GrabThePhisher

[정보]

공격자는 hxxps://apankewk.soup.xyz/mainpage.php에서 피싱 키트를 호스팅하기 위해 서버를 손상시키고  BNB Chain의 분산형 거래소인 hxxps://pancakeswap.finance/를 사칭 했습니다. 공격자는 파일 이름이 "pankewk.zip"인 열린 디렉터리로 설정했습니다.

 

- 파일 다운로드 후 압축을 해제

 

- index.html 접속시 CSS 깨진(?) 페이지 확인

* 해당 경로에 stylesheet 미존재

 

- src 디렉터리 내 style.css 존재하여 메인 폴더로 이동

 

- CSS 적용된 페이지 확인

 

1. 시드 문구를 요청하는데 사용되는 지갑이 무엇인가?

답: metamask

 

* 시드 문구(seed phrase)
암호 화폐 지갑을 생성하면 제공되는 12단어로 새로운 장치에서 암호 화폐 지갑에 로그인할 때 필요

 

- 메인 페이지 팝업에서 여우 아이콘의 Metamask를 클릭하면 시드 문구 요구

* /metamask 디렉터리를 적절히 이동해야함

 

- 다른 지갑의 경우

 

- 추가로 Metamask Wallet만 특정 디렉터리 접근

 

- 다른 Wallet은 send.php로 연결되나 send.php 파일 존재하지 않음

 

 

2. phishing kit가 삽입된 파일 이름은 무엇인가?

답: metamask.php

 

- 시드 문구를 입력하고 Proceed 버튼을 클릭하면 ../metamask.php로 데이터 전송

* .button.btn--first-time.first-time-flow__button가 Proceed 버튼 의미

* .import-account__secret-phrase가 시드 문구 입력 폼 의미

 

3. phishing kit는 어떤 언어로 작성되었는가?

- 답: php

* 파일 확장자가 php

 

4.phishing kit는 피해자의 Machine 정보를 검색하기 위해 어떤 서비스를 사용했는가?

- 답: sypex geo

 

- "sypexgeo.net" API를 통해 피해자의 국가, 도시 등의 정보 습득

* file_get_contents은 전체 파일을 문자열로 읽는 함수

 

* sypexgeo.net은 IP 주소로 국가, 지역, 도시 좌표 정보 습득 가능

 

* 해당 api 경로 접근 예시 (city, region, country 정보 존재)

 

5. 이미 수집된 시드 문구는 얼마나 되는가?

- 답: 3

 

- metamask.php 내용을 살펴보면 수집된 정보를 텔레그램으로 전송하고 log.txt 파일에 삽입하는 코드 존재

* message 변수에 IP 정보 및 시드 문구 포함되어 있음

* DOCUMENT_ROOT 경로는 기본적으론 /pankewk/

 

- log 내용 확인하면 총 3개의 시드 문구 존재

 

6. 가장 최근에 습득된 시드 문구는 무엇인가?

- 답: father ~

 

- 순서대로 log 파일에 추가되기 때문에 가장 아래 줄에 있는 문자열이 가장 최근 발생한 피싱 사건의 시드 문구

 

7. Credential dumping에 사용된 매체는 무엇인가?

- 답: Telegram

 

- metamask.php 에서 확인된 정보

* 파라미터 값에 IP, 국가, 시드 문구 등을 추가하여 Telegram으로 통신

 

8. 해당 채널의 토큰이 무엇인가?

- 답: 5457463144:AAG8t4k7e2ew3tTi0IBShcWbSia0Irvxm10

 

9. 해당 채널의 chat ID는 무엇인가?

- 답: 5442785564

 

10. 피싱 키트 개발자의 동맹은 누구인가?

- 답: j1j1b1s@m3r0

 

- metamask.php 에서 확인된 정보

 

11. 공격자의 풀네임이 무엇인가?

-답: Marcus Aurelius

 

- 확인된 텔레그램 경로로 접근해보면 이름이 하나 확인

 

11. 공격자의 Uesrname이 무엇이냐?

- 답 pumpkinboii

 

 

[사고 대응]

- 서버의 무결성(해시값, 서버 응답 및 파일 크기 등)을 지속적으로 확인하여 이런 식으로 악용되지 않도록 확인

- 서버에서 외부로 나가는 트래픽 확인(혹은 차단)

   * sypexgeo를 통해 국가 정보 수집 트래픽 차단 / telegram을 통해 시드 문구 수집 트래픽 차단

- 우선 정보 유출에 대해 조치를 해야겠지만 시드 문구는 개인 정보인가..?