사이버안전센터 운영

Tor Browser 클립보드 인젝션 주의
제목 Tor Browser 클립보드 인젝션 주의
작성자 사이버보안팀 등록일 2023-08-28 조회수 159
내용

Tor의 역사

인터넷은 인터넷만 있으면 어디든지 소통이 가능하단 장점이 있지만, 프라이버시를 보장하지 않아서 언제든지 기록과 트래킹이 가능했습니다. 미국 정부는 프라이버시를 매우 중요시 하여 미해군 연구소에서 The Onion Routing 이라는 신기술을 개발하였고 이 기술은 웹 페이지에 방문하더라도 완벽한 익명성을 보장 하도록 하였습니다. 기술의 치명적 단점으로는 미국 정부만 Tor 네트워크를 사용하여 사이트에 Tor를 이용한 연결 신호가 들어오면 미국정부 사람이 사이트를 본 것을 들키기 쉬웠습니다. 그래서 사람들 사이에 미국정부가 섞여 들어갈 수 있도록 대중에게도 무료 배포되어 현재 수십만 명의 사람들이 사용하고 있습니다.


Tor Browser

Tor는 The Onion Router의 약칭으로, Tor Browser는 사용자가 IP 주소를 숨기고 트래픽을 암호화하여 익명으로 웹을 탐색할 수 있는 특수 웹 브라우저입니다. 익명성으로는 서버에 로그가 남을 가능성이 있는 VPN보다 안전하며, 최근 NSA에서 VPN을 패킷 단위로 분석할 수 있다는 발표가 있어, 현재 정보 기관으로부터 안전한 네트워크는 극 소수 밖에 없는데, Tor가 그중 하나 입니다. Tor는 또한 표준 검색 엔진에 의해 색인이 생성되지 않거나 일반 브라우저를 통해 액세스할 수 없는 다크 웹으로 알려진 특수 도메인에 액세스하는 데 사용될 수 있습니다. 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C4.png

지역 언어팩을 제공하는 Tor 설치 프로그램

(출처 : bleepingcomputer)

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C5.png

악성 Tor Browser가 멀웨어 페이로드를 추출하고 실행하는 과정
(출처 : hackread) 

Tor Browser 클립보드 인젝션 설치과정 

피해자는 타사 서버 에서 받은 Tor Browser 설치파일을 실행합니다. 설치 프로그램의 이름은 torbrowser.exe가 아닌 torbrowser_ru.exe 같은 이름으로 현지화 되어 있으며 사용자가 원하는 언어를 선택할 수 있는 언어 팩이 포함되어 있습니다 


아카이브에는 다음 파일이 포함되어 있습니다.

•Torbrowser.exe 설치 프로그램

•명령줄 RAR 추출 도구

•암호로 보호된 RAR 아카이브  


torbrowser.exe 설치를 시작하는 동시에 내장 암호로 보호된 RAR 아카이브에서 RAR 추출 도구를 실행합니다. 암호로 보호하는 목적은 바이러스 백신 솔루션에 의한 정적 서명 검색을 피하기 위해서 입니다. 


대부분의 경우 실행 파일은 uTorrent와 같은 인기 있는 응용 프로 그램의 아이콘으로 위장됩니다. 

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C21.png

주소를 감지하고 교체하는 정규식

(출처 : grahamcluley)

클립보드 인젝션 실행 과정

보통 암호 화폐 주소는 길고 입력하기가 복잡하기 때문에 클립 보드에 복사한 다음 다른 프로그램이나 웹사이트에 붙여넣는 것이 일반적입니다.

멀웨어는 정규식을 사용하여 클립보드에서 인식 가능한 암호 화폐 지갑 주소를 모니터링하고, 사용자가 암호 화폐 주소를 붙여 넣으면 하드코딩된 목록에서 임의로 선택한 암호 화폐 주소로 대체됩니다. 공격자가 하드코딩된 목록에서 무작위로 선택된 각 멀웨어 샘플에 수천 개의 주소를 사용하는 것은 지갑 추적을 어렵게 만 듭니다.


결론 

클립보드 인젝션 공격은 겉으로 보기에는 단순하지만 보이는 것보다 더 많은 위험을 가지고 있습니다. 이는 코인의 도난과 관련되었을 뿐만 아니라 멀웨어가 수동적이고 탐지하기 어렵기 때문입니다. 스파이웨어와 랜섬웨어도 피해자의 장치와 공격자의 서버 간에 통신 채널이 필요합니다. 명령 및 제어 서버에 연결되지 않는 웜 및 바이러스도 여전히 네트워크 활동을 생성합 니다. 그러나 클립보드 인젝션은 암호화폐 지갑 주소를 복사해서 붙여넣을 때까지 몇 년 동안 사용자가 인지할 수 없으며 네트워크 활동이나, 다른 증상을 보이지 않을 수 있습니다.

%EC%A0%9C%EB%AA%A9%20%EC%97%86%EC%9D%8C31.png

멀웨어에 시스템이 감염되었는지 확인하는 방법

(출처 : thehackernews)

 사용자가 감염되었는지 확인하는 간단한 테스트는 bc1heymalwarehowaboutyoureplacethisaddress를 복사하고 메모장을 열어 붙여넣기를 합니다. 기존에 복사했던 것이 아닌 다른 주소가 붙여 넣기가 되면 클립보드 인젝션 멀웨어에 의해 내 컴퓨터의 시스템이 손상되었다고 확인할 수 있습니다. 모든 클립보드 인젝션의 피해자는 Tor Browser의 공식 홈페이지가 아닌 다른 경로에서 설치를 하여 감염이 되었습니다. 따라서 신뢰할 수 있는 공식 출처의 소프트웨어만 설치하는 것이 좋습니다.


이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다. 
이전 글&다음 글
이전 글 AXLocker 랜섬웨어주의
다음 글 Rhysida 랜섬웨어


  • 담당부서 : 사이버보안팀
  • 전화번호 : 02-6908-8235
  • 담당자 : 심재인

Q. 이 페이지에서 제공하는 정보에 대하여 어느 정도 만족하셨습니까?

평균 4.1점 / 27명 참여