카테고리: Hacking

---

스팸 필터를 뚫고 들어온 피싱메일?

패턴도 똑같고, 방식도 똑같다. 그런데 얘는 어째서 스팸을 뚫고 들어왔을까?

네이버 웍스에서는 “원문 전체보기” 기능이 있다.

여기서는 메일의 헤더 부분을 확인 할 수 있고, 어떤 메일서버를 통해 왔는지, 확인이 가능하다.

메일의 헤더를 통해 확인을 했더니 이게 뭐지?

우리 회사와 같은 네이버 웍스에서 발신된 메일이었다.

유추해볼 수 있는건 다음과 같다

1. 해커에 의해 이미 털린 A라는 회사는 네이버 웍스를 사용한다.
2. A 라는 회사의 메일에 접근하여 나에게 피싱 메일을 보낸다
3. 만약 내가 피싱메일에 계정정보를 넣는다면?
4. 해커는 또다시 우리 회사 내 메일에 접근해서 다른 회사에 피싱메일을 보낸다

아마도,, 위 와 같지 않을까 싶다.

스팸을 뚫을 수 있었던 것도. 아마 같은 플랫폼안에서 전달되다 보니 “실제 기업 간의 메일” 로 인식하여 스팸 필터가 적용이 되지 않았던 것으로 생각이 든다.

---

이젠 아무도 믿을 수 없다.

과연, 피싱메일을 통해 얻은 계정으로 다른 회사에게만 공격을 시도할까?

협력사, 거래처, 또는 동료직원에게도 피싱메일을 보내어 충분히 해커의 목적을 달성 시킬 수 있다.

당분간은 메일을 열어보기 전에, 로그인하기전에 신중을 기해야 할 것으로 보인다.

---

수집한 정보로 뭘 하는데?

사실 나도 잘 모른다. 수집된 내역이 있는 로그 파일을 찾아낸것도 아니고, 도대체 어디다 사용하려는지는 모르겠으나 하나 확실한것이 있다면 정황상 “또다른 피싱메일을 다른 사람에게 보내는” 용도로 활용될 가능성은 있는듯 하다.

보통 수많은 메일을 하나하나씩 보내기엔 당연히 수고도 들고, 해커로서 할짓이 못된다. 그러니 자동화 또는 시스템을 활용할 텐데 그 좋은 방법이 바로 SMTP IMAP 이다.

실제로 우리 회사의 마스터 계정을 향한 로그인 시도가 엄청나게 빗발치고 있고, 해커가 노리는것 또한 계정정보를 얻어서 SMTP 나 IMAP 으로 접속하여 다른 행위를 시도하려는게 가장 크다

사내 관리부의 협조를 통해 감사 기능을 이용하여 로그인 실패 목록을 열어보았더니 수많은 IP 주소를 통해 지속적으로 연결을 시도하는 정황이 발생하고 있다.

---

우리회사가 웍스를 쓰는지 뭘 쓰는지 어떻게 알고 보냈을까?

회사 이메일은 도메인으로 구성되어 있다. 이메일을 보내는데 ip 를 치는 사람은 없을 것이다.

DNS 레코드 중에 MX 레코드를 조회하면 확인할 수 있는데,

위 처럼 mx 레코드를 통해 메일을 어디로 보내야 할지가 나온다. 이를 통해 google 을 사용하는지 네이버웍스를 사용하는지, 하이웍스를 사용하는지 각각 조회가 가능하다.

아마도 해커는 이 점을 노리고 피싱 공격을 시도할때, works 유저들에 대해 UI 나 각종 로그인 서비스들을 전부 맞춰놓고 메일을 보냈을 것으로 추정한다.

---

문득 드는 생각,

우리 회사 도메인에 내 ID 및 직원들 ID 를 어떻게 알고 메일을 보냈을까?

추측 하건데, “우리 회사 직원중 한명이 이미 털렸다” 는 가정하에 분명 조직도를 열어봤거나 주소록을 열어봤을 가능성 밖에 없었다.

실제로 외부에 공개하거나 전송을 하지 않는 시스템 메일 계정으로도 (내부전송용) 해당 메일이 온 것으로 추정컨데,

네이버 웍스 자체가 털리지 않고서야, 우리 내부 직원의 계정 유출로 인해주소록이나 조직도가 유출된 정황으로 밖에 해석 되지 않는다. (에이 설마,,,)

우리회사는 이를 해결하기 위해 다음과 같은 정책을 도입하고 시행을 예정하고 있다

1. 전산 특별 감사기간 (이메일 및 기타 전산 로그인 기록 IP 부검 후 이상이 있는 경우 전산 2차 인증 (OTP) 의무화)
2. 비밀번호 90일에 1회 무조건 변경
3. 비밀번호 중복 금지 (2회까지)
4. 주요 전산서비스 (NAS, GIT 등) 은 IP 방화벽으로 내부망 및 지정 VPN 에서만 접속 가능하고 OTP 의무화.
5. 매주 1회 이상 백신 돌리고 내역 검사 받기

---

깨달은 점

사실 보안 관리 하는거 매우 귀찮다. 보안때문에 접속도 힘들고 어려워 져서 직원들 민원이 폭주하기도 한다.

그런데, 우리 회사는 여러 협력 파트너사와 함께 일하는 기업 아닌가?

우리가 해킹공격, 정보유출을 당하는 순간 협력회사들또한 그 위협에 노출된다.

만약 협력회사들 마저도 해킹이나 정보유출 피해를 입는다면 그 피해에 대한 책임은 고스란히 우리 회사로 돌아오게 될 것이다.

예전처럼 단순하고 간단하게 생각할 요소가 아니다.

이제는 지능적이고 치밀하고 계획적으로 들어오는 공격에 대해서 우리가 과연 뭘 해야하는지 생각하고 대응할 준비를 하는 자세가 필요하다.

• “나는 개발자니까 개발만 해야지~”
• “우리회사는 제조업이라 보안? 상관없지 않을까?”

와 같은 생각은 결국 나도 모르는 사이에 해킹 피해로 인한 기업의 존폐의 기로까지 가게 될 수 있다.

---

사건의 발단 <최초의 메일>

나한테 견적서가 올 이유가 없다. 난 영업이나 견적을 담당하는 사람이 아니다.
심지어 견적서가 스팸함에 들어있었고,
첨부파일이 분명 없는 메일인데 첨부파일 항목이 있어서 확인해보니
첨부파일이 아니라 “이미지” 를 첨부파일처럼 속여 놓았다.
저 이미지를 누르면 어떤 사이트가 뜬다.

hxxps://swift-iron-purring[.]on-fleek[.]app/vhcvwdcywdhscfgxvscxdfserxdfdszaewsrdtfytewdvwdecftwycvhwecfewyvhjhvwgcftyewvhgwe.html

놀랍도록 똑같이 생겼다.
“당연히” 여기에 실제 아이디와 비밀번호를 입력하면 털린다.
해당 정보를 수집해서 뭘 하는지는 후속 편에서 다뤄보도록 한다.

보안 전문가들도 이정도로 똑같으면 속아서 로그인 할 수 도 있다.

이 사이트에 로그인을 하면, 다음 과 같은 방법으로 데이터를 보낸다.

여기서,
aHR0cHM6Ly9wYXJrbGFuZHVzYS5jby9nZWlkYW0veGVuZC5waHA=
의 경우, 복호화 하면 다음과 같다.

hxxps://parklandusa[.]co/geidam/xend.php

약간 소름 돋는 부분도 있다.

로그인을 시도해서 2회 시도하고나면 실제 웍스모바일 로그인 창으로 넘어가게 해서 로그인이 된것 처럼 꾸미는 것이다.

(그 이하는 틀렸다고 일부러 표시하여 재 검증 하는 듯 하다)

이렇게 하면, “로그인 된 상태로 메일을 열었으니 당연히 로그인 된 상태로 네이버 웍스의 메인화면이 뜬다”

---

피싱 사이트에 대해 더 자세히 알아보기

hxxps://swift-iron-purring[.]on-fleek[.]app/vhcvwdcywdhscfgxvscxdfserxdfdszaewsrdtfytewdvwdecftwycvhwecfewyvhjhvwgcftyewvhgwe.html

위에서 언급한 해당 사이트를 보면 이상하다. 이름이 너무 길다. 저거 어디선가 본거 같아서 index 페이지를 보려고 path 만 남기고 다 지워보니..

hxxps://swift-iron-purring[.]on-fleek[.]app/

IPFS 가 뜬다. 이게 뭔지 좀 알아보니.

블록체인에 파일을 저장해서 분산화 하는 파일시스템 이라고 한다.

P2P 방식으로 파일을 공유하는 서비스 인데, 이를 이용하여 웹 호스팅을 해주는 서비스가 Fleek 이라는 서비스 같다.

사실 이 사이트는 V3 에서 악성 사이트로 뜬다… 만 일단 허용하고 들어와 봤다.

IPFS 특성상 얘는 중앙 서버가 없다. 단지 Fleek 같은 서비스가 도메인 기반으로 해당 파일을 웹으로 보여주는 서비스 인것으로 파악 된다.

해당서비스는 웹 프론트만 띄워두었고, API 는 별도로 만들어 둔것 같은데 API 서비스를 조금더 파악해 보자면

hxxps://parklandusa[.]co/

들어가보니 디렉터리 리스팅이 된다,..

물론 실제 전송 api 위치는 /geidam/xend.php 이지만,

눈여겨 볼 위치는 /cgibn/ 아래에 있는 항목들이다.

/cgibn/hiworks.php 는 하이웍스 오피스 유저를 상대로,

/cgibn/thanks.php 는 (실제 접속하면 이동함) 이카운트 메일 유저를 상대로

/cgibn/xend.php 는 (아까와 동일) 네이버 웍스 유저를 상대로

피싱을 시도하는 정황이 확인된다.

---

자, 일단 정리를 하자면

누구인지, 어떤 애들인지는 모르겠지만,
국내 중소기업들이 자주 사용하는 오피스 프로그램 또는 메일 시스템 사용자들을
상대로 굉장히 기획적이고 치밀하게“피싱 메일” 범죄를 수행하고 있다.

심지어 P2P 분산 파일 시스템을 활용하고, 익명의 API 서버를 활용하여 정보를 수집하는 등의 행위를 통해 중소기업 이메일 계정들을 탈취하고 있는 정황이 크게 나타난다.

우리나라 산업구조상, 대기업과 파트너쉽을 맺고 있는 중소기업들이 상당히 많고, 중소기업들은 대기업과의 거래를 통해 성장하는 경우가 많으며 거래처의 이메일을 신뢰하는 경우가 많은데, 만약 중소기업의 메일을 활용하여 악성코드 또는 렌섬웨어의 유포가 발생한다면 대기업은 속수무책으로 당할 수 있다.

다음 포스트에서는,

• “스팸메일로 분류가 안된 상태로 온 피싱메일”
• “아이디와 암호를 활용하여 뭘 시도하는지”
• “해결할 방법은 없는지”

에 대해 알아보도록 한다.

---

프롤로그

일을 열심히 하고 있는 도중에 갑자기 회사 직원 중 한 명이 소리를 지른다.

• 악!!!!!! 안돼!!! 비번 빨리 바꿔야겠다!!!

나는 회사에서 전산, 인프라, 보안, 개발, 등 컴퓨터 들어가는 일을 다 도맡아 하고 있는 입장에서, 소리를 듣자마자 직원 자리로 가서 확인을 했다.

• 견적서가 왔다 길래 눌렀는데 로그인 창이 떠서….
• 아이디와 비밀번호를 입력했는데도 로그인이 안되어서 이상하다 싶어서…
• 위에 URL 을 보고야 해킹 이라는 걸 알게 되었습니다.

사실 전산 담당하는 입장에서, 정말 다행스럽기도 하고,
큰 소리로(?) 주변 IT 담당자에게 알렸기에 빠르게 대처할 수 있었다.
이상하다 싶어서 URL 을 보고 바로 인지했다는 점에서 
나름 최소한의 보안 의식이 있는 사람이라고 생각하게 되었다.

---

본격적으로 피싱 메일을 부검하기 전에.. 일단 해야 할 일

일단 피싱 메일을 분석하기에 앞서…
이게 단순 해당 직원 뿐만 아니라 나한테도 오거나 다른 직원한테도 갔을 것이다.

그럼 지금 가장 심각한건,

“나도 파악하지 못하는 누군가가 이미 로그인을 시도 했다면?”

그리 하야, 모든 전사 직원에게 메일을 보냈다

• 1. 요즘 이상한 메일 온다
• 2. 누르지 마라
• 3. 눌러서 시도한 이력이 있으면 이 글을 보는 즉시 나한테 보고 해달라$
• 4. 메일이 오면 그 메일 전부다 나한테 FW 해달라$
• 5. 조만간 회사에 백신 도입할 것이다. 매주 수요일마다 돌리고 보고 해달라$
• 6. 암호 3개월에 1회 변경 의무화 시행 하겠다.

지금까지 신경 쓰지 않았던 보안을 조금 더 강화해서 정책을 모두에게 알렸다.

그러면서 겸사겸사 피싱 메일들을 FW 받아서 표본을 늘리고 패턴을 잡아서 해커를 조져 보기로 결정한다.