14. 1.2 세이프 브라우징
Exploit Kit
셋업 파일, 제어 콘솔, 악성코드 등 각종 공격툴을 모아 놓은 패키지
다양한 보안 취약점에 의해 공격을 받고 최종 악성코드가 실행될 수 있는 구조
출처 : https://www.recordedfuture.com/top-vulnerabilities-2016
21. 1.2 세이프 브라우징
DGA (Domain Generation Algorithm)
C&C, Ransomware 유포등에 이용할 서버가 blacklist(sinkhole)로 차단되는 것을 막기 위해
IP Address가 아닌 도메인 주소 이용
악성코드 내부의 자동 생성 모듈에서 도메인 주소 생성
28. 1.3 피싱(phishing) 탐지 및 대응
이 사이트는 2017.10.11 pm 18:30 까지도 웨일 브라우저외 타 브라우저에서는 차단되지 않고 있음
29. 1.3 피싱(phishing) 탐지 및 대응
Image-based Phishing Detection Framework
Hyunsang Choi, Sanghyun Cho and Younggab Kim,
Image-based Phishing Detection Framework
USENIX 2017 Poster Session
페이지내에 키워드 매칭 후, 브랜드로고, 입력폼 이미지 매칭
실험 결과 : Detection Rate (96%), False Positive (0%), False Negative (4%)
30. 1.4 파밍(pharming) 탐지 및 대응
파밍 (pharming)
PC내의 hosts 파일이 변조되거나
네트워크 설정에서 DNS설정 정보 변경 (공유기 해킹)
33. 1.4 파밍(pharming) 탐지 및 대응
범죄 활용 사례
2016년 2월부터 약 4개월 동안
이용자 스마트폰 내 문자 정보 탈취 기능이 포함된 악성앱을 설치하게끔 유도
13,502대의 스마트폰을 감염시켜 11,256개 네이버 계정 대량 가입
이를 바이럴마케팅 업자에게 판매하여 지식iN, 블로그등에 글 게시에 활용함.
36. 1.4 파밍(pharming) 탐지 및 대응
아이디어들
서로 다른 도메인을 Domain Name Lookup 했을때 같은 결과가 나오면 파밍
37. 1.4 파밍(pharming) 탐지 및 대응
HTTP Strict Transport Security (HSTS) : RFC 6797
Response Header에 HSTS가 포함되어 있을 경우,
브라우저에서 사이트 이동시 http 사이트가 아닌 https로 접속되게 함
38. 1.4 파밍(pharming) 탐지 및 대응
HSTS Preload
브라우저 자체적으로 HSTS 리스트를 가지고 있어, 사이트 이동시 https로 접속함
https://chromium.googlesource.com/chromium/src/net/+/refs/heads/master/
http/transport_security_state_static.json
2017년 9월 16일 현재,
35657개의 도메인이 등록됨
(.kr도메인은 10여개)
39. 1.4 파밍(pharming) 탐지 및 대응
DNScrypt
브라우저에서 안전하게 DNS Server와 연결될 수 있다면?
DNS서버와의 통신채널을 암호화하여 DNS 스푸핑이나 파밍과 같은 공격을 방어하는 기술
vs. DNSSEC (DNS 응답의 무결성을 공개키 암호화로 검증)
43. 2.1 보안 취약점 분석 및 해결
보안 취약점 분석
자동 업데이트
- MITM(Man-In-The-Middle) Attack 가능성 분석
- Digital Signature 검증
기본 탑재 extensions 점검
세이프 브라우징, 안티파밍, 스마트팝업 점검
주요 정보 노출
- 사용자 동기화 정보 복호화 및 유출 가능성
웨일 브라우저 내 오픈소스 라이브러리 취약점 분석 (Blink, V8등)
45. 2.2 Bug-Bounty Program
A deal offered by many websites and software developers by which individuals can
receive recognition and compensation for reporting bugs, especially those
pertaining to exploits and vulnerabilities.
51. 2.2 Bug-Bounty Program
운영 후기
1개월은 너무 짧음. 그러나..
프로그램 진행을 충분히 알리지 못함.
미처 신경 쓰지 않은 부분에 대한 제보
실력있는 분석가들도 관심을 가졌으나, 그들은“소스코드” 공개를 원함.
웨일이 아닌 네이버 서비스의 보안 취약점 위주로 제보한 제보자
국내보다는 국외에서 관심 (56.4%), IP기준 1500여명 추정
포상금을 올리는 방안, 기부(x2)도 가능하게
53. 2.3 익스텐션 보안 검수
익스텐션 보안 검수를 해야겠는데
체크리스트는 어떻게 만들어야 할까?
크롬 익스텐션의 개발 정책? 가이드라인?
크롬 익스텐션은 어떻게 검수를 하고 있을까?
54. 2.3 익스텐션 보안 검수
Google Chrome : Developer Program Policies
Contents Policies
Security Vulnerabilities
Spam and Placement
User Data Privacy
Payment Information, Authentication Information, Web Browsing Activity
Ads
https://developer.chrome.com/webstore/program_policies?csw=1#extensions
55. 2.3 익스텐션 보안 검수
Developer Program Policies
Security Vulnerabilities
If your item is associated with a security vulnerability that could be exploited to compromise
another application, service, browser, or system,
we may remove your item from the Chrome Web Store and take other measures to protect users.
In such an event, you may be contacted about remediation steps required to restore the item.
56. 2.3 익스텐션 보안 검수
Deceptive extensions : AD Injection
57. 2.3 익스텐션 보안 검수
악성 크롬 익스텐션 사례
- 주요 사이트(google, yahoo)에서 광고 노출
- 게임으로 위장하여 설치할 경우 검색엔진을 강제로 바꿔버림
- 모든 URL에 대해 content security policy등 security header 제거
- 중요한 쿠키를 개인 서버로 보냄
- 특정 사이트에 버튼을 만들고 클릭시 uid, name등을 개인 서버로 전송
- 특정 SNS 사이트 방문시, 공격자의 서버로 부터 명령을 수신하여 실행함
- HTML 파일내에서 주요 정보를 파싱하여 전송
- png파일내에 자바스크립트를 은닉하여 실행
58. 2.3 익스텐션 보안 검수
구글의 크롬 익스텐션 검수는 어떻게 할까?
상상할 수 있는 악성 익스텐션을 하나씩 스토어에 등록해 봄
61. 2.3 익스텐션 보안 검수
웨일 익스텐션 보안 검수
아직은 한땀 한땀 사람 손으로 수행하지만, 가능한 부분에서 자동화 진행 중
어떤 부분에서 업데이트가 있는지
62. 2.3 익스텐션 보안 검수
웨일 익스텐션 보안 검수
manifest.json 파일에 명시된 권한 기준으로 위험도 점수화
blacklist url이 포함되어 있는가?
난독화되어 있는가?
동적 분석
- 트래픽이 과도하게 발생하는가?
- 모든 URL에 스크립트를 추가하려고 하는가? 등