스파이를 염탐하는 스파이를 염탐하는 스파이

장자(莊子) 외편(外篇) 중 20번째 산목(山木)편의 뒷부분에는 사마귀가 매미를 노리고, 그 사마귀를 까치가 노리고, 그 까치를 장자가 노리고, 그 장자를 밤나무 숲 관리인이 노린다-_-는 먹이사슬의 chain 이야기[1]가 나온다.

작년 기사이긴 한데, 뉴욕타임즈의 기사[2]에 의하면 카스퍼스키 백신의 보안 취약점을 활용하여 러시아 해커가 NSA 직원의 컴퓨터를 해킹했는데, 그 러시아 해커를 이스라엘 첩보국에서 카스퍼스키 네트워크를 해킹하여 이 사태를 다 보고 있었던 모양이다. 이거 진짜 장자 이야기구만 ㅋㅋㅋ 보안뉴스[3]에도 이 사건에 대한 기사가 있다. 그나저나 NSA 직원은 기밀 문서를 집에 가지고 작업을 했던 모양인데, 여전히 NSA는 구멍이 많은 조직인 것 같다.

그나저나 카스퍼스키가 우연히 NSA의 기밀을 입수했다[4,5]거나 하는 요상한 기사가 자꾸 나오는게, 입지가 점점 좁아지는 듯 하다. 일전에 있었던 논란[6]에서는 카스퍼스키를 좋게 봤는데, 미국과 리투아니아가 카스퍼스키를 금지[7]하고, 트위터도 카스퍼스키를 축출했다[8]니 이제 카스퍼스키는 한 발 재겨 디딜 곳조차 없다. ㅋ 웬만하면 카스퍼스키는 안 쓰는 게 맞을 듯.

 


2018.5.20
보안뉴스 카스퍼스키, 시장 신뢰 얻기 위해 스위스로 옮긴다 2018-05-16 11:06

 


[1] 자신을 잊고 외물을 추구하는 것은 재난의 원인이 된다 (yetgle.com)
[2] 뉴욕타임즈 How Israel Caught Russian Hackers Scouring the World for U.S. Secrets OCT. 10, 2017
[3] 보안뉴스 점점 커지는 카스퍼스키 스캔들, 백신 업계 전체로 확장 2017-10-13 17:00
[4] ars technica Kaspersky: Yes, we obtained NSA secrets. No, we didn’t help steal them 11/16/2017, 7:00 PM
[5] 보안뉴스 카스퍼스키 “NSA 기밀 우연히 입수한 뒤 삭제했다”고 해명 2017-10-26 11:17
[6] 내 백과사전 카스퍼스키 백신회사의 도덕성 2015년 8월 17일
[7] 보안뉴스 미국 이어 리투아니아도 카스퍼스키 제품 금지 2017-12-22 14:46
[8] 보안뉴스 의심하더니…끝내 트위터마저 카스퍼스키 축출 2018-04-23 17:20

보안뉴스의 CPU 취약점 종합보고서

근래 멜트다운스펙터 때문에, 컴퓨터 긱스들 사이에서 초대형 난리가 일어났었는데, 패치 후 성능저하 루머/각종 벤치마크 비교/출처가 불명한 현상보고/패치해라,하지마라 등 너무나 혼란한 정보들의 난립으로, 나도 꽤 혼란스러웠다. ㅋ 지금 찾아보니 일전의 heartbleed 버그[1]처럼 홈페이지[2]도 있네. ㅋ

보안뉴스에 ‘CPU 취약점 종합보고서’라는 이름의 연속 기고문[3]이 실려 있는데, 비교적 원리적 설명을 하고 있어, 상당히 재미있으니 일독을 권한다. 이거 앞으로도 두 편 더 올라올 듯 한데, 일단 읽어두면 좋을 듯. ㅎ

 


2018.3.3
보안뉴스 [특별기고] CPU취약점 종합보고서②: MeltDown과 Spectre Variant 1 2018-02-28 17:38

 


2018.3.14
보안뉴스 [특별기고] CPU취약점 종합보고서③: Spectre Variant 2 2018-03-07 17:59
보안뉴스 인텔 사태 반복되나? AMD 칩에서도 취약점 발견 2018-03-14 10:53

 


2018.5.10
bleeping computer Multiple OS Vendors Release Security Patches After Misinterpreting Intel Docs May 9, 2018

 


[1] 내 백과사전 Heartbleed 버그 2014년 4월 9일
[2] https://meltdownattack.com/
[3] 보안뉴스 [특별기고] CPU 취약점 종합보고서①: 취약점의 기본원리 2018-02-20 17:00

교과서적인 RSA와 심각하게 허술한 보안 상태인 QQ 브라우저

얼마전에 텐센트가 중국 기업 최초로 시총 5천억달러를 돌파했다는 뉴스[1]를 봤는데, 바이두, 알리바바와 함께 천하삼분지계를 노리는 세 회사 중에서 텐센트가 제일 잘 나가는 모양이다.

해커뉴스[2]에서 텐센트의 QQ 브라우저가 얼마나 보안에 취약한지에 대해 설명하는 arxiv의 글[3]을 봤는데, 와 진짜 대단하네-_- 텐센트가 중국 정부의 검열에 엄청난 기여를 하고 있는 것 같다. ㅎㅎ 시총 5천억달러의 위업이 무색해지는 순간이다.

내용[3]을 보니 QQ브라우저는 텐센트 서비스로 로그인 하는 순간에 IMEI, IMSI, 와이파이 맥주소, 와이파이 SSID, 안드로이드 ID, 방문한 모든 페이지의 URL 등등의 개인정보를 전송한다고 한다-_-

QQ 브라우저는 PRNG 알고리즘으로 AES를 쓴다고 하는데, 그냥 쓰는게 아니라 89999999이하의 난수를 생성하는 nextInt(89999999) 함수 앞에 문자열 10000000을 붙여 사용하여 엔트로피를 줄여 쓴다(즉, 원래 경우의 수인 2128보다 작게 줄여 쓴다)고 한다. 경우의 수가 작으면 그만큼 뚫기도 쉬워진다.

이 뿐만 아니라, QQ 브라우저가 쓰는 RSA 알고리즘은 겨우 128비트(!) 밖에 안 되는데, 합성수 245406417573740884710047745869965023463 을 쓰고 있다고 한다. 내가 가지고 있는 maple의 ifactor 함수로 시험삼아 돌려보니 1초만에
245406417573740884710047745869965023463 = 14119218591450688427 * 17381019776996486069
이라고 바로 인수분해 된다-_- 1024비트 합성수도 불안하다고 난리치는 세상에 128비트라니… ㅋ

게다가 QQ 브라우저의 RSA 알고리즘은 완전히 교과서 그대로인 RSA (즉, textbook RSA)라서 padding이나 일체의 보완책이 없기 때문에 매우 뚫기 쉽다고 한다. RSA를 교과서 내용 그대로만 쓰는 경우에는 매우 취약하다는 건 처음 알았네-_-

비대칭 암호의 경우, 공격자가 암호장비와 복호장비가 별도로 확보되는 상황이 있는데, 암호장비에 적절한 평문을 넣어 공격하는 방법이 Chosen-plaintext attack이고, 복호장비에 적절한 암호문을 넣어 공격하는 방법이 Chosen-ciphertext attack(CCA)이다. 이 때, 적절한 암호문을 융통성있게 잘 넣어 보는 공격법이 Adaptive chosen-ciphertext attack이라고 하는데, 업계에서는 CCA2라는 약자로 부르는 것 같다. 이런 건 처음 알았음. ㅎㅎ

저자는 글[3]에서 CCA2를 이용하면 교과서적인 RSA가 얼마나 뚫기 쉬운지 이야기하고 있는데, 그 밖에도 알려진 다양한 공격법으로 뚫리는지에 대한 이야기를 하고 있다. 음… ㅋ

 


[1] 연합뉴스 텐센트, 中 IT기업 최초로 시가총액 5천억弗 돌파 2017/11/21 09:51
[2] https://news.ycombinator.com/item?id=16362488
[3] Jeffrey Knockel, Thomas Ristenpart, Jedidiah Crandall, “When Textbook RSA is Used to Protect the Privacy of Hundreds of Millions of Users”, arXiv:1802.03367 [cs.CR]

블록체인 교란과 비트코인 탈취법

해커뉴스[1]에서 흥미로운 논문[2,3]이 거론되고 있어 걍 포스팅해 봄. ㅎㅎ

본인이 네트워크 이론에 문외한이라, BGP hijacking과 같은 용어를 처음 들었다. ㅋㅋ 인터넷에서 특정 ip주소를 찾아 접속하려고 할 때, 전 세계의 모든 컴퓨터의 ip와 위치를 알고 있는 것이 아닌데 어찌 이게 가능한가? 각각의 패킷들이 무한루프를 돌지 않도록, 인터넷 서비스 업체(ISP)들 간에 어느 ip들이 어느 방향에 대략 있다는 정보교환을 하는 프로토콜을 Border Gateway Protocol이라고 하는 것 같다. 이 설명이 맞는지도 잘 모르겠다-_-

뭐 여하간 ISP들 사이에 정확한 정보가 오갈 필요가 있는데, 이 정보를 중간자 공격 등의 방법으로 조작하는 공격법을 BGP hijacking이라고 하는 듯 하다. 이런 종류의 라우팅 공격을 통해 블록체인을 교란할 수 있다는 주장[3]이다.

현재 인터넷에는 다수의 컴퓨터가 있고, 그 인터넷 서비스를 제공하는 업체(ISP)도 다수가 있지만, 대부분의 트래픽이 상위 13개 업체에 몰려 있다고 한다. 심지어 단 3개(!)의 ISP에서 전체 비트코인 트래픽의 60%를 제공하고 있다고 한다. 헐-_- 아무래도 로그함수 비슷하게 트래픽이 몰리는 듯… 국내의 경우도 대부분의 사람이 KT의 인터넷 서비스에 몰려 있지 않을까 하는 추측이 든다. 뭐 본인은 아주 마이너한 ISP를 쓰고 있지만-_-

그래프 출처는 [3]임. 가로축이 로그 스케일임을 유의하기 바란다. 이런 쏠림현상에 착안하여 BGP hijacking을 이용하면 데이터 패킷이 원래 ip주소와는 다른 엉뚱한 서버로 흘러들어가게 만들어 블록체인을 교란할 수 있는 모양인데, 자세한 과정은 잘 모르겠으니 넘어갑시다-_-

여하간 일부 ISP에 트래픽이 몰리는 현상은 비트코인 뿐만 아니라 cryptocurrency를 포함한 모든 블록체인에 적용되는게 아닌가 싶다. 본인이 짐작하기로 BGP hijacking이 상대적으로 그리 오래되지는 않은 해킹 기법 같다. 사이트[3]에 설명이 조금 돼 있다.

뭐 보니까 논문[2]의 저자도 가능한 시나리오만 제시하고 있어서, 실제로 가능한 건지는 문외한인 본인으로서 판단을 잘 못하겠지만, 요새 블록체인으로 뭘 하려는 시도[4]가 되게 많던데 찬물을 끼얹는 연구가 아닌가 싶기도 하다-_- 블록체인이 이론적으로는 좋아도 실사용 측면에서 쏠림현상 때문에 문제가 있다는 이야기는 소수 재사용 문제 때문에 생기는 Diffie-Hellman의 취약점[5]과 비슷한 면이 있는 듯 하다.

 


2018.1.31
보안뉴스 DNS 하이재킹 공격, 실행도 쉽고 결과도 치명적인 위협 2018-01-31 16:53

 


2018.3.11
How your ethereum can be stolen through DNS rebinding (Just Another Hacking blog)

 


[1] https://news.ycombinator.com/item?id=15764348
[2] Maria Apostolaki, Aviv Zohar, Laurent Vanbever, “Hijacking Bitcoin: Routing Attacks on Cryptocurrencies”, arXiv:1605.07524 [cs.NI]
[3] https://btc-hijack.ethz.ch/
[4] 내 백과사전 블록체인 기술의 활용 가능성 2015년 11월 12일
[5] 내 백과사전 Diffie-Hellman의 취약점 : 소수(prime number) 재사용 문제 2016년 12월 18일

RSA 공격법 : Coppersmith’s attack

다섯 명의 보안 연구자들이 CVE-2017-15361 라는 연구보고서[1]를 발표했는데, 이름하여 the Return of Coppersmith’s Attack (줄여서 ROCA) 라고 이름 붙였다고 한다. 이게 뭔 소린가-_- 싶어서 이리저리 검색해봤다. RSA를 공격하는 여러가지 방법들 중에 Coppersmith’s attack이라는 유명한 방법을 응용한 어떤 방법 같다. Synopsys라는 회사의 홈페이지[2]에 설명이 꽤 상세하니 참고할만 하다.

현재 ROCA에 영향받는 시스템의 숫자가 상당하다[2,3]고 하는데, 벌써 공개키값을 입력하면 취약성을 판단해주는 사이트[4]도 있다. 마이크로소프트의 윈도우즈 제품들에도 영향이 있다는데, 마이크로소프트 측에서는 이번 CVE-2017-15361에 대한 보안 권고문 ADV170012[5]도 발간한 모양이다. 집에 있는 공유기 등등 여러 전자제품들은 웬만하면 OS패치는 꼬박꼬박 해두자-_-

1996년에 Don Coppersmith라는 보안 전문가가 정수계수의 degree n인 monic polynomial이 주어질 때, 0부터 M^{1/n}의 범위 안에 up to mod M으로 모든 root를 찾는 다항식 시간 알고리즘을 발표했다고 한다. 이름하여 Coppersmith method인데, 이 방법을 동원하면 RSA로 부실하게 암호화 할 때 root를 모두 파내는 작업이 가능한 모양이다.

RSA를 구현하려면 두 소수 p, q와 공개키 e값, 비밀키 d값을 결정해야 한다. 이 때, ed\equiv 1 \pmod{(p-1)(q-1)}가 성립해야 한다. 평문 메세지 M을 전송하려면 C\equiv M^e \pmod{pq}로 암호화한 C를 전송하고, C^d\equiv M \pmod{pq} 으로 복호화한다.

RSA 자체의 수학적 문제는 없지만, 사용하는 사람에게 문제가 발생할 수 있다. 일전에 소수 재사용 문제[6]와 유사하다고나 할까. ㅎㅎ 위키피디아의 Coppersmith’s attack 항목의 설명에 따르면, 컴퓨터 모듈러 연산의 속도를 위하여 e값으로 페르마 소수 F_0, F_2, F_4를 사용하는 경우가 많다고 한다. e값이 작고 평문의 길이가 매우 짧을 경우, 보통 pq의 값이 매우 크기 때문에 암호화 된 텍스트 값 C가 모듈러 연산에 몇 번 걸리지 않는 경우가 있다고 한다. 이 경우 C값을 그냥 e 거듭제곱근을 구해서 평문을 복호화해 낼 수가 있다.

또는 동일한 메세지를 다수의 청중에게 방송할 경우, 공약수를 파내는 방법과 중국인 나머지 정리를 쓰면 평문 메세지의 경우의 수를 꽤 크게 좁힐 수도 있는 것 같다. 이런 식의 다양한 RSA 공격 기법들이 알려져 있는 것 같은데, 이번 ROCA는 정확히 어떻게 공격하는지는 본인도 잘 모른다-_- [1]을 대충 봤는데, 원체 지식이 없다 보니… ㅋㅋㅋ

여하간 보안패치는 꼬박꼬박 하자는 교훈. ㅎㅎㅎ 지금 검색해보니 보안뉴스에도 관련 기사[7]가 있다.

 


2017.10.24
Security Flaw in Infineon Smart Cards and TPMs in Schneier on Security

 


[1] https://crocs.fi.muni.cz/public/papers/rsa_ccs17
[2] ROCA: Cryptographic flaws in BitLocker, Secure Boot, and millions of smartcards
[3] 포브스 ‘Worse Than KRACK’ — Google And Microsoft Hit By Massive 5-Year-Old Encryption Hole OCT 16, 2017 @ 10:41 AM
[4] https://keychest.net/roca
[5] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV170012
[6] 내 백과사전 Diffie-Hellman의 취약점 : 소수(prime number) 재사용 문제 2016년 12월 18일
[7] 보안뉴스 RSA 암호화 알고리즘에서 인수분해 취약점 발견 2017-10-18 10:56

엔비디아 GTX 1080 Ti 8개로 패스워드 뚫기

해쉬함수의 역방향 매칭을 찾는 툴 가운데 Hashcat[1]이 가장 유명한 것 같다. 패스워드 크랙 관련 글 중에서 이 툴이 언급되지 않는 게시물이 거의 없는 듯 하다. ㅋ

일반인들이 구할 수 있는 엔비디아 제품군 가운데 가장 강력한 그래픽카드가 GTX 1080 ti인 걸로 알고 있는데, 다나와 최저가 검색을 해보니 판매자에 따라 다르지만 대략 80만~100만원 정도의 가격인 것 같다. 해커뉴스[2]를 보니 어떤 사람이 이걸 8개 동시에 달아서 Hashcat을 이용하여 해쉬함수의 역방향 매칭을 찾는 시험을 해 본 모양[3]이다. 헐-_-

비디오 카드 8개를 꼽을 수 있는 메인보드가 뭘까 궁금했는데, 글[3]에 나온 바로는 Supermicro 4028GR TR Red라고 씌여 있다. 검색해 보니 Super Micro Computer 사의 제품인데, 주로 서버용 제품을 만드는 회사인 듯. 스펙[4]에 PCI-E 3.0 16배 슬롯이 8개라고 나와 있다. 가격이 대략 천만 원 안쪽인 것 같다.

벤치마크 글[3]을 보니 md5 기준으로 초당 2572억번 해쉬할 수 있다고 한다. 흥미로운 부분은 해커뉴스[2]의 어느 사람의 댓글에 자기가 2010년 12월에 md5를 331억번 해쉬할 수 있는 시스템을 구성한 적 있다[5]고 하는데, 이 능력은 현재 GTX 1080 ti 한 개의 파워와 비슷하다. 대략 6.5년이 지나는 동안 해쉬량이 대략 2572/331 = 7.77배 증가했으므로, 근사적으로 2년에 2배 정도 증가한 셈이 된다. 병렬 컴퓨팅 파워는 아직도 무어의 법칙이 적용되는 것 같다. ㅎ

예전에 해커뉴스[6]에서 구글 n-gram[7]의 빈도분석과 패스워드 사전을 활용하여 hashcat으로 12자 이상의 패스워드를 뚫는 시범[8]을 본 적이 있는데, 이런 콤보전략과 병렬 파워를 동원하면 어지간한 길이의 패스워드는 거의 뚫릴 것 같다. 역방향 매칭을 피하기 위한 password salt는 거의 필수가 아닐까 싶다.

얼마전에 인터넷 호스팅업체 나야나가 랜섬웨어 제작범과 협상중이라는 기사[9]를 봤는데, 13억에 최종협상한 것[10]같다. 패스워드 크래킹 글[3]을 쓴 사람과 비슷한 시스템을 구성하는데 아마 2천만원 안쪽의 비용이 들 것 같은데, 나야나 사건[11]만 봐도 데이터 가치가 수 억이 넘는 경우는 허다할 듯 하다. 데이터의 가치가 수 천만 원 이상의 자료를 보호하는 데는 매우매우 강력한 패스워드와 더불어 추가적인 보호장치가 필요하지 않을까 싶다.

 


[1] https://hashcat.net/hashcat/
[2] Password Cracking with 8x Nvidia GTX 1080 Ti GPUs (hacker news)
[3] Password Cracking with 8x NVIDIA GTX 1080 Ti GPUs (servethehome.com)
[4] SuperServer 4028GR-T (supermicro.com)
[5] Whitepixel v2 now brute forcing 33.1 billion password/sec (hacker news)
[6] Cracking the 12+ Character Password Barrier, Literally (hacker news)
[7] 내 백과사전 거대한 코퍼스로 놀기 2010년 12월 22일
[8] Cracking 12 Character & Above Passwords (netmux.com)
[9] 지디넷 인터넷나야나 “랜섬웨어 해커와 협상 중” 2017.06.12.19:40
[10] 뉴스1 [단독]랜섬웨어에 당한 나야나, 해커와 13억원에 최종 합의 2017-06-14 17:07
[11] 인터넷나야나 랜섬웨어 감염 사태 (나무위키)

셰프 쥬디 : 안드로이드 멀웨어 앱의 대규모 확산

해커뉴스[1]에 어쩌면 구글 플레이스토어 역사상 최대로 많이 확산된 멀웨어가 탐지된 이야기[2]가 있는데, 그 앱을 배포한 기업이 한국 기업이라 걍 포스팅해봄-_-

이스라엘을 거점으로 하는 보안 전문 기업인 Check Point에서 추적한 결과 ‘셰프 쥬디’ 등 ‘키니위니(Kiniwini)’에서 제작한 41개 앱에서 멀웨어가 발견되었다고 한다. 이 앱의 마지막 업데이트는 2016년 4월에 있었으므로 1년 이상 구글의 보안망을 회피해 배포되었고, 최대로 추정할 경우 1800만번 다운로드 되었다고 한다. 검색해보니 벌써 보안뉴스에서 기사[3]가 나왔네-_- 보안뉴스 은근 속도 빠르다. ㅋㅋㅋ

지금 본인이 검색해보니 구글 플레이스토어에는 내려졌는데, 애플 앱스토어[4]에는 여전히 남아 있는 듯 하다. 일해라 애플 ㅋㅋㅋ 뭐 안드로이드와는 코드가 전혀 다르니 어쩌면 상관없을 수도 있다.

보안뉴스 기사[3]를 보니 보안뉴스 측에서 직접 앱 제작 기업과 연락을 한 모양인데, 회사 내부자 소행인지 어떻게 된건지 회사 측도 아직 파악을 못한 상태인 듯 하다. (아니면 구라를 치고 있거나-_-) 행여나 혹시나 이엔아이스튜디오(ENISTUDIO) 또는 키니위니(Kiniwini)에서 제작한 앱을 설치한 사람은 즉시 삭제하시길 바란다. 게임 홈페이지에 공지사항[5]에는 앱을 안 지우면 계속 게임할 수 있다고 돼 있네-_-

이번 사건으로 제대로 등록된 앱이라고, 사람들이 많이 다운로드 했다고 안전한 것은 아니라는 사실. 문제가 되는 이 앱은 불필요한 퍼미션 요구를 많이했던 모양[2]인데, 역시 앱을 설치할 때 수상하게 퍼미션을 요구한다면 안 설치하는 것이 바람직한게 아닌가 싶다.

 


[1] https://news.ycombinator.com/item?id=14440053
[2] The Judy Malware: Possibly the largest malware campaign found on Google Play in Check Point blog
[3] 보안뉴스 구글 플레이 사상 최대 멀웨어, 한국 앱 41개로 퍼졌다 2017-05-30 18:25
[4] 셰프쥬디:퓨전 라면 만들기 – 요리게임 in app store
[5] http://www.kiniwini.com/community/notice.php?vt=v&bdcode=18706

랜섬웨어 WannaCry를 언어학적으로 분석하다

이코노미스트지 단신[1]으로 흥미로운 이야기를 들어서 좀 검색을 해 봤다. ㅋㅋㅋ

일전에 워너크라이 랜섬웨어에 대한 이야기[2]를 한 바 있는데, 카스퍼스키나 시만텍 등의 각종 보안 전문가들은 북한이 하지 않았을까 하는 추정울 하는 모양[3]이다. 일전에 swift 해킹사건[4]도 북한의 가능성이 나오고 있는데, 이거 뭐 만물 북한설-_-도 아니고 ㅋㅋㅋ

한편 워너크라이 랜섬웨어가 각종 언어를 지원한다는 점에서 착안하여 Flashpoint라는 회사에서 언어학적인 접근을 시도해 본 모양[5]이다. 이게 뭔 회사인가 싶었는데, 홈페이지에 있는 자신들의 소개[6]에 의하면, 데이터 분석으로 어떤 컨설팅을 제공하는 회사인 듯 하다.

이 회사의 주장[5]에 의하면 비록 워너크라이가 28개 국어의 지원을 하고 있으나 각종 번역문과 구글 번역기와의 단어 매칭을 하면 영어, 중국어 번체, 중국어 간체를 제외한 모든 언어가 98% 이상의 높은 매칭을 보인다. 따라서 모두 기계번역에 의한 문장이고 인간이 쓴 문장은 아니라는 추정이 가능하다. 영어 버전은 비록 인간이 쓰긴 했으나 치명적인 문법적 오류가 있어, 모국어가 영어는 아닌 사람인 걸로 추정된다.

많은 부분에서 워너크라이의 안내문구를 쓴 사람은 매우 유창한 중국어 화자라는 추정을 할 수 있다고 하는데, 본인이 중국어에 까막눈이라 잘 모르겠다-_- ㅋㅋㅋ 워너크라이의 문구에는 help를 의미하는 ‘帮助‘ 대신에 ‘帮组’ 라고 오타가 있는 모양인데, 이것은 기계 번역으로 작성한 것이 아니라 작성자가 자판으로 직접 친 글임을 강력하게 시사한다고 한다.

한편 week를 의미하는 ‘礼拜‘는 남중국, 홍콩, 타이완에서 흔히 쓰이는 표현이고, 안티바이러스를 의미하는 ‘杀毒软件‘는 중국 본토에서 더 흔한 표현이라고 한다.

어쨌든 그들의 결론은 워너크라이를 제작한 사람은 중국어에 유창하고, 중국 남부지방 사람일 가능성이 높다고 판단하는 듯. 문장이 좀 길었다면 일전에 롤링씨 사건[7]처럼 Forensic Linguistics를 동원할 수도 있지 않을까 싶다. ㅋ

Flashpoint는 안내 문구만 분석했는데, 코드 속에는 좀 더 많은 내셔널리티가 있지 않을까 하는 생각이 든다. 일전에 Dark Hotel에서 한국어 화자로 추정되는 코드가 보인다는 이야기[8]를 한 적이 있는데, 부지불식간에 언어적 습관이 코드에 남아 있을 수도 있다. 그래서 CIA에서는 국적 혼동용의 obfuscater 같은 것도 사용하는 모양[9]이다. 앞으로 멀웨어 제작자는 다국어 능력도 필요할 듯 ㅋㅋㅋ

 


2017.6.8
보안뉴스 워너크라이 협박 편지, 중국어 하는 사람이 썼다 2017-05-26 14:25

 


2017.6.18
보안뉴스 [주말판] 해커 잡기 위해 동원되는 언어 분석의 가치란 2017-06-17 11:05

 


2017.12.19
로이터 U.S. blames North Korea for ‘WannaCry’ cyber attack DECEMBER 19, 2017 / 9:12 AM
https://news.ycombinator.com/item?id=15957268

 


2017.12.22
보안뉴스 워너크라이, 정말 북한일까? 고개 드는 의심론 2017-12-21 14:39

 


[1] 이코노미스트 에스프레소 The world in brief, May 30th 2017
[2] 내 백과사전 랜섬웨어 WannaCry 확산 2017년 5월 15일
[3] the hacker news Google Researcher Finds Link Between WannaCry Attacks and North Korea Monday, May 15, 2017
[4] 내 백과사전 방글라데시 SWIFT 해킹 사건과 북한의 관련성 2017년 3월 26일
[5] Linguistic Analysis of WannaCry Ransomware Messages Suggests Chinese-Speaking Authors in Flashpoint blog
[6] https://www.flashpoint-intel.com/about/
[7] 내 백과사전 법언어학으로 밝혀낸 롤링의 정체 2013년 7월 21일
[8] 내 백과사전 Regin과 Dark Hotel : 악성코드로 이루어지는 사이버 첩보활동 2014년 11월 29일
[9] the hacker news WikiLeaks Reveals ‘Marble’ Source Code that CIA Used to Frame Russia and China Friday, March 31, 2017

랜섬웨어 WannaCry 확산

요새 랜섬웨어 WannaCry가 상당히 급속도로 확산되고 있는 듯 한데, 여기저기서 주의경보가 나오고 있다.[1,2] 윈도우즈 OS 컴퓨터에 감염된다고 하는데, MS에서 이미 3월 14일에 패치를 했다[1]고 하니, 그 이후에 윈도우즈 보안 업데이트를 한 컴퓨터는 괜찮은 것 같다. 스크린샷[2]을 보니 랜섬웨어가 친절하게도(?) 한국어 서비스도 하는 모양-_-

영국의 병원에도 감염되어 16개 병원이 문을 닫고[3] 환자들을 이송시키는 사태가 발생한 모양[1,3]인데, 단순히 컴퓨터 바이러스의 문제가 아니라 목숨들이 달린 문제라는 걸 실감한다. 청와대 국가안보실에서 상황파악중[4]이라고 하니, 문재인 정부에서 상황을 인지하고 발빠르게 대처하는 듯 하다. 오사카시 홈페이지도 당한 듯 하다.[5] 골 때리네-_-

NSA가 개발한 해킹툴인 EternalBlue를 이용한 랜섬웨어[6]라고 하는데, NSA의 패악은 날이 갈 수록 더해지는 듯… 마이크로소프트 운영진에서는 NSA의 이런 행위가 극도로 불만[7]인 모양이다. ㅎㅎ 어느정도 진화됐는지 모르겠지만 변종도 벌써 등장했다[8]고 하니 주의가 필요할 것 같다.

요새 해커들에게 랜섬웨어가 엄청나게 돈이 되는 모양[9]인지, 공격이 폭발적으로 증가하고 종류도 다양[10]해지고 있다고 한다. 뭐 랜섬웨어에 대한 이야기는 본 블로그에서 초창기[11]부터 하긴 했는데, 이렇게 성공적으로 퍼질 줄은 몰랐네 ㅋ

 


2017.5.16
랜섬웨어를 대하는 우리의 자세 (김국현)
라포르시안 랜섬웨어 공격, 병원 노리는 이유 알고 보니…“비열한 짓” 2017.05.14 22:02

 


2017.5.19
the hacker news WannaCry Ransomware Decryption Tool Released; Unlock Files Without Paying Ransom Thursday, May 18, 2017

 


2017.5.20
wannacry는 RSA 암호화할 때 key를 local generate한다[12]는 사실. 한편 감염된 컴퓨터의 절대다수는 win7인 듯[13]

 


2017.5.21
New SMB Worm Uses Seven NSA Hacking Tools, whilst WannaCry Used Just Two (hacker news)

 


2018.3.30
보안뉴스 갑자기 다시 나타난 워너크라이, 장소는 첨단 기업 보잉 2018-03-30 11:49

 


2018.5.15
보안뉴스 워너크라이 등장한 지 1년, 이터널블루는 오히려 강세 2018-05-14 16:41

 


[1] 보안뉴스 [긴급] 사상 최악 랜섬웨어! 현재 74개국으로 확산중…한국도 피해 2017-05-13 17:20
[2] 데일리시큐 랜섬웨어 확산, 국내 4곳 피해상황과 대처 요령…사이버위기 ‘주의’로↑ 2017년 05월 15일 월요일
[3] the verge UK hospitals hit with massive ransomware attack May 12, 2017, 11:36am EDT
[4] 보안뉴스 [워너크라이 랜섬웨어 사태] 靑 국가안보실 “국내 피해규모 9건, 48종 샘플 분석중” 2017-05-15 14:24
[5] it media news 大阪市、サイトが閲覧できない状況に 「WannaCry」攻撃か 2017年05月15日 13時26分
[6] 포브스 An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak MAY 12, 2017 @ 12:10 PM
[7] Los Angeles times Microsoft president blasts NSA for its role in ‘WannaCry’ computer ransom attack May 14, 2017, 2:55 PM
[8] WannaCry — New Variants Detected!
[9] 디지털 타임즈 랜섬웨어 해킹범죄 조직, 최대 3억달러 수익 올려 2015-11-30 14:02
[10] 보안뉴스 RSA에서 한창 이야기 되고 있는 랜섬웨어 최근 트렌드 2017-02-14 14:33
[11] 내 백과사전 강력한 암호기술의 부작용 : ransomware 2013년 10월 18일
[12] WannaCry in-memory key recovery for Windows XP (hacker news)
[13] IT media news 「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ 2017年05月20日 19時12分