피해자 식별을 위해 WiFi BSSID를 사용하는 악성코드 발견

 

 

Malware uses WiFi BSSID for victim identification

 

악성코드 운영자는 자신이 감염시키는 피해자의 지리적 위치를 알아내기 위해 보통 피해자의 IP 주소를 수집해 MaxMind의 GeoIP와 같은 IP-to-geo 데이터베이스에서 확인하는 방법을 사용합니다.

 

이 기술의 정확도가 매우 높은 편은 아니지만, 컴퓨터에서 찾은 데이터를 기반으로 사용자의 실제 물리적 위치를 알아내는 가장 신뢰할 수 있는 방법 중 하나입니다.

 

하지만, SANS Internet Storm Center의 보안 연구원인 Xavier Mertens는 지난달 블로그 게시물에서 첫 번째 기술 후 두 번째 기술을 추가로 사용하는 새로운 악성코드 변종을 발견했다고 밝혔습니다.

 

이 두 번째 기능은 감염된 사용자의 BSSID를 사용합니다.

 

BSSID(Basic Service Set Identifier)는 사용자가 WiFi를 통해 연결하는데 사용하는 무선 라우터나 액세스 포인트의 MAC 물리적 주소입니다.

 

아래 명령을 실행하여 윈도우 시스템에서 BSSID를 확인할 수 있습니다.

 

netsh wlan show interfaces | find "BSSID"

 

Mertens는 그가 발견한 악성코드가 BSSID를 수집한 후 Alexander Mylnikov가 운영하는 무료 BSSID-to-geo 데이터베이스와 대조하고 있었다고 밝혔습니다.

 

이 데이터베이스 컬렉션은 알려진 BSSID와 발견된 마지막 지리적 위치 데이터를 포함하고 있었습니다.

 

이러한 데이터베이스는 요즘 매우 흔히 사용됩니다. 보통 모바일 앱 운영자가 사용자를 추적할 때 전화 기기의 위치 데이터에 직접 접근할 수 없을 경우 대체할 수 있는 방법으로 사용합니다.

 

Mylnikov의 데이터베이스에서 BSSID를 확인할 경우 피해자가 인터넷에 접근하는 데 사용한 WiFi 액세스 포인트의 물리적인 지리적 위치를 효과적으로 파악할 수 있게 됩니다. 이는 피해자의 지리적 위치를 훨씬 정확하게 알아낼 수 있는 방법입니다.

 

악성코드 운영자가 이 두 가지 방법을 함께 사용할 경우 처음 IP를 기반으로 확인한 지리적 위치가 정확한지 BSSID를 통해 확인할 수 있게 됩니다.

 

일부 악성코드 운영 그룹은 특정 국가의 피해자만 공격하기 위해(정부에서 지원하는 작전) 피해자의 위치를 확인합니다. 일부는 자국 내 사용자를 감염시키지 않기 위해 피해자의 위치를 확인합니다. 이는 지역 내 법 집행부에 발각되는 것을 피하기 위함으로 보입니다.

 

하지만 통신사와 데이터센터는 무료 마켓의 IP 주소 블록을 얻거나 렌트하는 경향이 있기 때문에 IP-to-geo 데이터베이스는 정확도가 떨어지게 됩니다. 이로 인해 일부 IP 블록은 초기/실제 소유자와는 다른 지역의 다른 조직에 할당됩니다.

 

두 번째 방법을 사용하여 피해자의 지리적 위치를 이중으로 확인하는 방법은 널리 사용되는 기술은 아니지만, 이 기술이 다른 악성코드에도 도움이 될 수 있기 때문에 향후 채택될 가능성이 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.35713094’로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.zdnet.com/article/malware-uses-wifi-bssid-for-victim-identification/

https://isc.sans.edu/diary/rss/26910