BGP Hijacking(보안뉴스)

https://m.boannews.com/html/detail.html?tab_type=1&idx=104743 

클레이스왑 해킹으로 드러난 BGP Hijacking 공격기법, 도대체 뭐길래?

지난 2월 3일 디파이(Defi, 탈중앙화 금융) 서비스 ‘클레이스왑(KLAYswap)’에서 가상자산(암호화폐)이 탈취되는 사건이 발생했다. 이에 대해 S2W의 Talon에서 발표한 사고의 상세 분석 보고서에 ‘BGP Hijacking’ 공격기법이 동원됐다는 내용이 실려 화제가 되고 있다. 

>Incident Report<

클레이스왑 UI를 통해 토큰(암호화폐)이 공격자의 특정 지갑으로 전송되는 이상 트랜잭션이 최초로 실행

-공격자는 BGP Hijacking을 통해 네트워크 흐름을 조작함으로써 클레이스왑에 접속한 일반 사용자들이 정상적인 SDK 파일이 아닌 공격자가 세팅한 서버로부터 악성코드를 다운로드 받도록 구성

-사용자가 Kakao SDK 파일 위장 악성코드 다운로드 -> 따라서 Kakao SDK사용 서비스(QR체크인, 다음)접속 문제 발생

-클레이스왑에서 가상자산 전송 시 의도된 주소가 아닌 공격자의 주소로 전송

 

클레이스왑 해킹 사고 전체 타임라인  -출처:보안뉴스

 

*BGP: Border Gateway Protocol, 라우터들의 IP대역을 prefix하는 AS(Autonomous System)가 존재한다. AS의 최신 라우팅 테이블을 서로에게 공유할때 사용하는 프로토콜.

-신뢰도를 고려하지 않고 가장 빠른 경로만을 따라간다. => Dijstra's Algorithms//-Bellman Ford Algorithms

basic routing protocol

 

*BGP Hijacking: 공격자가 임의로 설정한 라우팅 테이블을 인접한 AS에 퍼트려, 원하는 경로로 네트워크의 흐름을 변경해 중간에 있는 AS를 공격하거나 자신의 의도대로 라우팅 정책을 설정함으로써 네트워크 마비, 데이터 가로채기 등의 행위를 하는 공격.

-피해자 입장에서는 뚜렷한 원인 없이 트래픽이 발생하지 않는 상황이 발생한다. 

 

*CTI: Computer Telephony Integration, 컴퓨터와 전화를 결합시켜 사내로 들어오는 전화를 분산 관리하는 시스템.

 

*SDK 파일: Software Development Kit, 개발자에게 다른 프로그램에 추가하거나 연결할 수 있는 커스텀 앱을 제작할 수 있는 기능을 제공하는 도구 모음

 

*SSL 인증서: 보안 소켓 계층 인증서로 브라우저 또는 사용자의 컴퓨터와 서버 또는 웹사이트 간에 암호화된 연결을 수립하는데 사용됨.

 

*Dark0de 언더그라운드 포럼: 2007년부터 2015년까지 darkode[.]com 도메인으로 가입한 회원만 활동을 할 수 있는 딥웹 형태로 운영. 해킹 서비스, 봇넷, 악성코드, 개인정보, 신용카드, 크리덴셜, 마약 등이 주로 판매됐으나 FBI와 유로폴(EUROPOL)에 의해 압수, 중단.

 

*마이닝 풀 서버 하이재킹 사건: 2014년 8월, Amazon, Digital Ocean 등 19개의 ISP로부터 총 51개의 네트워크가 손상되었다. 공격자는 정상 가상자산 채굴자의 마이닝 풀을 자신의 마이닝 풀로 리다이렉트하여 보상을 갈취했으며, 4개월이 넘는 기간 동안 약 83,000달러를 획득한 것으로 추정된다. 

마이닝 풀 하이재킹의 공격 과정 (출처: Secureworks, https://medium.com/s2wblog/post-mortem-of-klayswap-incident-through-bgp-hijacking-898f26727d66)

 

*마이이더월렛 해킹사고: 2018년 4월, 이더리움을 보관하는 지갑인 마이이더월렛이 해킹 당한 사고. 공격자는 myetherwallet.com와 똑같은 사이트를 제작한 후, ISP 업체인 eNET을 대상으로 BGP Hijacking을 시도해 마이이더월렛에서 사용하는 Amazon의 Route53이라는 DNS 웹 서비스로 가는 트래픽을 시카고의 다른 DNS 서비스로 리다이렉트해 피싱 사이트로 연결시켰다. 이로 인해 사용자들이 공격자가 만들어 둔 피싱 사이트에서 로그인하게 되면 계정 정보가 공격자의 서버로 전송됐으며, 공격자는 수집한 로그인 정보로 약 15만 달러의 이더리움을 탈취했다.

마이이더월렛의 공격 과정 (출처: Cloudflare)

 

*KT 장애 사고: 2021년 10월, 라우팅 설정 명령 과정에서 내부 네트워크 경로 구성 프로토콜인 IS-IS를 마무리하는 처리 과정에서 exit 명령어를 미처리해 BGP 프로토콜로 처리되어야 할 데이터가 IS-IS 프로토콜로 처리되어 발생한 사건.

 

*BGP Hijacking 대응: 

-모니터링: 통신망의 동일 프로토콜 계층에서 대등한 지위로 동작하는 Peer 중 IP Prefix의 대역에 맞지 않는 IP Prefix를 통보(announcement)받아 네트워크에 딜레이나 이상이 생기는지 확인하는 방법 //특정 시간대에 갑자기 양방향 또는 응답 패킷의 양이 현저히 적어지거나 잘못 연결되어 리다이렉트되는 트래픽이 있는지 주기적으로 모니터링하는 방법

-IP Prefix Filtering: 특정 IP Prefix만 허용하는 화이트리스트를 생성해 새로운 경로 생성을 위한 통보를 차단하는 방법

-RPKI: Resource Public Key Infrastructure, AS Number와 IP Prefix 등의 인터넷주소 자원에 대해 PKI 표준 기반을 사용해 해당 라우팅 정보의 무결성을 보장하는 인증서를 발행하는 기술