특이한 해킹 기법 : 피로 공격/돌핀 어택 /스테가노그라피

MFA 피로 공격

2차 인증을 뚫기 위해서 새벽 1시-2시 사이

"본인이 계정에 접속한 것이 맞습니까?" 라는 알림이 계속 울리게 해서

예 버튼을 클릭하는 실수를 유발하는 공격.

 

실수를 한번만 해도 해킹당함

 

이게 말이 돼? 라고 생각하겠지만 이런 실수를 유발하는 해킹 기법이 의외로 매우 효과적이라고 한다.

 

돌핀 어택

인간의 가청 영역 주파수를 이용한 공격

기기에 인간이 들을 수 없는 초음파로 메시지를 보내면

시리나 알렉사가 작동되었다고 2017년 당시 중국 즈장 대학 연구팀에서 발표했다.

 

이 공격은 인간의 음성 명령을 20kHz이상의 초음파 주파수로 변환하는 방식으로 작동한다.

음성 제어 하드웨어 2m안에 접근하면 공격이 성공할 수 있고 더 고성능의 장비를 이용하면 그 거리를 더 늘릴 수 있다고 한다.

아이폰, 아이패드, 맥북, 애플 워치, 아마존 에코, 삼성 갤럭시S6엣지 등등에서 작동했는데 돌핀어택을 막은

유일한 기기는 아이폰 6 플러스였다고 한다.

영상을 캡쳐한 건데, 영상을 보면 시리가 작동해서 전화를 하는 모습을 볼 수가 있다.

 

 

스테가노 그라피

Steganos : 덮다, 가리다

Graphein : 쓰다, 그리다.

-> 메시지를 숨긴다! 

 

   * 디지털 스테가노 그라피

 ----> 파일 안에 파일을 숨기는 것

 

[이미지 스테가노 그라피]

이미지 안에 단서를 넣거나 숨겨서 실마리를 푸는 방법

1 ) LSB 기법

-> 최하위 비트

 

2) 파일 끝에다가 붙이기.

 

[오디오 스테가노 그라피]

1 ) 가청영역 범위 밖의 소리로 변환해서.

 

2 ) 스펙트럼 정보에다가 데이터를 넣는다.

위 사진처럼 음성 파일의 음성 스펙트럼 정보를 덧씌우면 QR코드를 보이게 할 수 있다.

 

** 스테가노그라피 특징

  암호화랑은 다름

메시지를 숨기는 목적은 같지만, 스테가노그라피는 key가 바로 정보의 위치이다.

정보의 위치만 알면 그 정보를 누구나 가져갈 수 있다.

그래서 스테가노그라피 자체로는 정보를 보호할 수 없음

( 세로드립 같은 것 / 아는 사람은 알아채줬으면 하지만 그렇게 많은 사람이 알지는 않았으면 할 때)

 

제일 좋은 것 : 암호화해서 스테가노그라피 적용

 

---------------------------------------------------------------------------------------------------------------------------------------

칼리리눅스에서 스테가노그라피 실습하는 방법

steghide 라는 툴을 사용함

기본적으로 제공되는 툴이 아니라 사용하려면

apt install steghide

라는 명령어를 입력하면 된다

 

steghide embed -cf bokyu.jpg -ef secret.txt
Enter passphrase

나중에 파일을 빼내기 위해서 쓰는 것이 passphrase이다. 설정을 해도 되고 안해도 됨

첫 명령어를 입력하면 bokyu.jpg 라는 파일에 secret.txt가 저장된다.

눈에는 안보이지만 파일 안에 파일이 들어가있는 것

 

steghide extract -sf bokyu.jpg

라고 입력하면 스테가노그라피된 secret.txt 파일이 뾱 하고 나온다.

 

그럼 해커들이 스테가노그라피를 어떻게 쓸까?

(1) 악성코드 숨기기 위해서

 

(2) Data Exfiltration

: 데이터 유출

 

(3) 침투

 

-------------------------------------------------------------------------------------------------------------

글자 안에 메시지를 숨길 수 있음

Stegcloak 이라는 사이트

 

겉으로 보이는 message 안에 내부 secret 메시지를 넣을 수 있음

 

이 사이트에서 스테가노그라피를 체험해볼 수 있다.

https://stegcloak.surge.sh/