본문 바로가기
모의해킹 (WAPT)

악성 브라우저 확장 프로그램 "CacheFlow" 해부

by 날으는물고기 2023. 9. 12.

악성 브라우저 확장 프로그램 "CacheFlow" 해부

"CacheFlow"는 수백만 명의 사용자를 감염시키는 대규모 악성 브라우저 확장 프로그램 네트워크입니다.

이 확장 프로그램은 사용자들에게 무심코 다운로드되고 악의적인 활동을 숨기는 데 놀랄만한 기술을 사용합니다.

Flow of the covert channel (출처 : avast)

1. 확장 프로그램 설치 및 숨김 작업

CacheFlow 확장 프로그램은 사용자의 신뢰를 얻기 위해 정상적으로 보이는 기능을 제공합니다. 이들은 브라우저 스토어에서 다운로드되며, 대부분의 사용자들은 이러한 확장 프로그램이 안전하다고 가정합니다. 그러나 이런 가정은 항상 맞지 않을 수 있습니다.

 

2. 명령 및 데이터 숨김

CacheFlow의 주요 특징 중 하나는 악성 확장 프로그램이 명령 및 제어 트래픽을 숨기려는 방식입니다. 이들은 트래픽을 숨기기 위해 분석 요청의 Cache-Control HTTP 헤더를 사용하는 새로운 기술을 사용합니다. 이로써 악성 명령을 감추는 데 사용되며, 동시에 분석 정보도 수집합니다.

 

3. 사용자 프로파일링 및 감지 회피

CacheFlow 확장 프로그램은 사용자를 효과적으로 감지하고 감염할 가능성이 낮은 사용자를 필터링합니다. 이들은 웹 개발자일 가능성이 있는 사용자를 피하고, 악성 활동을 최소화하기 위해 악성 활동을 활성화하기 전에 적어도 3일 동안 대기합니다. 또한, 브라우저 개발 도구를 감지하면 즉시 악성 활동을 비활성화합니다.

 

4. 명령 및 제어 트래픽

CacheFlow는 분석 요청을 통해 악성 명령을 수신하고 이를 Cache-Control 헤더의 형태로 반환합니다. 이 명령은 특정 조건을 충족해야만 반환되며, 이를 통해 초기 3일 동안은 악성 활동을 숨기는 데 사용됩니다.

 

5. 대응 조치

CacheFlow와 같은 악성 확장 프로그램에 대응하기 위해서는 다음과 같은 조치를 취할 필요가 있습니다.

  • 신뢰할 수 있는 소스에서만 브라우저 확장 프로그램을 설치하세요.
  • 주기적으로 브라우저 확장 프로그램을 검토하고 의심스러운 확장 프로그램을 제거하세요.
  • 개인 정보를 브라우징 중에 최소화하고 주요 웹 서비스에 대한 추가 보안을 사용하세요.
  • 보안 업데이트를 시스템과 브라우저에 적용하여 최신 보안 패치를 유지하세요.

 

이러한 조치는 사용자의 온라인 보안을 강화하고 악성 브라우저 확장 프로그램과 같은 위협으로부터 보호할 수 있도록 도와줍니다.

 

IoC for CacheFlow

728x90

댓글