가짜 채용 담당자가 악성 코딩 챌린지로 항공우주 직원을 유인
(welivesecurity.com)- 스페인 항공우주 기업 직원들이 LinkedIn에서 Meta 채용 담당자로 위장한 Lazarus의 연락을 받았고, 채용 테스트처럼 보이는 파일을 회사 기기에서 실행하며 초기 침투가 발생함
- 악성 과제는
Quiz1.exe와Quiz2.exe로 전달됐으며, “Hello, World!”와 Fibonacci 수열 출력 뒤 ISO 이미지 안의 추가 페이로드 설치를 트리거함 - 침투 후에는 DLL 사이드로딩으로 NickelLoader, miniBlindingCan, 새 RAT인 LightlessCan이 배포됐고, ESET은 이를 Operation DreamJob 관련 Lazarus 활동으로 높은 신뢰도로 귀속함
- LightlessCan은 BlindingCan의 후속으로 보이며,
ipconfig,net,ping,systeminfo,sc같은 Windows 명령 기능을 RAT 내부에서 흉내 내 콘솔 실행 흔적을 줄임 - 공격 목표는 사이버 첩보였고, 명령 내장 방식과 피해자 장비에서만 복호화되도록 한 실행 가드레일 때문에 실시간 탐지와 사후 포렌식 분석이 더 어려워짐
LinkedIn 채용 미끼로 시작된 초기 침투
- Lazarus는 스페인 항공우주 기업의 여러 직원을 LinkedIn Messaging으로 접촉함
- 공격자는 Facebook, Instagram, WhatsApp의 모회사인 Meta의 채용 담당자로 가장함
- 채용 과정 일부처럼 C++ 프로그래밍 실력을 증명하라는 요구를 사용함
- 피해자는 제3자 클라우드 스토리지에 올라간
Quiz1.iso와Quiz2.iso를 내려받고, 그 안의 실행 파일을 회사 기기에서 실행함Quiz1.exe: “Hello, World!”를 출력하는 단순 과제로 위장Quiz2.exe: 입력값보다 작은 가장 큰 원소까지 Fibonacci 수열을 출력하는 과제로 위장- 두 실행 파일은 정상적인 콘솔 애플리케이션처럼 입력과 출력을 처리한 뒤 추가 악성 페이로드 설치를 시작함
- 첫 번째 페이로드는 ESET이 NickelLoader라고 이름 붙인 HTTP(S) 다운로더임
- NickelLoader는 피해자 컴퓨터의 메모리에 공격자가 원하는 프로그램을 배포할 수 있음
Lazarus 귀속 근거와 Operation DreamJob
- ESET은 이 스페인 공격을 Lazarus, 특히 Operation DreamJob 관련 활동으로 높은 신뢰도로 귀속함
- 악성코드, 인프라, 목표가 이전 Lazarus 캠페인과 겹침
- LinkedIn 접촉 뒤 채용 테스트로 위장한 악성 파일 실행을 유도하는 방식은 Operation DreamJob 이후 Lazarus가 사용해 온 전술임
- 2022년 네덜란드 사례에서 확인된 중간 로더와 BlindingCan 계열 백도어의 새 변종이 관찰됨
- 도구에는 AES-128과 256비트 키를 쓰는 RC6 암호화가 사용됐고, 이는 Amazon 테마 캠페인에서도 쓰인 방식임
- 공격자는 1단계 C&C 서버를 직접 구축하기보다 보안이 취약하거나 유지보수가 소홀한 기존 웹사이트를 침해해 사용함
- 항공우주 기업의 노하우 탈취는 Lazarus의 장기 목표와 맞아떨어짐
- UN 보고서들은 북한 연계 APT 그룹이 민감 기술과 항공우주 지식에 접근하려고 항공우주 기업을 공격한다고 다룸
침투 후 도구 구성
- NickelLoader 실행 뒤 공격자는 두 종류의 RAT를 피해자 시스템에 배포함
- miniBlindingCan: Lazarus 도구로 알려진 BlindingCan 백도어의 기능 축소 변종
- LightlessCan: 공개적으로 문서화되지 않았던 새 RAT
- 실행 체인은 복잡도가 다른 여러 단계로 구성되며, 드로퍼와 로더가 최종 RAT 실행 전에 배치됨
- 드로퍼는 내장 페이로드를 포함하고, 파일 시스템에 쓰지 않더라도 메모리에서 직접 로드해 실행할 수 있음
- 로더는 내장 암호화 배열 없이 파일 시스템에서 페이로드를 불러옴
- 주요 파일들은 대부분 정상 실행 파일이 악성 DLL을 로드하는 DLL 사이드로딩 구조임
PresentationHost.exe+mscoree.dll: 트로이목마화된 NppyPluginDll 기반, NickelLoader 전달colorcpl.exe+colorui.dll: LibreSSL 2.6.5 기반, miniBlindingCan 전달fixmapi.exe+mapistub.dll: Notepad++용 Lua plugin 1.4.0.0 기반, LightlessCan 전달tabcal.exe+HID.dll: Notepad++용 MZC8051 3.2 기반, LightlessCan 전달
LightlessCan의 주요 특징
- LightlessCan은 Lazarus의 HTTP(S) RAT인 BlindingCan의 후속으로 보이며, 현재 버전의 내부 버전 번호는
1.0임 - 최대 68개 명령을 지원하도록 구성돼 있고, 현재 버전에서는 그중 43개 명령에 기능이 구현돼 있음
- 나머지 명령은 자리표시자 형태로 존재하지만 실제 기능은 없음
- 공유 명령의 순서가 크게 보존돼 있어 BlindingCan 소스 코드 기반으로 보임
- 가장 큰 변화는 여러 Windows 기본 명령의 기능을 RAT 내부에서 흉내 내는 방식임
- 구현된 명령 예시는
ipconfig,net,netsh advfirewall,netstat,ping,reg,sc,tasklist,wmic process call create,nslookup,schtasks,systeminfo,arp,mkdir등임 - 기존 Lazarus 공격에서는 이런 명령이 공격자가 시스템에 발판을 확보한 뒤 콘솔에서 여러 번 실행되는 사례가 있었음
- 이번 방식은 원래 콘솔 유틸리티를 눈에 띄게 실행하지 않고 RAT 내부에서 처리해 EDR 같은 실시간 모니터링과 사후 디지털 포렌식 도구의 탐지를 어렵게 함
- 구현된 명령 예시는
- ESET은 LightlessCan 개발자가 Windows 핵심 유틸리티를 모방하기 위해 폐쇄 소스 바이너리를 리버스 엔지니어링했을 가능성에 무게를 둠
- Wine 프로젝트에도 여러 프로그램 구현이 있지만, LightlessCan이 모방한 일부 기능은 Wine 구현과 다르거나 존재하지 않았음
NickelLoader 침투 체인
- NickelLoader는 감염 시스템에서 실행되는 HTTP(S) 다운로더이며, 이후 Lazarus 페이로드를 전달하는 데 쓰임
- 피해자가 퀴즈 실행 파일을 수동 실행하면
PresentationHost.exe가 자동으로 실행되고, 같은C:\ProgramShared\경로의 악성mscoree.dll이 사이드로딩됨mscoree.dll은 2011년 비활성화된 General Python Plugins DLL for Notepad++ 프로젝트의NppyPluginDll.dll을 트로이목마화한 파일임- 정상
mscoree.dll의 export와 원본NppyPluginDll.dll의 export를 포함하며,CorExitProcessexport에 악성 코드가 있음
- 내장 암호화 배열 복호화에는 세 개의 16자 키워드가 필요함
- 부모 프로세스 이름
PresentationHost - 바이너리에 하드코딩된 내부 파라미터
9zCnQP6o78753qg8 - 명령행으로 전달되는 외부 파라미터
‑embeddingObject - 세 키워드를 바이트 단위 XOR해 AES-128 복호화 키를 만듦
- 부모 프로세스 이름
- NickelLoader는 5글자 명령 4개를 인식함
abcde: 일반적인 긴 sleep 지연 없이 즉시 다음 명령 요청avdrq: 받은 버퍼의 DLL을 로드하고 하드코딩된 exportinfo실행gabnc: 받은 버퍼의 DLL 로드dcrqv: 자기 자신 종료
- ESET은 5글자 명령 구조에서 미국 5센트 동전의 속칭인 nickel을 떠올려 이 페이로드를 NickelLoader라고 명명함
miniBlindingCan 실행 체인
- NickelLoader가 내려받아 실행한 페이로드 중 하나는 miniBlindingCan임
- BlindingCan RAT의 단순화 버전이며, 2022년 9월 Mandiant가 AIRDRY.V2라는 이름으로 처음 보고함
- 로딩에는
C:\ProgramData\Adobe\에서 실행되는 정상colorcpl.exe와 악성colorui.dll이 사용됨colorui.dll은 64비트 악성 DLL이며 VMProtect로 난독화돼 있음- 수천 개의 export를 포함하고,
LaunchColorCpl이 다음 단계 실행을 처리함
- 드로퍼는 실행 초기에 분석 회피 기능을 사용함
- PEB 구조의
BeingDebugged값을 검사하는 안티 디버깅을 수행함 - 샌드박스 환경 탐지를 피하기 위한 안티 샌드박스 기법을 사용함
- 부모 프로세스가
colorcpl.exe인지 명시적으로 확인하고, 아니면 즉시 종료함
- PEB 구조의
- 최종 페이로드 복호화에는 부모 프로세스 이름, 드로퍼 파일명, 외부 명령행 파라미터를 이어 붙인 긴 문자열이 XOR 키로 쓰임
- 결과 문자열 예시는
COLORCPL.EXECOLORUI.DLL669498484488D3F22712CC5BACA6B7A7임
- 결과 문자열 예시는
- miniBlindingCan은 BlindingCan과 유사한 명령 처리 논리를 가지지만 기능이 크게 축소됨
- 시스템 정보 전송, 통신 간격 갱신, 구성 전송과 갱신, 파일 다운로드와 복호화, 전달된 shellcode 실행 등을 지원함
- 복호화된 구성은 9,392바이트이며, 최대 260 wide character 크기의 URL 5개를 포함함
LightlessCan 단순 실행 체인
- LightlessCan의 단순 체인은
C:\ProgramData\Oracle\Java\에서 실행되는 정상fixmapi.exe와 악성mapistub.dll을 사용함 mapistub.dll은 Notepad++용 Lua plugin 1.4를 트로이목마화한 DLL임- 정상 Windows
mapi32.dll의 export가 복사돼 있음 FixMAPIexport가 다음 단계 복호화와 로딩을 담당함- 다른 export는 공개된 MineSweeper 샘플 프로젝트의 정상 코드로 채워져 있음
- 정상 Windows
- 이 드로퍼는 예약 작업을 통해 지속성이 설정돼 있음
- ESET은 이 작업의 세부 정보는 부족하지만, 부모 프로세스가
%WINDOWS%\system32\svchost.exe -k netsvcs -p -s Schedule로 보인다고 밝힘
- ESET은 이 작업의 세부 정보는 부족하지만, 부모 프로세스가
- 내장 데이터 복호화에는 세 키워드가 사용됨
- 부모 프로세스 이름
fixmapi.exe - 내부 파라미터
IP7pdINfE9uMz63n - 명령행 외부 파라미터
AudioEndpointBuilder - 키워드는 바이트 단위 XOR되고, 결과가 128비트 AES 키가 됨
- 부모 프로세스 이름
LightlessCan 복잡 실행 체인과 실행 가드레일
- 더 복잡한 LightlessCan 체인은 정상 애플리케이션, 초기 드로퍼, 완전한 드로퍼, 중간 드로퍼, 구성 파일, 시스템 정보 파일, 중간 로더, 최종 LightlessCan RAT로 이어짐
- 초기 드로퍼는
C:\ProgramData\Adobe\ARM\에서 실행되는 정상tabcal.exe가 사이드로딩하는 악성HID.dll임HID.dll은 Notepad++용 8051 C compiler plugin 프로젝트의MZC8051.dll을 트로이목마화한 파일임HidD_GetHidGuidexport가 다음 단계 드롭을 담당함
- 첫 복호화 단계에는 세 키워드가 필요함
- 부모 프로세스 이름
tabcal.exe - 내부 파라미터
9zCnQP6o78753qg8 %WINDOWS%\system32\thumbs.db파일 내용인LocalServiceNetworkRestricted- 세 값을 XOR해 128비트 AES 키를 만듦
- 부모 프로세스 이름
- 생성되는 완전한 드로퍼는
AppResolver.dll이라는 InternalName 리소스를 가지며, 두 개의 암호화 데이터 배열을 포함함- 126바이트 작은 배열과 1,807,464바이트 큰 배열을 포함함
- 작은 배열은 256비트 키를 쓰는 RC6로 복호화돼
C:\windows\system32\oci.dll과C:\windows\system32\grpedit.dat경로를 산출함 - 큰 배열 복호화 결과에는 LightlessCan, 중간 드로퍼,
%WINDOWS%\System32\wlansvc.cpl로 드롭되는 14,948바이트 암호화 구성 파일이 포함됨
- 완전한 드로퍼는 감염 시스템을 식별하는 여러 특성을
%WINDOWS%\System32\4F59FB87DF2F에 저장함- 값은 주로
Computer\HKLM\HARDWARE\DESCRIPTION\System\BIOS레지스트리 경로에서 가져옴 SystemBIOSDate,SystemBIOSVersion,SystemManufacturer,SystemProductName, 디스크 컨트롤러 하위의Identifier값이 포함됨- 이 값들의 연결 문자열은 파일 시스템에 암호화된
grpedit.dat복호화에 필요함
- 값은 주로
- 이 구조는 실행 가드레일로 작동함
- 페이로드가 의도된 피해자 컴퓨터에서만 복호화되도록 하며, 보안 연구자의 다른 장비에서는 복호화가 어려워짐
탐지 회피와 분석 영향
- LightlessCan은 공격 후 단계에서 자주 쓰이는 Windows 명령줄 프로그램의 실행 흔적을 크게 줄일 수 있음
- 명령 기능을 내부 구현으로 대체해 원본 콘솔 유틸리티 실행을 피함
- 명령 기록 로깅과 실시간 탐지에서 관찰 가능한 흔적이 줄어듦
- 공격 체인 전반에는 여러 방어 회피 기법이 결합됨
- DLL 사이드로딩
- VMProtect 난독화
- 동적 Windows API 해석
- 내장 페이로드
- 반사형 DLL 인젝션
- 프로세스 인젝션
- 디버거·샌드박스 회피
- 파일 시스템의 암호화된 도구와 구성
- C&C 통신도 분석과 탐지를 어렵게 설계됨
- LightlessCan과 miniBlindingCan은 HTTP/HTTPS를 사용해 C&C와 통신함
- C&C 트래픽은 AES-128로 암호화됨
- 트래픽 인코딩에는 base64가 사용됨
- LightlessCan은 데이터 유출 기능도 갖고 있으며, C&C 서버로 데이터를 내보낼 수 있음
IoC와 MITRE ATT&CK 요약
- 주요 초기 파일 IoC
C273B244EA7DFF20B1D6B1C7FD97F343201984B3:%TEMP%\7zOC35416EE\Quiz1.exe, “Hello World” 챌린지로 위장한 초기 드로퍼38736CA46D7FC9B9E5C74D192EEC26F951E45752:%TEMP%\7zOCB3CC96D\Quiz2.exe, Fibonacci 수열 챌린지로 위장한 초기 드로퍼C136DD71F45EAEF3206BF5C03412195227D15F38:C:\ProgramShared\mscoree.dll, NickelLoader 드로퍼E61672B23DBD03FE3B97EE469FA0895ED1F9185D: NickelLoader HTTPS 다운로더
- 주요 LightlessCan 관련 파일 IoC
0F33ECE7C32074520FBEA46314D7D5AB9265EC52:%ALLUSERSPROFILE%\Oracle\Java\mapistub.dll, LightlessCan 드로퍼C7C6027ABDCED3093288AB75FAB907C598E0237D:mapistub.dll이 드롭한 LightlessCanE18B9743EC203AB49D3B57FED6DF5A99061F80E0:%ALLUSERSPROFILE%\Adobe\ARM\HID.dll, 복잡 체인의 초기 드로퍼3007DDA05CA8C7DE85CD169F3773D43B1A009318:%WINDIR%\system32\grpedit.dat, 복잡 체인에서 드롭된 LightlessCan247C5F59CFFBAF099203F5BA3680F82A95C51E6E:%WINDIR%\system32\oci.dll, 중간 드로퍼
- C&C는 침해된 정상 사이트를 사용함
bug.restoroad[.]comhurricanepub[.]comturnscor[.]commantis.quick.net[.]plwww.radiographers[.]orgkapata-arkeologi.kemdikbud.go[.]idbarsaji.com[.]mxwww.keewoom.co[.]krkerstpakketten.horesca-meppel[.]nlkittimasszazs[.]hunrfm[.]lk
- MITRE ATT&CK 기준으로는 소셜미디어 정찰, 스피어피싱 링크와 서비스, 악성 파일 사용자 실행, 예약 작업, DLL 사이드로딩, 실행 가드레일, 명령 기록 로깅 약화, 웹 프로토콜 C&C, 대칭 암호화 채널, C2 채널을 통한 유출 등이 매핑됨
댓글과 토론
Hacker News 의견들
-
재택 LeetCode 과제로 침투했다니 영리함
Apple 소프트웨어를 개발하는데, Xcode 프로젝트는 꽤 깊숙이 들어갈 수 있음. Apple이 다운로드한 프로젝트를 열 때 경고를 띄우긴 하지만, 재택 과제라고 생각하면 거의 무시하게 됨
온라인 과제도 까다로운 접근 권한을 요구할 가능성이 있고, 이런 대상자들은 회사의 핵심 자산에 접근 권한이 꽤 높을 확률도 큼. 물론 구직에 회사 자원을 쓰는 사람은 없겠지만, 그런 일이 꽤 자주 일어난다고 하면 여기서는 다들 민감하게 반응함- 우리 회사도 후보자에게 재택 과제를 내고, 면접 때 같이 코드를 보며 작은 변경을 요청해서 커뮤니케이션과 기술 역량을 봄
한 지원자는 자기 프로젝트의 REPL조차 띄우지 못했고, 끙끙대다가 “그냥 회사 컴퓨터를 쓸걸”이라고 중얼거렸음. 개인 컴퓨터에서 가장 기본적인 실행도 안 된다는 건 과제를 회사 컴퓨터에서 했다는 뜻이었음 - 첫 IT 직장에서 지역 대형 제약사의 채용 주소로 보낸 메일의 반송 메시지를 본 적이 있음
1996년에는 개인 이메일 주소가 지금만큼 흔하지 않았다는 점은 감안해야 하지만, 그래도 초보적인 실수였음. 오래전부터 회사 컴퓨터에서 개인적인 일은 하지 않는다는 원칙을 지켜왔지만, 흔한 태도는 아니었음 - 도덕적으로 애매한 부분은 제쳐두더라도, 정리해고 합의의 일부로 새 직장을 찾는 데 업무일 전체를 받은 적이 있고, 경영진도 널리 지원했음
- Apple이 최근 샌드박스된 셸 스크립트를 추가했는데, 빌드를 좀 더 밀폐적으로 만들려는 노력의 일부로 보임
완벽한 해결책은 아니겠지만, 모든 빌드 단계가 샌드박스에서 실행되는 모드로 프로젝트를 열 수 있으면 좋겠음. 실패하면 무엇을 하려 했는지 보면 됨 - 재택 과제를 채점할 때 제일 먼저 Xcode 프로젝트 파일을 vim으로 열어 수상한 내용을 확인함
솔직히 대부분의 동료가 같은 수준의 실사를 하지는 않는 것 같음
- 우리 회사도 후보자에게 재택 과제를 내고, 면접 때 같이 코드를 보며 작은 변경을 요청해서 커뮤니케이션과 기술 역량을 봄
-
사람들이 현재 회사 장비로 재택 과제, 헤드헌터 이메일, 다른 회사 면접 전화를 하는 걸 볼 때마다 놀람
그런다고 말한 사람이 많지만 이해가 안 됨. 잠재적 결과가 너무 많음. 한 의욕 넘치는 관리자는 개인적 인맥을 통해 미래 고용주가 나를 채용하지 않도록 설득한 적도 있는데, 단지 알아냈다는 이유 때문이었음
비윤리적이거나 불법이어도 이런 일은 실제로 일어나고, 대형 기술 회사에서도 마찬가지임. 구직 활동의 세부사항을 고용주에게 자발적으로 공유한다고 생각하면 이상하게 느껴짐. 일과 사생활은 정교분리처럼 분리돼야 하지 않나 싶음- 동료 중 개인 컴퓨터가 아예 없고 회사 노트북만 모든 일에 쓰는 사람이 많다는 게 꽤 불편함
소프트웨어 개발자들이고 노트북 살 형편은 충분히 됨. 내가 섞어 쓰는 최대치는 작고 가볍고 Bluetooth 되는 회사 노트북으로 설거지하면서 무해한 YouTube 영상을 보는 정도임. 예전에는 가끔 사무실에서 출력할 때도 썼음 - 매일 쓰는 기기를 새 작업에도 계속 쓰는 건 마찰이 거의 없어서, 전혀 놀랍지는 않음
위험이 크고 그러면 안 된다는 데는 완전히 동의하지만, 사람들이 깊이 생각하지 않거나 계속 경계하지 않으면 충분히 벌어질 수 있음 - 최소한 자기 방어 차원에서라도 필요하면 전화나 태블릿으로 면접을 보면 됨
왜 불필요한 위험을 더하나 싶음. 어쩌면 그 긴장감을 좋아하는 걸지도 모름
- 동료 중 개인 컴퓨터가 아예 없고 회사 노트북만 모든 일에 쓰는 사람이 많다는 게 꽤 불편함
-
피해자가 기능을 C++로 복제해야 한다는 구실로 .exe 파일을 보낸 건가? 누군가에게 .exe 파일을 받는 순간 공격이거나, 적어도 보낸 사람이 믿기 어려울 정도로 기술적으로 무능하다는 강한 신호여야 함
다만 Windows 95 시대를 겪은 입장이라 그런지도 모르겠음. 어떤 교훈은 세대마다 다시 배워야 하는 듯함- 매력적인 채용 제안만 있으면, 사람으로 가득한 회사에서 한 번만 성공하면 됨
이상한 테스트를 요구받고 “그럼 안 하겠다”고 한 사람이 얼마나 되는지는 알 수 없음. 요즘은 애플리케이션을 샌드박스에서 돌리기가 꽤 쉬운데도 안 하는 게 어리석음. Sandboxie는 무료고 항상 동작이 보장되지는 않지만, 성공했을 수도 있고 최소한 이상한 동작을 눈에 띄게 만들었을 가능성이 큼. Windows Pro도 한동안 실행 파일을 샌드박스에서 실행하는 우클릭 메뉴 옵션이 있었음
제목을 봤을 때는 처음에 IDE를 통한 감염인 줄 알았음. “이 프로젝트 작성자를 신뢰하나요” 같은 질문이 있는 데는 이유가 있고, VS Code의 경우 Git 설정 꼼수로 프롬프트 전에 코드 실행까지 가능함
프로그램 실행에는 조심하겠지만, 채용 담당자가 Git 저장소의 미완성 프로젝트 형태로 코딩 과제를 보내오면 “코드 실행 허용” 버튼을 누를 가능성이 큼. 특히 원격 면접에서 코드를 실시간으로 보며 “문제 접근 방식을 보겠다”고 하면 더 그럴 듯함. 지금 공격은 매우 기본적이지만, 초기 감염을 제때 감지하기 어렵게 만드는 건 어렵지 않음 - 처음에는 이게 실제보다 더 영리한 공격이라고 생각했음
다운로드하거나 첨부된 실행 파일을 실행하게 만드는 건 단순하지만 여전히 효과적인 듯함. 더 사악하고 효과적인 방식은 “과제” 프로젝트가 있는 GitHub 저장소를 가리키고, 피해자가 자기 풀이를 테스트할 때 공격자가 원하는 일을 하는 손상된 패키지를 참조하게 만드는 것임 - 뭘 하려는지 알고 보니 차라리 나를 속이려 했으면 좋겠다는 생각도 듦
평범한 스크립트 키디가 아니라는 건 알지만, 역공을 시도하면 어떻게 반응할지 궁금함. .exe를 주고 실행하라고 하면 실행하지 않고 16진 편집기로 열어 검사할 것임. “hello world”나 피보나치 생성기라고 주장하는 파일이 예상보다 훨씬 크거나, 암호화된 것처럼 보이는 데이터나 난독화 시도가 들어 있으면 실행하지 않음 - 예전에 블랙박스 과제의 일부로 바이너리 배포를 제안한 적이 있음
소스를 잠그고 후보자마다 세부사항을 바꿀 수 있으면, 온라인에 올라온 풀이가 도움이 되지 않음 - 아마 .exe가 아니라 .msi 설치 파일이나 zip 파일이었을 것 같음
- 매력적인 채용 제안만 있으면, 사람으로 가득한 회사에서 한 번만 성공하면 됨
-
정부 프로그램 컨설팅을 할 때는 의식적으로 이력서를 인터넷에 올리지 않았음
스파이가 쓸 만한 접근 권한은 없었지만, 일부 키워드만 보면 그런 것처럼 보일 수 있었음. LinkedIn에서 키워드 검색에 걸린 사람에게 전부 스팸을 보내는 채용 담당자들처럼 말임
어떤 보안 사고든 보고해야 한다는 걸 알고 있었고, 신중한 관료 조직이 사고를 처리하는 동안 계약과 수입이 끊길 수 있다고 봤음. 그래서 온라인 이력서는 없앴고, 무작위 절도범이 실수로 업무용 노트북을 훔치지 못하게 하려는 조치도 했음
지금은 그 일을 떠났기 때문에 다른 사람들처럼 LinkedIn에서 Junior Python Leetcode Hazing Engineer 같은 채용 스팸을 즐기고 있음- 왜 다운보트를 받는지 모르겠음
특정 직무나 산업에서는 고용 상태를 공개하지 않는 게 표적 공격을 막기 위한 평범한 보안 조치일 수 있음. 현실 세계로 치면 CIA 요원들이 외국에서 CIA 도장이 찍힌 명함을 돌리고 다니지는 않을 것임 - 그건 과민반응 같음
나도 비슷하게 특정 사람들이 내가 어디서 일하는지 알지 않았으면 하지만, 현재 직장을 언급하지 않는 예전 이력서는 온라인에 그대로 둬도 괜찮다고 봄. HR 책임자에게 공개 “우리 팀” 페이지에 내 이름이 절대 올라가지 않게 해달라고도 했음
부수 효과로, 표적 공격 대응법과 피싱 메일 예시를 보여주는 필수 기업 보안 교육 때마다 웃게 됨. 지금까지 침투 테스트 업체의 시험을 빼면 표적 피싱을 하나도 받은 적이 없음
- 왜 다운보트를 받는지 모르겠음
-
어떤 멍청이가 회사 장비로 개인적인 일을 하나 싶음
가난한 사람 얘기가 아니라, 자기 개인 장비를 살 돈이 충분한 사람들 얘기임- 회사 노트북으로 개인적인 일을 항상 함
개인 컴퓨터는 비디오 게임도 돌릴 수 있는 일종의 난방기라 기본으로 쓰지 않음. 세 번째 기기를 살 여유는 있지만 그 돈으로 더 나은 일을 할 수 있음
물론 회사의 보안 규칙은 지키려 함. 회사를 신뢰함. 내 브라우저 쿠키를 맡길 수 없는 회사에서는 일하고 싶지 않음. 내가 사는 관할권에서는 법도 내 편임. 회사가 마음에 들지 않는 일을 회사 노트북에서 했다는 이유만으로 해고할 수는 없고, 아주 타당한 이유가 필요함 - 룸메이트는 개인 노트북 돈을 쓰기 싫어서 업무용 노트북을 2년 동안 개인 노트북처럼 썼음
대학생 인턴이었고 훨씬 가난했을 때 나도 같은 짓을 한 적이 있음 - 회사 하드웨어로 개인적인 일을 하긴 하지만, 정말 개인적인 건 하지 않음
로그인은 안 하고, 업무용 노트북으로 영화 보는 정도는 즐겁게 함 - 인터넷에서 모르는 사람이 보낸 Quiz1.exe를 실행하는 바로 그 멍청이일 것임
- 필요해서 그럴 수도 있음
이 경우 피해자는 항공우주 회사에서 일했음. 그 업계 사람들을 좀 아는데 모두가 말도 안 되게 긴 시간을 일함. 게다가 스페인 회사였으니 하루 10시간 이상 일하는 게 당연하게 여겨졌을 수 있음
- 회사 노트북으로 개인적인 일을 항상 함
-
약간 다른 얘기지만, 북한 사람들이 정부 직원이 되기 전까지 인터넷 접근도 거의 못 한다면 Lazarus/HIDDEN COBRA가 어떻게 그렇게 정교한 국가 배후 공격자가 될 수 있는지 궁금함
현대 보안 연구, 오픈소스 프로젝트, 프로그래밍 자료, 실제 유포 악성코드에 접근하지 못하면 뛰어난 해커 세대가 자라나기 어렵지 않을까 싶음. 어쩌면 방화벽을 우회하는 사람들을 잡아가 부대 일자리를 제안하는 걸지도 모름- 그런 것들을 얻을 수 없다는 건 어떻게 아나 싶음
또 해커를 어떻게 훈련한다고 생각하는지도 궁금함. React 야간 빌드로 할 일 앱 만드는 법을 가르친다고 되는 건 아님. 아마 이더넷과 TCP/IP 스택을 만든 사람들보다 더 잘 외우고 거꾸로도 암송할 수 있을 것이고, 그것만으로도 많은 걸 해킹하기에 충분함 - 네덜란드 사이버 보안 기관 발표에서 들은 것 같은데, 국내에서 해커를 훈련한 뒤 중국으로 보내고, 물론 강한 감시 아래 인터넷 카페에서 활동하게 한다는 얘기가 있었음
- 기술적으로 재능 있는 7살 아이들에게 모든 접근 권한을 주고 해커로 키우는 영재 교육 프로그램이 있을지도 모름
- 학교에서 일찍부터 최고 인재를 뽑고 훈련도 강도 높게 한다고 함
식량, 전기 등 부족한 것이 많은 나라에서는 매우 선망받는 직업임. 더 알고 싶으면 Lazarus Heist 팟캐스트를 들어보면 됨 - 중국에서 활동한다고 보는 편이 맞을 수 있음
- 그런 것들을 얻을 수 없다는 건 어떻게 아나 싶음
-
우리 지역의 인력 파견업체 300곳 중 실제로 서비스로 합법 운영할 허가를 받은 곳은 23곳뿐이라 놀랍지 않음
어떤 곳이 가짜이고 진짜인지 인증하려는 건 대부분의 회사와 지원자가 굳이 당기고 싶어 하지 않는 실임
가짜 채용 사기도 있음. 직원에게 매력적인 보상 패키지를 제시해 빼낸 뒤 경쟁사가 데이터를 캐내고, 평가 기간이 끝나기 전 보통 6~10개월 안에 내보내는 방식임. 여러 악성 행위자가 과장된 약속과 함께 감염된 PDF도 뿌리고 있음
조심해야 하고, 86Box는 Bochs/kvm처럼 읽기 전용 백킹 이미지와 세션을 지원함: https://github.com/86Box/86Box/releases
Apple M1 노트북에서도 동작하지만 느림 -
이런 나쁜 일은 실제로 벌어짐
2019년에 본사에서 제공한 무료 Wi-Fi를 통해 노트북이 해킹되어 SSH 키를 모두 바꿔야 했음- “본사의 무료 Wi-Fi로 해킹됐다”는 게 구체적으로 어떤 의미인지 궁금함
-
“악성 실행 파일 두 개… 첫 번째는 Hello World 프로젝트… 두 번째는 입력값보다 작은 최대 원소까지 피보나치 수열을 출력”이라니, 이게 뭔가 잘못됐다는 첫 신호였어야 함
Meta라면 LeetCode medium 또는 hard부터 시작했을 것임 -
이 웹사이트 보안은 환상적임
페이지 내용을 스크롤할 때 화살표 키를 못 쓰게 막아뒀음. 키보드를 이용한 알려지지 않은 공격 벡터 때문임이 분명함. 훌륭함