기록 보관소

Spam message analysis impersonating glu mobile 2D artist offer

서론

어느 날 (정확히는 2022년 6월 26일) 필자의 일러스트 투고 사이트 계정 DM으로 2D artist offer가 왔다.

bitly로 축약되어 offer 주체의 url을 확인할 수 없는 메시지였기에 수상하기도 하고 흥미가 생겨 조사해보았다. (이 글을 쓰는 시점에서는 삭제된 계정이어서 메시지 내용이 보이지 않아 이미지를 첨부할 수 없다)

유도 사이트 (telegra.ph)

먼저 축약된 bitly에서 유도되는 사이트는 아래의 telegra.ph사이트의 페이지이다.

telegra.ph는 메신저로 유명한 telegram에서 제작한 익명 블로그라고 한다. 딱 봐도 각종 불법 행위로 쓰이기 좋은 사이트.

glu mobile은 꽤나 인지도 있는 회사라고 할 수 있는데 이런 익명의 블로그를 빌어 offer 페이지를 만든다는 것 부터가 수상하다.

2022년 6월 5일에 최초 작성된 것으로 보이며 접속만으로는 문제가 없었다.

https://telegra.ph/Offer-for-you-06-04

위 telegra.ph 페이지 내용의 특징은 아래와 같다.

• 내용 중에 예시 작업물을 확인해보고 답신을 보내라는 내용이 있는데 연락 수단에 대한 이야기가 한마디도 없다
• 예시 작업물은 www.glu.com/examples 이름의 링크로 걸려있는데 내용물은 github repository 내부의 파일로 걸려있다
• 아래쪽 링크는 glu mobile 공식 홈페이지로 걸려있다
• 이 페이지를 계속 유지하면서 같은 내용의 다수 github 계정을 이용하여 유사시 링크를 변경한다

.rar 압축 파일 링크 사이트 (github)

github의 repository는 아래와 같이 구성되어 있다.

처음 확인했을때 github 계정은 GluMobiles라는 이름이었는데 지금은 이 계정이 삭제되고 GLUfiles로 대체되었다.
(진짜 glu mobile은 계정 이름이 GluMobile이며 비공개 repository를 가지고 있다)

https://github.com/GLUfiles/base1

내용 중 github 페이지의 특징은 아래와 같다.

• 다른 계정도 readme.md 내용이 다를 뿐 내부 구성은 같다
• 계정주에 의해 새로 커밋이 되기도 한다
• 세 개의 rar 파일 중 Glu examples 파일을 링크한다

원래의 GluMobiles 계정은 어떤 유저가 fork하여 repository를 유지하고 있는데 이 유저의 페이지는 아래와 같다.

https://github.com/MikeTheDead/downloads

rar 파일

github의 rar 파일 특징은 아래와 같다.

• 비밀번호는 모두 111이고 파일 이름에 쓰여있다
• 내용물은 Glu examples라는 이름의 rar 파일인데 jpg, png 이미지 몇개와 1.1.scr파일 (windows screensaver 파일)로 이루어져 있다

여기에서 .scr 파일을 실행하지 말자. 이 파일이 스팸 메시지의 핵심이자 backdoor를 설치하는 실행파일이다.

첨부된 이미지는 아래와 같다.

더보기

 

 

 

대체로 출처를 알 수 없었으나 Glu mobile examples(Password 111).rar 파일과 Glu examples(Password 111).rar 파일은 아래 세개의 이미지와 1.1.scr 파일을 가지고 있다.

예를 들어 2.2.png 파일을 받으면 2.1.png 파일처럼 달라는 의미로 넣어둔 듯 하다.
언뜻 기괴한 느낌도 드는 그림



아래는 Photo examples(password 111).rar 파일인데 NFT 작가들의 이미지라는 공통점이 있다.

더보기

 

 

 

 

조사한 바에 의하면
달 이미지는 Hossein Zare라는 작가의 NFT 이미지이다.
https://linktr.ee/hosseinzare

여자 이미지는 Elena Paraskeva라는 작가의 이미지이다.
https://www.elenaparaskeva.com/5146502-about

사례

루리웹에 인증 글을 올린 사례가 있는듯 하다. 보니까 피해 사례도 있는 것 같다.

https://bbs.ruliweb.com/community/board/300143/read/57174130

일본쪽 사례도 있는듯.

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10263805800

https://twitter.com/mii0317_/status/1540706340909113344?s=20&t=4eUlf3uxQyieV1TEhI0Mkw

이 사례를 다룬 블로그도 있다.

https://fireflyframer.blog.jp/32359017.html

마무리

scr 파일에 의한 공격은 2015년 언저리부터 보고되었는데 아직까지도 이를 이용한 사례가 발견되는 것을 보니 새삼 신기한 느낌도 든다.

계정에서 그림계정임을 추출하는 지표가 무엇이었는지는 사례를 더 봐야 유추할 수 있을 것 같다.


내부를 분석해보는건 귀찮아서 여기까지만..

이쪽을 공부하다 보면 흔히 오타쿠 문화라고 불리는 서브컬쳐와 관련된 요소들이 종종 보인다.

이 분야가 묘하게 힙스터스러우면서도 코드가 맞는 모양이다.

그래서 생각나는대로 간단한 설명과 함께 연관성을 조사하고 짚어보기로 했다.

Computer Security 관련 팁은 아니고 순전히 흥미본위의 글이다.

1. Mirai botnet (2016)

Mirai는 무작위 IP검색을 통해 보안 설정이 허술한 IoT 기기를 감염시켜 좀비화하고, 이들을 봇넷(botnet)으로 만들어 DDoS 공격을 위해 사용하는 worm malware이다.

흔히 "미라이 봇넷"으로 알려져 있으며 DNS서버를 공격하여 이를 이용하는 여러 사이트가 마비된 꽤나 유명한 사건이 있었다. 미라이 봇넷 이후로 여러 변종이 생겼는데, 어떤 malware는 암호화폐 채굴을 위한 봇넷을 만들기도 한다.

여기서 mirai는 malware 작성자가 보았던 애니메이션 "미래일기"의 이름을 따서 정했다고 한다.^[각주:1] 흔히들 얀데레 짤로 알려진 캐릭터가 이 애니메이션의 등장인물이다.

2. Armitage (2010~)

Armitage는 GUI를 이용하여 컴퓨터의 취약성 테스트나 remote system에 침입 테스트를 수행할 수 있는 오픈 소스 기반 도구이다.

실질적인 취약성 테스트 기능에 해당하는 Metasploit과 연동하여 frontend GUI를 제공하는 Java 기반 어플리케이션이며, 다른 도구에 비해 시각적으로 알기 쉽게 모의 exploit을 수행할 수 있는 점이 장점. 보안을 공부해본 사람이라면 한번쯤 다뤄보는 Kali Linux의 패키지로 관리되고 있어 꽤나 익숙한 도구일 것이다.

관련 자료를 조사하며 보니 Armitage는 Metasploit의 하위 프로젝트로 존재하다가 2016년에 떨어져 나왔으며, 공식 웹사이트가 지원 중지되고 지금은 Kali Linux의 패키지에서 소스 코드가 관리되고 있었다.^[각주:2]

정황상 Armitage의 최초 개발자인 Raphael Mudge가 2011년 상위집합 상업용 도구인 Cobalt Strike를 제작하였는데, Armitage와 마찬가지로 Metasploit에 종속적인 프로젝트로 존재하다가 Cobalt Strike 3.0 이후로는 Metasploit과의 종속성을 없애고 회사 소프트웨어로 편입한 것으로 보인다.^[각주:3] 이 과정에서 Armitage의 관리를 포기한 것으로 추정되며^[각주:4] 그래서인지 Kali Linux의 Armitage 패키지 버전은 2016년에 멈춰 있다.^[각주:5]

그렇다면 Armitage가 서브컬쳐랑 무슨 상관인가 싶은데, 일단 로고 디자인이 1995년 제작된 동명의 애니메이션 "Armitage III" (아미테이지 더 서드)의 여주인공 나오미 아미테이지와 유사해 보인다. 조사하며 알았는데 국내에는 잘 알려지지 않았지만 영미권에서는 당시 꽤나 유명했었다고 한다. 개발자가 이 작품에서 영감을 받은 듯.

또한 Total Xaker라는 러시아의 보안 관련 매거진 (지금은 폐간된 것으로 보인다) 40호^[각주:6]에 Armitage가 소개된 당시, 표지가 나오미 아미테이지의 피규어 버전인 것으로 보아 직접적인 관련이 있다고 생각했다.

아래 Total Xaker 40호의 pdf파일을 첨부해둔다.

3. TOMOYO Linux (2009~, Linux mainline)

TOMOYO Linux는 MAC(Mandatory Access Control)를 구현하는 리눅스 커널 모듈 형태의 LSM(Linux Security Module)중 하나이다. 리눅스는 기본적으로 소유자나 소유 그룹에 기반한 파일 접근 권한인 DAC(Discretionary Access Control)를 채택하고 있는데, TOMOYO Linux를 통해 추가로 MAC를 도입하여 파일 to 파일의 접근 권한 규칙을 규정하고 이에 따른 access control을 만들 수 있다. SELinux와 같은 기존 LSM보다 MAC를 사용하기 쉽다는 점이 장점.

최초 작성자는 한다 테츠오(半田哲夫)이며 2012년까지 일본의 NTT DATA사의 지원을 받았다고 한다. 지금까지도 버전관리 되고있는 모듈.^[각주:7]

로고에서는 리눅스를 의미하는 펭귄이 보안관 차림으로 있는 모습으로 리눅스 보안 모듈임을 나타내고 있다.

여기서 TOMOYO는 카드캡터 사쿠라(한국명 카드캡터 체리)의 등장인물 다이도우지 토모요에서 따온 것으로 추정된다. 아마도 보안 모듈이 일종의 감시카메라와 비슷한 역할을 한다는 것에서 착안한 것이 아닐까 싶다. 정작 작중에서는 사쿠라의 모습을 찍어두려는 사생팬같은 모습이었지만..

로고의 펭귄 캐릭터가 캠코더를 들고 있는 모습^[각주:8]과 개발자의 TOMOYO Linux 사례연구 pdf^[각주:9]의 수많은 카드캡터 사쿠라 캐릭터 그림들을 보면 확실하다고 할 수 있겠다.

이 외에 추가로 발견하는대로 조금씩 갱신할 예정.

가끔 인터넷방송을 한다. 보통 컴퓨터가 느려지는데, 실시간 encoding의 부하에 의한 현상이므로 encoding만 대신 해줄 수 있는 무언가가 있으면 좋겠다는 생각이 들었다. 그러던 중 집 구석에 박혀서 python 구동기로 사용되고 있는 raspberrypi 4가 눈에 들어왔다. 이친구 분명 4K streaming이 가능한 정도의 스펙을 가지고 있었던것 같은데..

이리저리 검색해보니 hdmi 캡쳐 카드와 v4l2-ctl, ffmpeg와 같은 유틸이 있으면 rpi4로 hdmi 신호를 받아 encoding한 후 RTMP 서버로 보낼 수 있는 방법을 누군가가 정리해두었다. hdmi 캡쳐카드야 그리 비싸지 않으니 한번 시도해볼만할것 같다.

참고 링크

github.com/PrawnMan/HdmiPi-Streaming

streamlabs.kr/2019/11/what-is-a-capture-card/

============================================================================

시도해 본 결과 램이 부족한건지 sd카드 용량이 부족한건지 알 수 없지만 영상과 소리가 제대로 캡쳐되지 않는 현상이 있었다

라즈베리파이로 하는 방식은 보류하고 다른 PC를 찾아서 인코딩용으로 쓰는 방법을 사용해야겠다

그 과정에서 이용한 커맨드 백업

아래 방식과 같이 csi를 사용하는 것도 생각할 수 있는데 이건 어떨지 모르겠다

github.com/pikvm/pikvm#diy-getting-started