모의해킹 (WAPT)

악성 브라우저 확장 프로그램 "CacheFlow" 해부

날으는물고기 2023. 9. 12. 00:36

"CacheFlow"는 수백만 명의 사용자를 감염시키는 대규모 악성 브라우저 확장 프로그램 네트워크입니다.

이 확장 프로그램은 사용자들에게 무심코 다운로드되고 악의적인 활동을 숨기는 데 놀랄만한 기술을 사용합니다.

Flow of the covert channel (출처 : avast)

1. 확장 프로그램 설치 및 숨김 작업

CacheFlow 확장 프로그램은 사용자의 신뢰를 얻기 위해 정상적으로 보이는 기능을 제공합니다. 이들은 브라우저 스토어에서 다운로드되며, 대부분의 사용자들은 이러한 확장 프로그램이 안전하다고 가정합니다. 그러나 이런 가정은 항상 맞지 않을 수 있습니다.

 

2. 명령 및 데이터 숨김

CacheFlow의 주요 특징 중 하나는 악성 확장 프로그램이 명령 및 제어 트래픽을 숨기려는 방식입니다. 이들은 트래픽을 숨기기 위해 분석 요청의 Cache-Control HTTP 헤더를 사용하는 새로운 기술을 사용합니다. 이로써 악성 명령을 감추는 데 사용되며, 동시에 분석 정보도 수집합니다.

 

3. 사용자 프로파일링 및 감지 회피

CacheFlow 확장 프로그램은 사용자를 효과적으로 감지하고 감염할 가능성이 낮은 사용자를 필터링합니다. 이들은 웹 개발자일 가능성이 있는 사용자를 피하고, 악성 활동을 최소화하기 위해 악성 활동을 활성화하기 전에 적어도 3일 동안 대기합니다. 또한, 브라우저 개발 도구를 감지하면 즉시 악성 활동을 비활성화합니다.

 

4. 명령 및 제어 트래픽

CacheFlow는 분석 요청을 통해 악성 명령을 수신하고 이를 Cache-Control 헤더의 형태로 반환합니다. 이 명령은 특정 조건을 충족해야만 반환되며, 이를 통해 초기 3일 동안은 악성 활동을 숨기는 데 사용됩니다.

 

5. 대응 조치

CacheFlow와 같은 악성 확장 프로그램에 대응하기 위해서는 다음과 같은 조치를 취할 필요가 있습니다.

  • 신뢰할 수 있는 소스에서만 브라우저 확장 프로그램을 설치하세요.
  • 주기적으로 브라우저 확장 프로그램을 검토하고 의심스러운 확장 프로그램을 제거하세요.
  • 개인 정보를 브라우징 중에 최소화하고 주요 웹 서비스에 대한 추가 보안을 사용하세요.
  • 보안 업데이트를 시스템과 브라우저에 적용하여 최신 보안 패치를 유지하세요.

 

이러한 조치는 사용자의 온라인 보안을 강화하고 악성 브라우저 확장 프로그램과 같은 위협으로부터 보호할 수 있도록 도와줍니다.

 

IoC for CacheFlow

728x90