정보보안 스터디 - 37주차 1일 - 이미지 or 압축 파일만 실행해도?

wine resourcehacker.exe
리눅스 OS에서 win 실행파일인 exe를 실행시켜줍니다.
일종의 가상환경 같은 것처럼 작동합니다.

msf revshell(exe)에 png, ico파일을 넣어 아이콘을 삽입해줍니다.
그 후 같이 융합하여 cmd + 실제 img viewer 실행도 시켜야하니 FakeImageExploiter를 이용합니다.



실행하면 이미지 뷰어가 뜨면서 의심여지가 없이 잘 나옵니다.

만약 기본 세팅인 '확장자가 안보이도록' 해놓은 일반인의 컴퓨터라면 누가봐도 png파일이고 실행도 되므로 의심할여지가 없습니다.



결국 exe파일이나 zip파일이나 어떻게든 백신우회해서 실행하자마자 바로 쉘에 연결되서 컴퓨터의 사진자료부터 시작해서 다운받게 할 수 있기 때문에 절대 잠깐이라도 함부로 클릭해서는 안됩니다.


이미지나 파일명으로 속였지만 결국 파일 확장자는 exe인 악성파일과는 달리 zip파일의 이유는 압축해제 하자마자 악성코드가 실행되도록 만들 수 있기 때문입니다. zip파일은 안전해보였는데 듣기만 해도 위험합니다.


예상 시나리오는 19금컨텐츠 파일 다운 또는 매력적인 여성이 나체 사진을 보내오면서 파일을 실행하도록 유도한다면 그건 피싱공격입니다.
또한 더 느낀점은 해커는 피해자 PC에 침투했을 때 바로 랜섬웨어를 뿌리거나 티를 내기보다는 최대한 오래 머무르려고 할 것이고, 숨어있어서 정보를 수집하고 이득을 볼 것입니다. 절대 티를 안냅니다.