겠죠? 

이 둘의 차이의 자세한 정보는 아래 글을 참고해 주세요~

Difference Between SOCKS4 and SOCKS5

그리도 중간부분에 Anonymity 라는 컬럼이 보입니다. 이 컬럼은 익명성을 나타내는 것으로

익명성 옵션은 크게 3가지 로 나뉩니다. Transparent, Anonymous, Elite

Anonymity

• Transparent 서버를 이용하면 목적지에서 HTTP 헤더 분석만으로 출발지의 진짜 IP주소를 찾아낼 수 있습니다.

• Anonymous 서버를 이용하면 목적지에서 HTTP 헤더 분석만으로는 출발지의 진짜 IP주소를 찾아낼 수 없습니다. 하지만 출발지에서 Proxy 서버를 경유해서 왔구나라는 것은 알 수 있습니다. HTTP 헤더에 정보가 나오기 때문이죠

• Elite 서버를 이용하면 목적지에서 출발지IP가 진짜인지 경유한IP인지 알 수 없으며 출발지의 원래의 IP도 찾을 수 없습니다.

따라서 저는 Elite Proxy 서버만 이용하고 있지요~

자신이 선호하는 Proxy 서버를 골라서 /etc/proxychains.conf 파일을 열고 맨 아래에 보면 [ProxyList] 라는 곳이 있습니다.

거기에 자신만의 Proxy List 를 만들면 됩니다. 2개도 좋고 3개도 좋지요 늘리면 늘릴수록 추적이 더 어려워지겠죠?

속도는 더 느려지겠지만요

Proxy 서버 List 를 추가하는 방법은 위 사진과 같은 순서만 지켜 주시면 됩니다.

프로토콜  |  IP  |  포트번호

해커에 의해 침해사고가 났다는 뉴스를 보다보면

공격자가 Proxy 서버를 경유했다는 문구를 확인할 수 있습니다.

공격자는 어떻게 Proxy 서버로 어떻게 자신의 IP를 숨겼을까요?

Proxychains 이라는 툴을 이용하면 아래사진에서 보이는 것처럼 간단하게 자신의 IP를 숨길 수 있습니다.

2~로 시작하는게 원래 저의 NAT IP인데 proxychains를 사용하여 150.109.105.160으로 변경되었습니다.

Proxychains 은 Kali 리눅스에 기본적으로 설치되어 있습니다.

사용을 하기 전 먼저 설정에 대해 짚고 넘어가야 하는 부분은 크게 2가지 입니다.

첫째, 어떤 종류의 체인을 사용할 것인가

둘째, Tor를 사용할 것인가

먼저 첫째로, 체인의 종류는 크게 3가지가 있습니다.

1. Strict Chain

2. Dynamic Chain

3. Random Chain

1. Strict Chain은 체인의 순서를 사용자가 지정하는 것입니다.

장점 : Traffic 흐름이 지정된 Proxy 서버체인 순서대로 움직인다.

단점 : Proxy 서버체인 중 한곳에서라도 동작하지 않으면 체인이 끊어져 통신이 안된다.

2. Dynamic Chain은 체인의 순서를 사용자가 지정하는 것입니다. (단 예외 상황 발생 시 문제가 된 서버는 건너 뜁니다)

장점 : Proxy 서버체인 중 한곳에서라도 동작하지 않으면 그 다음 순서로 이동하여 끊김이 없다

단점 : Traffic 흐름이 예외 상황(Proxy 서버 응답 없음 등) 발생 시 지정된 순서대로 움직이지 않는다. 이걸 굳이 단점이라고 해야하나

3. Random Chain은 체인의 순서가 랜덤으로 배정됩니다.

장점 : 상대방이 IP를 추적하기가 매우 어렵다.

단점 : 추가 환경설정을 해야 한다.

둘째로 Tor를 사용할 여부 입니다.

Tor를 사용하면 따로 프록시 서버를 찾을 필요 없이 proxychains 설정파일에 기본값으로 설정 되있어서 간편합니다.

단순히 service tor start 명령어를 통해 서비스 시작만 해주면 됩니다.

How to Setup Proxychains with Tor in Kali Linux

Dynamic Chain 설정방법 (예시)

저는 Dynamic Chain을 사용하고 있는데 환경 설정을 위해 Proxychains 환경설정 파일인 

/etc/proxychains.conf 파일로 들어갑니다.

3가지 체인중 나머지는 다 주석처리 하고 dynamic_chain 만 주석을 삭제합니다.

기본 설정으로 되어 ProxyList에 Tor 서비스 (포트 9050)가 설정되어 있을 겁니다.

Tor 서비스를 시작해 준다면 모든 설정은 마쳤습니다.

아래 두 명령어를 통해 자신의 공인IP가 변경되는지 확인해 봅니다.

# curl bot.whatismyipaddress.com

# proxychains curl bot.whatismyipaddress.com

이렇게 되면 간단하게 자신의 NAT IP를 숨길 수 있습니다.

Clear~!

Proxychains 으로 IP 숨기기 - Proxy Server List

후일담으로 하나 말씀드리자면 저는 Proxychains를 사용할 때 tor 서비스를 사용하지 않습니다.

이유는, tor는 간단히 브라우저나 웹 서핑을 위해서는 적당할 수 있으나

저는 제가 구축한 서버를 대상으로 취약점 분석을 위해 nikto를 사용했는데

tor가 프록시로 사용하는 Proxy서버 중 중간 경유지에 웹방화벽이나 IPS가 있는지... 패킷이 응답이 없더라구요

그래서 저는 따로 무료료 서비스 하는 Proxy 서버 리스트 중 선택해서

Kali를 한글판을 설치하면 root에 있는 폴더가 아래 이미지와 같이 영어로 되어있지 않고

한글로 되어 있어서 폴더 이동하기가 까다롭습니다.

하지만 Kali 영어 버전을 설치하면 한글이 깨지는 증상이 발생하죠. 흠...

한글 깨짐은 참고 본다 치더라도 한글이 입력까지 안되니 여간 불편한게 아닙니다.

위 증상을 해결하기 위해 구글링으로 정보 찾아보면

일반적으로 아래와 같이 fcitx 패키지를 설치해서 해결하는 방법을 알려주는 블로그가 많습니다.

# apt-get install fcitx-hangul

# apt-get install fcitx-lib*

하지만 왜일까요.. 저는 안되더라구요.. 왜 항상 나만 안되

다시 구글링!!!

찾다찾다 보니까 해답을 발견했습니다!!!

아래 4줄의 명령어만 입력하면 모든 문재는 해결입니다.

[ Kali 한글 깨짐 해결 및 한글 입력 명령어 ]

# apt-get update

# apt-get install fonts-nanum*

# apt-get install nabi

# reboot

재부팅 하면 바탕화면 왼쪽 상단에 문자정보 아이콘이 보이게 됩니다.

Firefox를 실행하고 네이버 접속 ㄱㄱ

화면에 깨졌던 한글이 다 잘보입니다ㅎㅎ 입력도 잘 되고요~

참고로 한글을 입력하기 위해선 한/영 키가아닌 왼쪽 Shift + Space bar 를 누른다는거 기억하세요~

저는 dork94님의 블로그를 참고하여 제 문제를 해결하였습니다.

dork94님 감사합니다. 덕분에 해결했어요~

상쾌한 아침을 맞이하면서 Kali 리눅스를 쓰다가 보니 시간이 맞지 않는 것을 발견했습니다.

Linux에서 현재 날짜와 시간을 확인하는 명령어는 date 인데요.

date 명령어로 확인해보니 한국 시간이 아닌 동부표준시간(EST)로 맞춰져 있습니다.

뉴욕이 동부표준시로 맞춰져 있습니다.

시간을 변경하기 위해 구글링을 해보니

rdate (apt-get install rdate)를 설치해서 -s 옵션으로 설정하면 된다는 의견이 다수 입니다.

당연히 바로 시도를 해보았죠~

하지만 어찌된 일인지 시간이 수정되지 않는군요

재부팅을 해야되나?

재부팅을 했습니다.

그래도 안되는 군요

구글링을 더 해보자~ 뭔가 방법이 있겠지

국내 블로그에는 모두 저에게 맞지 않는 rdate 설치, ntpd 데몬을 사용해보라는 것 뿐이여서

해외 블로그를 검색해 보았습니다.

해외 블로그 확인결과

방법은 현재 자신에 맞는 타임존을 심볼릭 링크를 걸거나 또는 복사하여 /etc/localtime 파일을 만들라는 거였습니다.

현재 /etc/localtime 파일을 확인해보면 New_York 타임존인 EST에 맞춰져 있는게 보이네요

시간 수정을 위해 cp 명령어를 사용하여 /usr/share/zoneinfo/ROK 파일을 /etc/localtime 파일로 만들거나 덮어씁니다.

그러고 나서 date 명령어를 쳐보니!!!

시간이 정상적인 한국 시간으로 수정이 되었네요~

시간을 수정했을 뿐인데 나와 거리가 멀던 시스템이 한걸음 가까워진 느낌이네요

아래는 추가적으로 윈도우 시간과의 비교사진 입니다. 

오래된 Kali 버전에서는 apt-get update 를 입력했는데 segmentation fault 라는 에러 메시지가 나올때가 있습니다.

원인은 apt-get update를 하는 경로인 Repositories 주소가 만료되었기 때문입니다.

해결책은 최신의 버전의 경로로 업데이트 하면 모든 에러는 사라지면서 업데이트도 잘 될겁니다. 

칼리 공식 홈페이지인 https://docs.kali.org 에 들어가면 경로가 나왔있는데요

1. 홈페이지에 접속하여 > 05. Using Kali Linux 로 이동

2. 가장 위에 있는 "Kali sources.list Repositories" 글 클릭

3. 여기에서 아래 회색 박스 안에 있는 내용을 복사하여 /etc/apt/sources.list 에 추가

추가할 부분 : deb http://http.kali.org/kali kali-rolling main non-free contrib

이거 외에 다른 주소를 넣으면 Kali 시스템이 망가질 수도 있다고 경고문구가 명시되어 있는데

경고 무시하면 진짜로 그렇게 됩니다.ㅠ 이래서 경고는 항상 중요하게 봐야하는 부분!!!

저도 오래된 칼리 버전을 설치하고 /etc/apt/sources.list 파일에 아무 주소나 막 갔다 썼었는데

그냥 한순간에 시스템이 부팅이 안되더라구요...

그걸 교훈삼아 다시는 아무 주소나 넣지 않지만요ㅎㅎ

아래는 칼리 2018.04 버전을 설치하고난 후의 /etc/apt/sources.list 파일인데요

최신 주소를 추가하려고 파일을 보니 이미 들어가 있네요ㅎㅎ

모두들 최적의 칼리 시스템을 유지하시길 바라며

다음 글로 돌아오겠습니다.

Kali를 사용하다 보면 상황에 따라 GUI툴을 이용해야 할 때가 있습니다.

Window에서 Kali로 RDP를 이용하여 원격접속하는 법을 공유 드리도록 하겠습니다.

1. apt-get update 를 통해 최신 패키지 업데이트 하기 

$ sudo apt-get update

2. xrdp 패키지 설치하기

$ sudo apt-get -y install xrdp

저는 이미 설치해서 설치할게 없다고 나오네요

3. .xsession 파일에 xfce4-session 내용 추가하기

$ echo xfce4-session >~/.xsession

4. /etc/xrdp/startwm.sh 파일 열어 내용 수정하기

$ sudo vi /etc/xrdp/startwm.sh

5. startxfce4 내용 추가

6. xrdp 서비스 시작

$ sudo service xrdp restart

$ sudo netstat -antp <- 이 명령어를 치시면 TCP/3389 포트가 리스닝 중임을 확인 할 수 있습니다.

7. 원격 데스크톱 실행 (실행 창 -> mstsc 입력)

8. 원격접속 결과 화면

구글신 검색결과 vnc server를 이용하거나 하는 방법도 있었지만

여러방법을 시도한 결과... 저는 최종적으로 Leon Jalfon's Blog 에 있는 글을 참고하여 성공했습니다.

여러분은 삽질하실 필요 없이 위 내용을 참고하여 시간 절약 하시기 바랍니다.^^

크립토재킹은 가상통화인 Crytocurrency와 탈취인 Hijacking의 합성어로 해커들이 사용자의 PC를 이용하여 가상화폐를 채굴하는 공격입니다.

예전에 공격자가 사용자PC에 Miner 악성코드를 감염시켜 해당PC의 자원을 소모시켜 가상화폐를 채굴한 반면

최근 공격 트렌드는 웹 사이트를 해킹하여 자바스크립트로 이루어진 Miner 코드를 삽입하는 방식으로써 웹 사이트에 접근하는 사용자는 자신도 모르게 자신의PC가 악성스크립트를 통해 가상화폐를 채굴하는데 사용되게 됩니다.

또한 이 공격은 웹 사이트에 접근한 모든 사용자를 대상으로 영향을 끼치기 때문에  특정 사용자의PC만 감염시키는 Miner 악성코드 보다 파급력이 훨씬 큽니다. 따라서 많은 해커들이 이 방법을 사용하는 이유입니다.

크립토재킹 기존 공격방식(왼쪽)과 최근 공격방식(오른쪽)의 차이

감염증상

웹 사이트에 크립토재킹 스크립트가 삽입되면 해당 사이트를 방문한 사람자PC의 CPU 사용률이 거의 100% 정도 나타난다.

악성 스크립트 코드

아래 그림 첫줄에 보이는 자바스크립트 소스인

<script src="https://coinhive.com/lib/coinhive.min.js"></script>는 Coinhive를 이용하여 가상화폐를 채굴하는 악성 스크립트입니다.

밑에 보이는 KEY 부분은 은행으로 따지면 계좌번호에 해당하는 해커의 계좌입니다.

대응방안

- 일반 사용자 : 브라우저 확장 프로그램 사용 

ex)  안티마이너(AntiMiner), 노코인(NoCoin), 마이너블록(MinerBlock) 등

- 보안담당자 : IP(coinhive.com) 방화벽 차단 및 스크립트를 보안장비(IDS/IPS) 탐지룰로 작성하여 차단