상세 컨텐츠

본문 제목

해커들, 웹사이트 해킹을 위해 스테가노그라피 기술 사용해

국내외 보안동향

by 알약(Alyac) 2019. 7. 29. 10:51

본문

Crooks used rare Steganography technique to hack fully patched websites in Latin America


보안 전문가들이 흔하지 않은 스테가노그라피 기술을 활용한 공격을 목격했습니다. 


스테가노그래피(Steganography)란?


스테가노그래피는 그리스어로 "감추어져있다"라는 뜻인 "stegano"와 그리스어로 "쓰다, 그리다"라는 뜻인 "graphos"의 합성어로, "감추어 쓰다"라는 의미를 가진다. 스테가노그래피 기술은 데이터 은폐 기술 중 하나이며, 데이터를 다른 데이터에 삽입하는 기술 혹은 그 연구를 가리킨다. 공격자들은 사진, 음악, 동영상 등의 일반적인 파일 안에 데이터를 암호화하지 않고 정보를 은닉(information hiding)한다.


※ 참고

크립토그래피 (cryptography): 메시지의 내용을 읽을 수 없게 메시지를 암호화하는 암호화 기법


공격자들은 웹사이트에 업로드된 JPEG 이미지의 EXIF(Exchangeable image file) 헤더에 PHP 스크립트를 숨기고 있었습니다.


EXIF 포맷은 디지털 카메라로 촬영한 이미지 및 사운드 파일을 처리하기 위해 디지털 카메라(스마트폰 포함), 스캐너 및 기타 시스템이 사용하는 이미지, 사운드 및 보조 태그 포맷을 지정하는 표준입니다.


공격자들은 이 스테가노그라피 기술을 통해 악성 웹 쉘을 타깃 웹사이트에 배치했습니다. 


이 공격은 라틴 아메리카의 전자 상거래 사이트를 노린 공격에서 처음 발견되었으며, 공격자들은 이를 통해 PHP 코드를 JPEG 파일의 EXIF 헤더에 삽입했습니다.


Trustwave SpiderLabs의 보안 연구 책임자인 Karl Sigler는 이 공격이 패치가 모두 완료된 웹사이트에서도 동작한다고 밝혔습니다. 


전문가는 공격자들이 이미지의 EXIF 데이터를 파싱하기 위해 PHP 기능을 이용한다고 설명했습니다. 


EXIF 파싱을 허용하는 기능은 여러 웹사이트에서 툴 및 플러그인에 선탑재되어 설치되었습니다.


공격자는 특수하게 제작한 이미지를 타깃 사이트에 업로드하고 EXIF 헤더에 숨겨진 코드를 트리거하면 공격이 가능합니다.


웹사이트 측에서 이미지를 업로드 기능을 제공하고, EXIF 데이터를 파싱하도록 허용하는 PHP 파일을 가지고 있을 경우, 공격자는 악성 이미지를 업로드하고 웹사이트가 EXIF 데이터를 읽기 위해 사용하는 PHP 파일 코드를 읽도록 하면 됩니다.


이번 공격에서는 악성코드 사이즈를 줄이기 위해 JPEG 이미지의 EXIF 헤더에 드로퍼만을 숨겼습니다.


전문가들은 해당 공격을 예방하기 위해 이미지 파일의 PHP 태그를 스캔하고, 필요 없는 경우 이미지 업로드를 비활성화할 것을 조언했습니다.





출처:

https://securityaffairs.co/wordpress/89005/hacking/rare-steganography-technique-exif.html

https://threatpost.com/rare-steganography-hack-can-compromise-fully-patched-websites/146701/

관련글 더보기

댓글 영역