상세 컨텐츠

본문 제목

피해자 식별을 위해 WiFi BSSID를 사용하는 악성코드 발견

국내외 보안동향

by 알약4 2021. 1. 5. 09:11

본문

 

 

Malware uses WiFi BSSID for victim identification

 

악성코드 운영자는 자신이 감염시키는 피해자의 지리적 위치를 알아내기 위해 보통 피해자의 IP 주소를 수집해 MaxMindGeoIP와 같은 IP-to-geo 데이터베이스에서 확인하는 방법을 사용합니다.

 

이 기술의 정확도가 매우 높은 편은 아니지만, 컴퓨터에서 찾은 데이터를 기반으로 사용자의 실제 물리적 위치를 알아내는 가장 신뢰할 수 있는 방법 중 하나입니다.

 

하지만, SANS Internet Storm Center의 보안 연구원인 Xavier Mertens는 지난달 블로그 게시물에서 첫 번째 기술 후 두 번째 기술을 추가로 사용하는 새로운 악성코드 변종을 발견했다고 밝혔습니다.

 

이 두 번째 기능은 감염된 사용자의 BSSID를 사용합니다.

 

BSSID(Basic Service Set Identifier)는 사용자가 WiFi를 통해 연결하는데 사용하는 무선 라우터나 액세스 포인트의 MAC 물리적 주소입니다.

 

아래 명령을 실행하여 윈도우 시스템에서 BSSID를 확인할 수 있습니다.

 

netsh wlan show interfaces | find "BSSID"

 

Mertens는 그가 발견한 악성코드가 BSSID를 수집한 후 Alexander Mylnikov가 운영하는 무료 BSSID-to-geo 데이터베이스와 대조하고 있었다고 밝혔습니다.

 

이 데이터베이스 컬렉션은 알려진 BSSID와 발견된 마지막 지리적 위치 데이터를 포함하고 있었습니다.

 

이러한 데이터베이스는 요즘 매우 흔히 사용됩니다. 보통 모바일 앱 운영자가 사용자를 추적할 때 전화 기기의 위치 데이터에 직접 접근할 수 없을 경우 대체할 수 있는 방법으로 사용합니다.

 

Mylnikov의 데이터베이스에서 BSSID를 확인할 경우 피해자가 인터넷에 접근하는 데 사용한 WiFi 액세스 포인트의 물리적인 지리적 위치를 효과적으로 파악할 수 있게 됩니다. 이는 피해자의 지리적 위치를 훨씬 정확하게 알아낼 수 있는 방법입니다.

 

악성코드 운영자가 이 두 가지 방법을 함께 사용할 경우 처음 IP를 기반으로 확인한 지리적 위치가 정확한지 BSSID를 통해 확인할 수 있게 됩니다.

 

일부 악성코드 운영 그룹은 특정 국가의 피해자만 공격하기 위해(정부에서 지원하는 작전) 피해자의 위치를 확인합니다. 일부는 자국 내 사용자를 감염시키지 않기 위해 피해자의 위치를 확인합니다. 이는 지역 내 법 집행부에 발각되는 것을 피하기 위함으로 보입니다.

 

하지만 통신사와 데이터센터는 무료 마켓의 IP 주소 블록을 얻거나 렌트하는 경향이 있기 때문에 IP-to-geo 데이터베이스는 정확도가 떨어지게 됩니다. 이로 인해 일부 IP 블록은 초기/실제 소유자와는 다른 지역의 다른 조직에 할당됩니다.

 

두 번째 방법을 사용하여 피해자의 지리적 위치를 이중으로 확인하는 방법은 널리 사용되는 기술은 아니지만, 이 기술이 다른 악성코드에도 도움이 될 수 있기 때문에 향후 채택될 가능성이 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.35713094’로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.zdnet.com/article/malware-uses-wifi-bssid-for-victim-identification/

https://isc.sans.edu/diary/rss/26910

관련글 더보기

댓글 영역