크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼
중국 보안연구원이 '완벽한 탐지가 불가능한' 새로운 피싱공격을 발견하였습니다. 그는 해커들이 사용자들의 로그인, 금융 관련 크리덴셜 및 기타 중요 정보들을 훔치기 위해 크롬, 파이어폭스, 오페라 웹 브라우저의 알려진 취약점을 악용한다고 밝혔습니다. 또한 이를 통해 애플, 구글, 아마존 등 정식 서비스의 웹사이트 도메인 네임을 주소창에 표시할 수 있다고 경고했습니다.
피싱 공격을 방어하기 위한 최선의 방법은 일반적으로 페이지 로딩이 끝난 후 HTTPS 연결이 유효한지, 주소창에 주소가 올바른지 확인하는 것입니다. 하지만 이 공격을 발견한 Xudong Zheng이 만든 데모 페이지(https://xn--80ak6aa92e.com)를 살펴보면 이 방법 또한 최선의 방법이 아니라는 것을 확인할 수 있습니다.
<이미지 출처 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html >
만약 사용자의 브라우저가 “안전함” SSL과 함께 주소창에 “apple.com”을 표시하지만 페이지 내의 컨텐츠는 위 그림과 같이 다른 내용을 표시하고 있다면, 브라우저가 동형이의어(homograph) 공격에 취약한 것입니다.
Wordfence의 보안 연구원들은 또 다른 PoC 웹사이트를 제작했습니다. 이는 “epic.com” 도메인을 스푸핑 합니다.
동형이의어 공격(homograph attack)은 지난 2001년부터 알려졌습니다. 그러나 브라우저 제조사들은 이 문제를 고치는데 어려움을 겪고 있습니다. 이는 웹사이트의 주소가 정식 웹사이트처럼 보이게 하는 스푸핑 공격의 한 종류입니다. 국제화된 도메인명에서 그리스어, 키릴 문자 및 아르메니아어와 같은 알파벳을 나타내는 많은 유니코드 문자들은 얼핏 봤을 때 라틴 문자들과 동일해 보이지만, 컴퓨터는 전혀 다른 문자로 취급합니다.
예를 들면, 키릴문자 "а" (U+0430)와 라틴 문자 "a" (U+0041)는 브라우저가 다르게 처리하고 있지만, 브라우저 주소창에는 동일하게 “a”로 표기됩니다.
Punycode 피싱 공격
많은 웹 브라우저들은 URL에 유니코드 문자열을 나타내기 위해 ‘Punycode’ 엔코딩을 디폴트로 사용합니다. Punycode는 IDNs(International Domain Names)시스템이 지원하는, 웹 브라우저가 유니코드 문자를 제한적인 아스키 문자열로 변환하기 위해 사용하는 특수 엔코딩입니다. 예를 들어 중국어 도메인인 "短.co"는 Punycode "xn--s7y.co"로 표시됩니다.
Zheng에 따르면, 이 취약점은 웹 브라우저가 하나의 언어로만(중국어만 또는 일본어로만) 구성된 Punycode URL을 유니코드로 변환합니다. 그러나 하나의 도메인 네임이 여러 언어의 문자를 포함하고 있을 경우, 해당 공격은 실패합니다.
연구원은 이 허점을 통해 xn--80ak6aa92e.com 도메인을 등록하고, 크롬, 파이어폭스, 오페라를 포함한 모든 취약한 웹 브라우저에서 “apple.com”으로 표시될 수 있도록 허용했습니다. IE, 엣지, 애플 사파리, Brave, Vivaldi 등의 브라우저는 이에 취약하지 않습니다.
Zheng은 지난 1월 구글과 모질라를 포함한 브라우저 제조사들에 해당 문제를 제보했습니다.
<가짜 페이지(위)와 진짜 apple.com 페이지(아래)>
<이미지 출처 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html>
모질라는 해당 취약점 수정에 대해 아직까지도 논의하고 있는 단계이지만, 구글은 크롬 Canary 59에서 이를 수정했습니다. 또한 이달 말에 크롬 stable 58 버전을 통해 이 취약점을 영구적으로 수정할 예정입니다.
따라서 매우 정교하고 탐지가 어려운 피싱 공격을 받을 위험이 있는 수 백만명의 사용자들은 웹 브라우저에서 임시로 Punycode를 비활성화할 것을 권고합니다.
파이어폭스 사용자들을 위한 완화법
주소창에 About:config를 입력하고 엔터를 누릅니다.
검색 창에 Punycode를 입력합니다.
브라우저 설정은 network.IDN_show_punycode 라는 제목의 파라미터를 보여줄 것입니다. 이를 더블클릭 하거나, 우클릭 후 Toggle을 선택하여 값을 false에서 true로 변경합니다.
크롬이나 오페라에서는 Punycode URL 변환을 비활성화할 수 있는 방법이 없습니다. 따라서 크롬 사용자들은 Stable 58 버전이 나올 때까지 기다려야 합니다.
인터넷 사용자들은 이러한 공격으로부터 보호받기 위해 Gmail, Facebook, Twitter, Yahoo 또는 뱅킹 웹사이트 등 중요 사이트에 접속할 때, 웹사이트나 이메일의 링크를 클릭하는 대신 수동으로 URL을 주소창에 입력하시기를 간곡히 권고 드립니다.
출처 :
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html
https://www.xudongz.com/blog/2017/idn-phishing/
MySQL Riddle 취약점 발견 (0) | 2017.04.19 |
---|---|
Apache Log4j 역직렬화 취약점 발견 (0) | 2017.04.19 |
Jackson 프레임워크에서 Java 역직렬화 코드실행 취약점 발견 (0) | 2017.04.17 |
TheShadowBrokers, 대량의 Windows 제로데이 취약점 공개 (0) | 2017.04.17 |
중국 TVT Digital Group을 타겟으로 하는 Amnesia 악성코드, 전 세계 22.7만대의 IoT 기기에 영향 (0) | 2017.04.14 |
댓글 영역