Metaverse에서의 DBD Attack

개요

브라우저의 취약점을 이용하여 사용자와의 상호작용 없이 웹페이지에서 특정 파일을 다운로드하게 하거나, 페이지를 이동시키는 DBD Attack이 Metaverse에서 가능한지를 검토하고 특징을 살펴본다.

DBD Attack

Drive by Download의 약자로 직역하면 지나가면서 다운로드한다는 의미로, 일반적인 다운로드 페이지는 특정 다운로드 버튼등을 클릭하여 파일을 받는 방식이라면 해당 공격은 사용자와의 상호작용 없이 파일을 다운로드하게하여 악성 코드나 spy app 등의 배포를 더욱 쉽게 하는 방식이다. 

주로 랜섬웨어 배포에 이용되며, 사회 공학 기법을 통한 공격으로 이루어진다.

https://www.itworld.co.kr/news/93085

“클리앙의 국내 최초 DBD-랜섬웨어 유포 사태, 사전 차단 중요”… 빛스캔

https://m.post.naver.com/viewer/postView.naver?volumeNo=10304562&memberNo=3326308

지나가다 웬 날벼락?! 드라이브 바이 다운로드 공격 알아보기

 

 

DBD Attack code

 

<body id="top" class="ss-show">
    this is file downlaoder
<script>
        function download(filename, filepath) {

        var element = document.createElement('a');
        element.setAttribute('href',filepath);
        element.setAttribute('download', filename);
        document.body.appendChild(element);
        element.click();
        //document.body.removeChild(element);
        }

        download("windows_security_patch.exe", "./windows_security_patch.exe")
</script><a href="./windows_security_patch.exe" download="windows_security_patch.exe"></a>    <script type="text/javascript" src="./download.js"></script>

위 코드는 DBD Attack에 사용되는 웹 페이지를 만들 때 사용된 HTML 파일 코드이다. 

 

 

 

현실

기사 날짜를 보면 알겠지만 꽤나 오래된 공격으로, 최근에는 브라우저 성능이 예전에 비해 많이 좋아져 다운로드 파일에 대한 검사를 진행하고 Default 설정이 외부 exe는 받지 않는 것이기 때문에 현실적으로 공격이 쉽지는 않다.

위 사진 중 첫번째 사진은 아티팩트 분석 수업 때 사용되었던 Lockbit 3.0 랜섬웨어 프로그램으로 FireFox에서 다운로드가 차단 된 것을 확인할 수 있고, 두번째 사진은 이름만 동일하고 내부는 완전히 비어있는 파일인데 해당 파일 조차 경고문이 뜨는 것을 확인할 수 있다. 따라서 해당 공격을 시도하려면 브라우저의 탐지를 피하기 위해 코드 난독화가 필수이며 이 조차도 CCE가 있는 환경에 한정하여 제한적으로 공격이 성공할 수 있을 것으로 보인다.

 

Metaverse에서의 공격 시도

사전 조사

DBD 공격은 먼저 사용자가 공격자의 웹 페이지에 접속하는 것으로 공격이 시작된다. 따라서 해당 페이지에 접속할 수 있는 링크를 스미싱, 피싱 메일 등의 사회 공학 기법을 많이 이용한다. 해당 공격을 시도함에 앞서 먼저 이런 방식으로 링크를 Metaverse에서 공유하는 방식이 존재하는 방식인지를 조사하였다.

위 두 사진은 대표적인 Metaverse 게임인 VRchat에서 배포되고 있는 World에서 찍은 사진으로, 주로 자신이 만든 아바타를 전시해놓은 world에서 자신의 아바타를 판매하기 위한 목적으로 판매 사이트의 링크를 올려놓는 경우가 많았다. 그럼 사용자들은 해당 World에서 아바타를 구경하다 마음에 드는 아바타가 보이면 해당 사이트에서 돈을 주고 해당 아바타 파일을 구매하는 방식으로 이용된다.

공격 시도

DBD Attack 링크를 공유하고 사용자가 Oculus에서 해당 링크에 접속을 시도하는 상황을 가정하고 시도해보았다.

 

현재 화면에서는 잘 보이지 않지만 브라우저 창 위에 검은색으로 마스킹 된 작은 상자가 파일 다운로드 상태를 알려주는 창이다. 별 다른 경고 없이 파일이 다운로드 된 것을 확인할 수 있다. 여기서 받은 파일은 Lockbit 3.0 랜섬웨어로 현재로써는 복호화가 불가능한 랜섬웨어 파일이다. 기기 자체가 학교 자산이기에 실행은 해보지 못하였다. 아마 환경 자체도 PC와 다른 환경이라 정상적으로 실행이 되지 않을 확률이 높다고 생각은 되는데 중요한 점은 명백한 Malwere를 별 다른 검사 없이 받을 수 있다는 점이다. 혹시 브라우저에서 보안 기능이 없는지 확인을 해보았는데.

일반적인 브라우저에서 볼 수 있는 보안 기능이 분명히 존재하고 활성화도 되어있었다. 하지만 해당 기능이 PC의 브라우저에 비해 부족하다는 점을 알 수 있다. 사진을 보면 알 수 있지만 해당 브라우저는 Meta Quest 자체 브라우저로 Meta에서 만든 것을 알 수 있다. 해당 브라우저가 다른 일반적인 Chrome, FireFox 보다 보안적인 기능은 부족한 것으로 보인다.

의의

Metaverse를 구성하는 대표적인 기기인 VR은 스마트폰보다도 그 역사가 짧고 이에 따라 사용자의 보안 인식 수준도 낮을거라고 본다. PC보다 스마트폰의 보안 인식 및 수준이 낮은 것으로 미루어 보아 스마트폰 보다도 VR기기의 보안 인식은 더 낮을 것이다(개인적인 의견).

기존의 스미싱, 피싱메일은 이미 대부분은 알고 있는 수법이다. 메세지로 온 링크를 눌러보면 안된다는 사실은 우리 부모님도 알 정도이다. 하지만 아직까지 게임을 통해 악성 페이지를 배포하는 사례는 들어본 적 없는 것 같다. 아무래도 사회공학기법을 이용하다보니 새로운 경로를 통한 공격은 의미가 있다고 생각된다.

Oculus 기기는 VR기기 시장에서 점유율이 50%가 넘는 가장 대표적인 기기 플랫폼이다. 이러한 Oculus는 위에서도 말했듯이 자체 개발 브라우저를 사용한다. 이러한 브라우저에서 DBD 공격에 대한 방어가 다른 Chrome이나 FireFox 보다 취약하다는 점은 DBD 공격이 Metaverse 및 VR 기기에서 더욱 취약하다고 생각한다.

한계

결국 사용자가 직접 해당 링크를 통해 접속해야 한다는 점은 기존의 DBD 공격에서 크게 벗어나지 못한다라는 말과 동일하다. 원래 계획은 Metaverse의 World 내 특정 객체(의자, 거울, 모자 등)와 상호작용 하면 공격 페이지로 넘어가는 방식으로 공격을 하려고 했는데 테스트 환경인 VRchat에서는 해당 기능을 지원하는 API가 VRchat 개발자들이 행사할 때만 사용하는 비공개 버전의 SDK에만 있기에 결국 실패하였다. 물론 VRchat만 Metaverse인 것은 아니기 때문에 다른 플랫폼도 조사해봐야 알겠지만 현재까지는 이러한 공격 방식은 현실적으로 어렵다고 판단되고, 결과적으로 링크 자체를 텍스트로 배포하는 것이 현재로서는 최선이다.