[241119] 스마트폰을 떨어뜨렸을 뿐인데: Just Dropped Smartphone Operation

2023년 개봉 영화 '스마트폰을 떨어뜨렸을 뿐인데'는 분실한 스마트폰에 스파이웨어를 설치후 실시간 도청, 악의적 비방 글 업로드, 살인 시도 등 범죄 과정이 나옴. -> 스파이웨어를 활용한 범죄는 영화 속 이야기뿐만 아니라 현실에서도 발생할 수 있는 문제.

 

• 페가수스 스파이웨어 - 정치적 목적을 위해 사용됨
• 스토커웨어 - 자녀 보호 앱, 스마트폰 분실 예방 앱, 배우자 감시 앱으로 마케팅되어 판매됨.

이번 글에서는 이러한 범죄를 저지른 '오준영'의 범죄 흐름을 Mitre ATT&CK Framework for Mobile을 이용한 방법, 기술, 절차 분석을 통해 스마트폰 침해사고에 대해 알아보고 해킹 사고에 대비할 방법을 알아보고자 함.

 

본 글은 plainbit의 '스마트폰을 떨어뜨렸을 뿐인데: Just Dropped Smartphone Operation (https://blog.plainbit.co.kr/just-dropped-smartphone-operation/)를 요약정리한 글임.

---

MITRE ATT&CK으로 바라 본 오준영의 전략

MITRE ATT&CK

사이버 공격 Life Cycle의 각 단계에 따른 사이버 범죄 전술, 기법 및 절차를 분류해기에 이를 활용하여 공격자들의 패턴을 파악하여 프로파일링하거나, 공격 기술에 맞는 대응 방법을 고려할 수 있음.

Initial Access & Execution

• 초기 접근 단계(Initial Access) : 공격자가 장치에 침입하기 위한 행위
• 실행(Execution) : 악성코드를 실행하는 행위

-> 이 단계에서 '오준영'은 피해자 '이나미'의 스마트폰 잠금화면 비밀번호를 얻어 스마트폰에 'Peppers ver3.27'이라는 스파이웨어를 설치함.

 

스파이웨어 설치 과정 속 고증 오류 장면

현재는 접근할 수 없는 '/Phone/data' 폴더

Android 11 업데이트가 제공된 이후 삼성 스마트폰은 data 폴더에 접근 불가능.

 

비효율적인 스파이웨어 원격 제어 장면

- 설치 과정에서 보이는 exe 파일과 dll 파일들

- 스마트폰과 노트북으로 동시에 스파이웨어에 감염된 스마트폰 제어

 

Persistence

지속 과정(Persistence)이란?

공격자들이 자신이 구축한 기반을 유지하기 위한 행위.

-> 장치에 존재하는 예약 작업 기능을 활용하여 공격 또는 특정 이벤트를 기반으로 공격하는 방법이 존재

 

Defense Evasion

방어 회피(Defense Evasion)란?

공격자가 탐지되는 것을 회피하기 위한 행위

• 사용자 회피 : 사용자의 악의적인 행동을 숨겨 탐지를 피하려고 시도 -> 장치에 더 오랫동안 설치된 상태로 유지되어 공격자가 해당 장치에서 계속 작업할 수 있게 됨.
• 방어력 약화 : 공격자는 방어 메커니즘을 방해하거나 비활성화하기 위해 피해자 환경의 구성 요소를 악의적으로 수정하는 기술. 

'오준영'은 스마트폰에 설치된 스파이웨어의 기능을 축소 설명하여 피해자로 하여금 의심이 많던 친구와의 관계를 단절시킴.

Discovery

발견(Discovery)이란?
사용자의 환경을 파악하려는 공격자의 행동.

Collection

수집(Collection) 단계에서 공격자는 본인의 목표에 맞는 관심 정보들을 수집. 이 과정에서 사용된 상세 기술은 다음과 같음.

• 오디오 캡처
• 통화 제어
• 입력 캡처
• 위치 추적
• 보호된 사용자 데이터
• 저장된 애플리케이션 데이터
• 비디오 캡처

Impact

공격자의 최종 목표 단계이자 공격 행위의 이유를 알 수 있는 단계 -> 대부분 금전적인 목적으로 피싱, 랜섬웨어 같은 공격 행해짐. 이 영화에서는 '이나미'의 사회적 인간 관계 단절을 일으키기 위해 범죄를 저지름.

---

대응 방안

비밀번호 요구가 정당한지 판단

실제로도 스마트폰 수리점에서 스마트폰 비밀번호나 스마트폰 패턴을 요청 -> 해당 상황에서 비밀번호 요구가 정당한지 판단할 수 있어야 함. 

 

1. 하드웨어 수리 상황
2. 데이터 전송 상황

상황에 따른 URL 확인 방법

https://blog.plainbit.co.kr/just-dropped-smartphone-operation/

1. 출처가 분명한 URL 수신 상황
2. 출처가 불분명한 URL 수신 상황

Windows Sandbox 사용 방법

로컬 컴퓨터와 무관한 환경에서 URL에 접속해 정상 URL인지 확인해보는 방법이 있음.

 

가상머신이란?

내 컴퓨터의 실제 환경과 유사하지만 독립적으로 동작하는 환경이어서 가상머신 안에서 악성코드가 동작하더라도 실제 컴퓨터 환경에는 영향을 미치지 않음.

 

CTI 검색 엔진 사이트 사용 방법

사이트 목록은 다음과 같음.

• VirusTotal
• URL Scan
• Criminal IP

HTTPS 프로토콜 확인 방법

HTTPS 프로토콜의 경우 웹 사이트의 신뢰를 위해 독립된 인증 기관에서 SSL/TLS 인증서를 획득해야 함.