크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼

크롬, 파이어폭스, 오페라에서 완벽한 탐지가 불가능한 피싱 공격 발견돼

This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

중국 보안연구원이 '완벽한 탐지가 불가능한' 새로운 피싱공격을 발견하였습니다. 그는 해커들이 사용자들의 로그인, 금융 관련 크리덴셜 및 기타 중요 정보들을 훔치기 위해 크롬, 파이어폭스, 오페라 웹 브라우저의 알려진 취약점을 악용한다고 밝혔습니다. 또한 이를 통해 애플, 구글, 아마존 등 정식 서비스의 웹사이트 도메인 네임을 주소창에 표시할 수 있다고 경고했습니다. 

피싱 공격을 방어하기 위한 최선의 방법은 일반적으로 페이지 로딩이 끝난 후 HTTPS 연결이 유효한지, 주소창에 주소가 올바른지 확인하는 것입니다. 하지만 이 공격을 발견한 Xudong Zheng이 만든 데모 페이지(https://xn--80ak6aa92e.com)를 살펴보면 이 방법 또한 최선의 방법이 아니라는 것을 확인할 수 있습니다. 

<이미지 출처 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html >

만약 사용자의 브라우저가 “안전함” SSL과 함께 주소창에 “apple.com”을 표시하지만 페이지 내의 컨텐츠는 위 그림과 같이 다른 내용을 표시하고 있다면, 브라우저가 동형이의어(homograph) 공격에 취약한 것입니다.

Wordfence의 보안 연구원들은 또 다른 PoC 웹사이트를 제작했습니다. 이는 “epic.com” 도메인을 스푸핑 합니다. 

동형이의어 공격(homograph attack)은 지난 2001년부터 알려졌습니다. 그러나 브라우저 제조사들은 이 문제를 고치는데 어려움을 겪고 있습니다. 이는 웹사이트의 주소가 정식 웹사이트처럼 보이게 하는 스푸핑 공격의 한 종류입니다. 국제화된 도메인명에서 그리스어, 키릴 문자 및 아르메니아어와 같은 알파벳을 나타내는 많은 유니코드 문자들은 얼핏 봤을 때 라틴 문자들과 동일해 보이지만, 컴퓨터는 전혀 다른 문자로 취급합니다.

예를 들면, 키릴문자 "а" (U+0430)와 라틴 문자 "a" (U+0041)는 브라우저가 다르게 처리하고 있지만, 브라우저 주소창에는 동일하게 “a”로 표기됩니다.

Punycode 피싱 공격

많은 웹 브라우저들은 URL에 유니코드 문자열을 나타내기 위해 ‘Punycode’ 엔코딩을 디폴트로 사용합니다. Punycode는 IDNs(International Domain Names)시스템이 지원하는, 웹 브라우저가 유니코드 문자를 제한적인 아스키 문자열로 변환하기 위해 사용하는 특수 엔코딩입니다. 예를 들어 중국어 도메인인 "短.co"는 Punycode "xn--s7y.co"로 표시됩니다.

Zheng에 따르면, 이 취약점은 웹 브라우저가 하나의 언어로만(중국어만 또는 일본어로만) 구성된 Punycode URL을 유니코드로 변환합니다. 그러나 하나의 도메인 네임이 여러 언어의 문자를 포함하고 있을 경우, 해당 공격은 실패합니다.

연구원은 이 허점을 통해 xn--80ak6aa92e.com 도메인을 등록하고, 크롬, 파이어폭스, 오페라를 포함한 모든 취약한 웹 브라우저에서 “apple.com”으로 표시될 수 있도록 허용했습니다. IE, 엣지, 애플 사파리, Brave, Vivaldi 등의 브라우저는 이에 취약하지 않습니다. 

Zheng은 지난 1월 구글과 모질라를 포함한 브라우저 제조사들에 해당 문제를 제보했습니다.

<가짜 페이지(위)와 진짜 apple.com 페이지(아래)>

<이미지 출처 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html>

모질라는 해당 취약점 수정에 대해 아직까지도 논의하고 있는 단계이지만, 구글은 크롬 Canary 59에서 이를 수정했습니다. 또한 이달 말에 크롬 stable 58 버전을 통해 이 취약점을 영구적으로 수정할 예정입니다.

따라서 매우 정교하고 탐지가 어려운 피싱 공격을 받을 위험이 있는 수 백만명의 사용자들은 웹 브라우저에서 임시로 Punycode를 비활성화할 것을 권고합니다. 

파이어폭스 사용자들을 위한 완화법

주소창에 About:config를 입력하고 엔터를 누릅니다.

검색 창에 Punycode를 입력합니다.

브라우저 설정은 network.IDN_show_punycode 라는 제목의 파라미터를 보여줄 것입니다. 이를 더블클릭 하거나, 우클릭 후 Toggle을 선택하여 값을 false에서 true로 변경합니다.

크롬이나 오페라에서는 Punycode URL 변환을 비활성화할 수 있는 방법이 없습니다. 따라서 크롬 사용자들은 Stable 58 버전이 나올 때까지 기다려야 합니다.

인터넷 사용자들은 이러한 공격으로부터 보호받기 위해 Gmail, Facebook, Twitter, Yahoo 또는 뱅킹 웹사이트 등 중요 사이트에 접속할 때, 웹사이트나 이메일의 링크를 클릭하는 대신 수동으로 URL을 주소창에 입력하시기를 간곡히 권고 드립니다.

출처 :

http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

https://www.xudongz.com/blog/2017/idn-phishing/