안내 센터

팀 카시아의 소식을 정확하고 빠르게 전달해 드리겠습니다.

안내

-[필독] 공지사항을 안내드립니다. 2019.01.06

										
팀 카시아입니다.
본 게시글에서는 몸캠피씽 및 동영상 유포 협박으로 피해와 관련하여
"유출된 데이터 삭제 등의 유포 방지 시스템"에 대한
지원 안내를 드리고자 합니다. 


지원 피해 매체는 다음과 같습니다.

1.카카오톡(페이스톡 영상통화 협박)
2.페이스북(페이스북 메신저를 통한 접근,조선족과 필리핀 협박범 부류)
3.라인
4.스카이프
5.영상통화 지원 어플리케이션이나,조선족이 자체 개발한 영상통화로 인한 피해


과거 2016년까지 급증하였다가 줄어들었던 페이스북으로 인한 피해 또한, 
최근 들어서 급증하고 있는 추세라 피해자분들의 주의를 요합니다.

이 게시글을 작성드리는 가장 큰 이유는, 모든 작업방식을 구체적으로 
서술함에 따라서 작업방식에 대한 질문 등으로 번거롭지 않게 하기위함이므로, 
반드시 이 게시글을 모두 정독하여주시기를 부탁드립니다.



문의주시는 피해자분들께서 공장초기화를 진행하시는 경우가 있습니다.
따라서 APK파일을 보유하지 않은 채로 연락주시는 경우가 있는데
공장초기화를 진행한다고 하여도 접수 및 의뢰신청은 가능합니다.

그러나,
경우에 따라서 소요 시간이 배 이상으로 소요되는 경우가 많습니다.

또한 C&C 서버도 점점 협박범이 보안 강도를
향상 시키고 있어 접근이 어려운 서버도 등장함에 따라,
본 팀 카시아 도 기밀사안들을 통해 최대한 플랜들을 효율적으로 선택하고 있습니다.

따라서 가능하시다면 자료를 삭제하지 마시고 보존한 뒤 문의하여
 주시면 감사하겠습니다.
 
또한 반드시 사전에 피해 매체가 아이폰인지안드로이드인지 안내주시기 바랍니다.
현재 아이폰을 사용하시면서 과거에는 안드로이드로 당하셨다거나 하는 변동사안이 있을경우 
반드시 정확한 처리를 위해 안내주시기 바랍니다.


"팀 카시아에서는 어떤 작업을 어떠한 방식으로 진행하는가?"

간단하게 요약하자면 아래와 같습니다.

ⓐ유출된 데이터의 삭제처리 솔루션
ⓑ협박범으로부터의 유포 차단 (유포확률 최소화) 및 실시간 대응 시스템
ⓒ피해 최소화를 거쳐 최종적으로 사건 발생 이전 시점으로의 복귀 지원

보다 상세하게 보자면, 아래와 같습니다.



아래의 24가지 방법들을 종합적으로 자체판단하여 사용함으로써
유포 차단에 기여하며, 동영상의 유포를 차단하거나
피해를 최소화시킵니다.



◎유출된 데이터 삭제 처리
→전화번호부,문자메세지 등(IDC,C&C,VPS,App Log) 삭제
→녹화된 영상 부분(P2P,W-network,Youtube,Facebook,Site)삭제
→기타 탈취된 데이터 파악 및  삭제→FTP 서버 등 업로드 및 보관 시스템 존재여부 파악 및 확보,삭제  
→동영상 판매로 인한 외부 유출 여부 검토 및  삭제
 →공유 시스템 존재여부 파악 및 녹화된 영상 데이터 2차 유출  방지 
 
  
◎협박범 실시간 대응 시스템
→해당 협박범을 특정지어 팀 카시아에서 자체적으로 대응
→피해자 동영상 유포 딜레이 시키며 데이터 삭제작업 및 대응체계 진행→협박범의 유포 가능한 모든 매체수단 차단 및 대응 시도
→협박범이 운용중인 계정(Account) 실시간 대응
→협박범이 사용중인 VPS,IDC 등 데이터 서버 모니터링
→해당 네트워크 동향 파악, APT 대응 처리



◎유포 대응 및 사전방지 시스템
→협박범의 주 유포수단인 카카오톡에 실시간 개입
→카카오톡 대응&유포 차단 이후 문자메세지에 개입하여 대응

(문자메세지 유포는 자주 발생하지 않고,
카카오톡을 사용하지 못하게 된 협박범들의 마지막 발악에 가깝습니다.
보통 카카오톡으로 1차유포,2차유포,전체 인원 유포하며 
문자메세지는 소수에게 유포하는 경향이 강합니다.)


→팀 카시아-Auto-Sending 시스템, 유포 시도시 즉각 개입  
→동영상,사진 유포 수단 차단으로,동영상 유포 사전 방지  
→C&C 서버 등에 더미 데이터 삽입으로 유포 대상을 강제변경  
→협박범 전화번호에 Auto Calling 시도, 통화 불가능 유지
→주 사용수단인 PC, Bluestack 에 서비스 중단 시도  
→DoD-5220.m 알고리즘 사용 말소 처리(사용 가능 데이터 한정)



◎정밀 분석 및 대응 시스템
→APK 파일의 자체 취약점 존재 여부 검토  
→C&C,IDC,VPS,FTP 등 Port 개방된 모든 데이터 서버 분석 및 검토
→협박범 유포 수단 및 계정,등 취약점 분석  
→네트워크 패킷단위 분석
→유지중인 모든 서비스 1~65535(80Port 제외) 파악 및 중지시도
→협박범 어카운트 E-mail 등 확인
→협박범의 협박 수단 호스트 확인
→트래커로 지속적인 데이터 감시
→피해자에게 반드시 이행해야할 가이드라인 제시 



◎피해 발생 최소화 시스템  
→이미 1차 유포를 당하여, 2차 3차 등의 유포가 이루어 지기 전이나협박범이  유포 직전일 경우, 긴급 운영체계로 전환하여  
이에 긴급대응함으로써지인들이 해당 동영상을 보지 못하게 하거나 
 최소한으로 리딩할 수 있도록 최소화 조치
→문자 메세지로 유포할 경우, 동일한 예시 제시, 방식으로 대응함으로써
유포타켓이 해당 영상을 피해자의 영상으로 인식하지 못하게 하거나
→별도로 상황을 연출하여 영상통화 사기라는 사실을 인지하지 못하게 최대한 조치하여 실질적 피해자가 해당 상황에서 벗어나게끔 조치함.
→심리행동학 기반 전문내용으로 별도 대응



◎피드백 모니터링 시스템 및 사후관리 시스템
→최장 1년보장, 질문 사항 접수 및 추후 피드백  




▼종합 업무 팀 카시아 ▼
◎동영상의 유포 차단 /피해 최소화



위와 같은 작업은 협박범을 특정지어 정밀하게 분석하여 진행되며
모든 피해자에게 공통으로 적용하는것이 아닌,
한명 한명 다른 방식으로대응하게 됩니다.

위와같은 내용들 중에서 반드시 필요한 부분과 
가장 효율적인 부분들을 선택하여 
진행합니다.



한명 한명이 각기 다른 상황에 놓여 있기 때문에 


면밀하게 피해자의 상황,협박범의 체계,유포방식 등
모든 관련 데이터를 상세하게 분석한 뒤 1:1로 대응하여야합니다.




[잠깐!중요 사안에 대해 안내드립니다!]



최근,타 업체에 2차 피해를 당했다는 문의접수가 상당히 많습니다.

이런 분들을 보면 정말 안타깝습니다.
심지어, 본인께서 사기를 당했는지 조차도 모르십니다.
APK  파일을 통하여 웹 서버에 접근한다고 하여도
이러한 영상통화 협박의 경우 무조건적으로 대화창에 지인들의 연락처를 뿌리게 되는데,
해당 부분까지 마무리 짓지 못한다면 전혀 작업 자체가 의미가 없습니다 .

 반드시 네이버 카페와 같은 공개된 곳에서 구제해준다는 글, 특정 업체를 추천하는 글에 주의하시기 바랍니다 .
 저희  팀 카시아 와 같이 비밀댓글로 관계자만 볼 수 있는 글이 아니라면 ,
 조선족 등이 공개된 카페에 잠입하여  2 차피해를 유발 할 수 있습니다 .



또한 피해자들의 개인 신상 보호를 위해서라도 비밀 댓글을 활용하는 것이 좋습니다 .
그 어떤 피해자들이  공개적으로 노출시키고 싶어할까요 ?
여기저기에 어디 업체의 후기이다 하면서 올라오는 글들은 대부분이 해당 업체에서 진행한 마케팅입니다.

내가 몸캠피씽의 피해자라면, 
내가 사기를 당했다는 사실을 인터넷에 올리고어떤 업체에 해결을 받았다는 사실을 올리고 싶어할까요?
이성적으로 생각하시면, 금방 답이 보입니다.



어떻게 동영상 유포를 막을 수 있는지 고지하지 않는 업체들은, 기술력이 없는 사기 업체 입니다.
(사실 현재 본 팀 카시아 를 제외하고 기술적으로 증명된 곳은 없습니다.)




아래에서 설명 드리겠지만, 팀 카시아에서는
한명의 피해자를 위해 유포차단 작업을 할때,
해당 서버에서 모든 데이터를 삭제처리합니다.

사기 업체들은 아무것도 하지 않고,
말도안되는 보고서를 보내오며 작업이 완료되었다고 주장하고
본 팀 카시아에 의하여 피해자들 데이터가 처리되기를 기다리며 
시간을 끌다가 본인들이 유포를 막아준것처럼 피해자를 우롱하고 있습니다.




이러한 업체들은 모두 하나같이 그저 관련없는 이미지들만을 도배하며 홍보글만 작성하기에 여념이 없더군요.



뉴스 기자들에게 돈을 쥐어주고서는 뉴스를 써달라고부탁하는 업체들도 많은데, 
실질적으로 확인해보면 허위광고 및 과대광고일뿐,
기술적인 실력은 검증된 바도 없습니다.


혹은 피해자에게 문자를 보내서 

C&C서버에서 연락처만 제거해주며이제 협박범이 가지고 있는 연락처를 삭제했으니,
동영상의 유포를 차단했다며 돈을 요구하기도 합니다.



본 팀 카시아처럼 다수의 플랜을 통하여 
유포를 차단하는것이 유일한 해결방법이며,



1)절대 서버에서 단순한 연락처 삭제만 하고 유포를 차단할 수는 없고
저희 팀 카시아와 같이 유포차단을 위해서는 다수의 절차들이 필수불가결하게 있어야 합니다.


2)이러한 연락처 삭제 부분만 진행하고 돈을 요구하는, 심지어 민사 소송 협박까지 서슴치 않는 사기 업체들에  주의하시기 바랍니다.



현재 이러한 플랜을 진행함으로써 유포를 차단하는것은 팀 카시아가 유일무이합니다.
반드시 주의 하시기 바랍니다.





보다 상세한 작업방식에 대한 내용은 아래와 같습니다.


아래 내용들은 모든 상황과 데이터를 종합적으로 고려하게 되며 
팀 카시아에서 자체적인 회의를 거쳐, 




피해자의 유포 차단을 위해  
1~24)까지의 플랜 중, 
가장 효율적인 플랜들을 다수 선택하여 진행합니다.



1. APK 파일을 통하여 협박범이 운용중인 C&C / VPS 서버에서 유출된 연락처를 삭제합니다.



[APK 파일 미 보유시 진행방법에 대해 먼저 알려드리겠습니다.]




정형화 데이터



기존 피해자들에게서 제공받은 정보를 토대로
동일한 APK 파일을 수집하거나(서버가 변경될 수 있으므로,기간은 짧게 잡습니다.)

기존에 보유하고 있던 데이터에서 확보하여 분석하게 됩니다.


동일한 협박범의 APK 파일을 구별하는 방법은 간단합니다.



위와 같이, 협박범의 ID가 달라도 동일한 전화번호를 사용하거나
혹은 전화번호가 달라도 동일한 ID를 사용하는 등



반드시 피해자중에 교집합이 존재할 수 밖에 없습니다.


실제로 데이터를 확인하여 보면,




위와 같이 일치하는 데이터들이 반드시 있습니다.
이러한 데이터를 기반으로 진행하게 됩니다.



실질적으로 한 피해자가 APK 파일을 제공하게 되면,
위 엑셀 파일의 데이터처럼 해당 협박범의 정보에 맞추어 특정이 가능한데
이러한 APK 파일 하나에 수십명의 피해자가 당하는게 일반적입니다.


따라서 피해자가 제공한 APK 파일이 많으면 많을수록 
실질적으로 삭제가 가능한 인물들이 늘어나게 됩니다.



APK 파일을 분해한 뒤 나온 JAR이 용량이 대부분 같은 모습.


협박범들은 위와 같이 한 APK 파일의 서버 주소만 변경하여지
속적으로 사용하는 경향이 있습니다.


막상 받아보면 동일한 시스템 구조의 APK 파일에
피해자의 연락처가 저장되어 있는 메인접근 URL만 변경되는 경우가 많습니다.


또 다른 방법으로는,
협박범에게 피해자인척 재 접근하여 APK파일을 재 공수 해올 수 있습니다.

 



 

협박범의 데이터(연락처,계좌정보 등)를 토대로 재 접근하여 APK 파일을 확보합니다.


위 이미지와 같이 APK 파일을 먼저 이렇게 제공해주는 협박범이 있고,


조금 더 진화해서,이러한 APK 수집을 방지하기 위해서
얼굴을 먼저 확인하자는 똑똑한 편에 속하는 협박범들도 존재합니다. 

그럴 경우에는 어쩔 수 없이 영상통화를 먼저 진행하여 
얼굴을 노출해야 하는 경우가 생깁니다.

하지만 얼굴이 노출되면 안되므로,




팀 카시아 쪽 PC 화면


위와 같이 이쪽에서도 똑같이 사전에 녹화된 영상을 송출하여 주면 됩니다.


해당 이미지처럼 모두 셋팅을 완료한 뒤, 협박범과 접촉합니다.


팀 카시아 쪽 PC 화면-2

협박범과 영상통화를 진행합니다.


사실 상 서로 녹화된 영상으로 재생하는것이기 때문에, 협박범 입장에서는 


협박범 입장에서 바라본 영상통화 화면


이렇게 진짜 피해자가 영상통화를 시도하는것 처럼 보이게 됩니다.
진짜 피해자 영상과는 구별이 불가능하죠.

이제 협박범이 설치하라고 유도하는 APK 파일을 재 공수받습니다.


APK 파일이 없어서 도움을 주지 못한다는 업체들은 
실력이 없는것이고, 이러한 부분에 있어서 
확실하게 파악하고 있지 못하는 그저 돈벌이에 급급한 업체들입니다.



1-2)탈취된 연락처,문자메세지 등의 삭제를 위하여파일을 리버싱합니다.



해당 APK 파일을 Decompile 합니다.
위와 같이 APK 파일을 분해하게 되면 JAR 파일이 생성됩니다.(APK, 즉 앱 자체가 하나의 압축파일이라고 보시면 됩니다.)이러한 JAR 파일은 보통 JAVA 언어로 이루어져있다고 보시면 됩니다.

그리고 해당 소스코드를 보게 되면,


동일한 구조를 가지고 있으면서  피해자의 연락처를 저장한 서버 주소만 조금씩 변형된것을 알 수 있습니다.

구조가 동일한 모습
위와 같이 동일한 APK 파일을 리패키징하여 서버 URL만 변경하여 사용하는 경우가 많습니다.[물론 모두 그런것은 아닙니다. 서버마다 탈취 정보 또한 모두 다릅니다.]스말리 코드로 수정하는 작업을 거치게 되는데, 
협박범들이 이러한 지식을 보유하고 있다고 생각되지는 않으며별도로 개발자가 존재하는 것으로 보여집니다.


서버 분석[1]

서버 분석[2]
그렇다고 모든 협박범들이 URL만 변경하여 사용하는것은 아니며서버의 종류는 생각보다 다양합니다.해당 서버들에 접속하게 되면, 로그인 화면이 출력됩니다.서버의 종류마다 로그인 화면은 모두 다르며, 



ASPX 로그인 페이지

SIMPLA 서버 로그인 페이지

시크릿톡 서버 로그인 페이지
ID/PW를 탈취하여 접속하거나  취약점을 공격하여 웹/시스템 해킹을 통해 접근할 수 있습니다.즉, 한 서버의 관리자 루트를 알아내게 되면 주소만 다른 다른 서버들은모두 뚫어내어, 연락처를 제거할 수 있다는게 되겠죠.
협박범은 APK 파일을 통하여 피해자의 연락처를 탈취하여, 위와 같은 C&C 서버, 즉 협박범의 개인 서버에 저장하게 됩니다.이러한 서버는 VPS 호스팅 서버인 경우가 많습니다.
1-3) 위와 같은 서버를 상세 분석하여,취약점을 찾아냅니다.
해당 서버의 종류에 따라서 접근 방식은 모두 다릅니다.접근 방식은 웹 취약점,시스템 취약점,네트워크 취약점 등에 따라  다양하게 존재합니다.1-3)에서는 웹 취약점을 사용하여 접근하는내용을 다루고 있습니다.



위와 같이 간단한 구조를 가진 ASPX의 경우에는 보통 웹을 통해서도 취약점이 발견되기 마련입니다.협박범의 서버가 기본적으로 웹서버이며, 저장되는 데이터 또한 웹사이트에 저장되기 때문에 이러한 웹 서버를 파악하는게 중요합니다.



위와 같은 기본적인 스캐닝을 통해서도 발견되는 취약점이 존재할 경우,아래와 같이 공개되어 있는 Exploit 코드를 사용하게 되고


SIMPLA ADMIN - SQL 취약점
이러한 스캐닝으로 발견되지 않는 취약점들의 경우에는직접 해당 취약점을 찾아냅니다.

ASPX 서버 취약점
그리고 이러한 서버에 대한 공격 Exploit 코드를 직접 작성합니다.

마찬가지로 ASP.NET 취약점에 대한 EXPLOIT
여기서 취약점 분석 및 소스코드 작성능력을 요구하게 됩니다.해당 언어에 대한 이해가 없다면, 불가능한 일입니다.

공개되지 않은 Exploit- PHP 취약점
그리고 이러한 방식을 통하여, 최종적으로는  


 
 
 
 
 
 
 
 
 
 
 
 
 
서버에 접근하게 됩니다.

1-4) 해당 연락처 데이터를 모두 말소처리합니다.


SIMPLA ADMIN 서버

그누보드 업로드 데이터


PHONE MASTER 서버

 
위와 같이 연락처를 모두 삭제할 수 있습니다.

사실 이러한 기법을 공개하는것에 갈등을 많이 했습니다 .
조선족 협박범들 또한 이러한 공격에 대응하여
보안 강도를 향상시킬 것이 뻔하기 때문입니다.
아니나 다를까, 근래에는 온갖 Firewall부터 시작하여
보안 패치까지 하는 등 접근이 어려운 
서버들도 몇개  보이기 시작하였습니다. 
따라서, 사실상 24시간  
뚫고 막는 창과 방패의 싸움이 지속되고 있습니다.


그러나
여기서만 연락처를 제거하는것은 전혀 의미가 없으며
이러한 행위만 하고서 돈을 요구하는 업체들은
모두 사기입니다.

 
아래 부분들을 읽어보시면 아시겠지만,
협박범의 채팅에 그대로 연락처가 남아있음에도 불구하고  
 
 
"ⓐ웹 서버상에서" "ⓑ연락처/문자메세지 등만 삭제"하여 주며
돈을 받는 행각은 모두 사기행각입니다.


2)문자메세지,갤러리,위치정보 등별도 탈취된 데이터를 삭제합니다.

 
위에서도 설명드린 바 있습니다만,
협박범들의 APK 파일에 따라서 탈취되는 정보가 모두 다릅니다.



일부 파일은, 갤러리 및 위치정보까지 탈취하는 경우도 있습니다.







갤러리 업로드 부분


위 내용중 하단을 보시면, Uploadalbum 이라는 부분이 보입니다.

즉, 앨범을 업로드하는 소스코드입니다.


구글 이메일로 탈취되는 데이터를 보면,



아래와 같이 위도와 경도를 탈취하게 되어있어 
이러한 내용을 기반으로 피해자의 위치정보를 탈취하게 됩니다.


위도와 경도가 적혀있는 데이터,피해자의 네트워크를 기반으로 함

그리고 해당 데이터를 보기 편하게 XML로 추출해보면,


XML 데이터로 확인한 데이터

위와 같이 보다 상세한 정보가 나오게 됩니다.


협박범들은 이러한 정보를 기반으로 하여 피해자에게 어디 거주하는지
알고있다며 협박하는 경우가 많습니다.


즉 다시말해서


위치 정보를 발설하는 협박범은 구글 이메일로 탈취되는 
APK 파일을 사용한다는 소리가 되는겁니다.


팀 카시아 는 이러한 대화내용중에서도
세부적 내용 하나하나 모두 캐치하여 대응시스템에 사용하고 있습니다.


.mp4 확장자 녹음 파일 업로딩 부분


위와 같이 녹음파일을 탈취하여 전송하는 기능도 존재합니다.



그리고 당연히,



탈취된 문자메세지 내역



위와 같이 문자메세지도 탈취하게 됩니다.



가끔 뱅킹 거래내역을 문자메세지로 사용하시는 피해자들이 계신데,
이러한 내용을 기반으로 잔액을 협박범이 확인하게 됩니다.

[공인 인증서가 탈취당하는게 아닙니다.]



잔액이 남아있는데 돈이 없다고 이야기하여
즉각적으로 유포되는 경우를
상당히 보았습니다.



위와 같은 내역들을 모두 삭제처리합니다.



3)해당 C&C서버에 연결된 백업 이메일 주소 존재여부를 확인합니다.



간혹 서버 메인페이지에  
협박범이 Gmail 등의 백업 이메일을 숨겨두는 경우가 있습니다.



이러한 메일에 연락처,문자메세지가 백업되어있을 가능성도 있습니다.

따라서 ,해당 데이터를 조회합니다.


확인된 이메일


이러한 이메일은 단순 호스팅서버에서 발급하여준 
의미없는 이메일이 대부분이며

간혹 존재하는 경우 대부분이 구글 Gmail 입니다.


3-2)APK 내부에 백업 이메일이 존재하는지 검토합니다.


구글 Gmail로 탈취되는 APK 가 있으면  


피해자의 연락처를 디바이스에서 직접 전송하기 위해서
해당 APK 파일의 내부에 협박범의 ID/PW를 적어둘 수 밖에 없습니다.


즉, 소스코드에 Gmail 계정이 적혀있습니다.



이러한 계정으로 접속하여 탈취된 데이터를 삭제하는것은 매우 쉽고,
ID/PW가 그대로 적혀있기 때문에 애시당초 접근하는게 어렵지 않습니다.



그러나, 해당 ID로만 접근하는것은 전혀 의미가 없습니다.
이러한 데이터를 삭제하고서는 연락처가 모두 삭제되었으니
안심하라고 피해자를 현혹하는것이 현재의 업체들입니다.


소스코드를 보면,

하드코딩 되어있는 ID/PW

위와 같이 ID와 비밀번호가 적혀있는 계정이 보입니다.
해당 계정으로 접근하여 데이터를 삭제하는게 일반적입니다.


그러나,


패스워드가 적혀 있지 않은 백업용 이메일


다른 테이블을 보면, 위와 같이 비밀번호가 적혀 있지 않은
백업용 이메일 계정이 버젓이 있습니다.

심지어, 자동으로 백업하는 기능입니다.

그런데 비밀번호가 적혀있는 계정에서 삭제하는게 무슨 의미가 있는지요?
전혀 의미 없습니다.


GMAIL 계정에서 연락처를 삭제하고서는 완전히 삭제되었다며 
금전을 요구하는 업체들은 모두 사기업체들입니다.


그렇다면
해당 백업용 이메일 계정은 어떻게 접속할까요?
비밀번호가 적혀있지 않으므로 접속하지 못하는게 일반적입니다.


그러나 구글에는 가장 큰 취약점이 생각지도 못한곳에 존재합니다. 
(당연히 미공개합니다.)

이러한 취약점을 사용하여 주면,
해당 계정에 강제적으로 엑세스 할 수 있습니다.


따라서 아래와 같이,


복구 이메일 주소 강제변경

복구 이메일 주소를 강제로 변경하여주고


계정 데이터 변경 처리 알림 이메일


계정에 접속하게 됩니다.


실제 백업되어있는 데이터들


그럼 역시나, 위와 같이 데이터가 백업되어있습니다.
사실 백업이라기보다는, 삭제 방지용 데이터라고 보는게 맞겠지요.


마찬가지로 전체삭제 처리.


4)해당 이메일 계정을 악용계정으로 날려버립니다.


백업 이메일과 기존 이메일 계정 모두 정지처리 된 모습.


일반적으로 구글 계정 또한 아래와 같이 해지처리가 가능합니다.


계정 삭제처리 완료[1]

계정 삭제처리 완료[2]


이렇게 되면 더 이상 해당 APK 파일은 사용하지 못하게 되며
G-mail 서버의 경우에는 해당 계정에 접근할 수 없게 됩니다.

5)협박범의 문자메세지 유포에 대응합니다.


협박범의 경우, 유포를 한다고 하면 카카오톡으로 유포를 하거나
문자메세지로 유포를 하게 됩니다.


협박범은 1차,2차,3차 유포 등으로

협박범에 따라서 가까운 가족→중요한 지인→여성들→친구들 등의 형태로
여러번에 나누어서 유포하는 경향이 있습니다.


실질적으로 팀 카시아에서는
1-24까지의 플랜을 종합적으로 선택하여 유포를 차단하게 되는데

이미 유포가 되어, 추가적인 유포 전에 문의하신 경우
잠시 후 동영상이 유포가 될 것 같은 경우


즉각 긴급운영체계로 전환하여 협박범의 유포에 긴급 대응하여
지인들이 해당 영상을 볼 수 없게 조치하거나
강제적으로 몸캠피싱임을 인식하지 못하게 한 뒤
 
나머지 플랜들을 진행함으로써
유포들을 차단하게 됩니다. 
 
 
해당 부분은, 팀 카시아의 기밀사안-기술적인 부분과사회공학적인 부분들이 모두 내포되어 있습니다.
 
6)협박범의 매체 수단 Account(계정)을 정지요청합니다.


첫 부분에서 말씀드린 바 있습니다만, 서버에서만 연락처를 제거하고
금전을 수수하는 행각이 사기나 다름이 없다고 말씀 드린
가장 큰 이유 중 하나 입니다.



서버에서 연락처를 제거하여도,


대화창에 협박범이 뿌린 연락처가 그대로 남아있는 모습

마찬가지로 그대로 남아있는 모습


위와 같이, 채팅에 연락처가 그대로 남아 있기 때문입니다.

즉, C&C서버에서의 연락처 삭제는
"유포확률을 줄이기 위한 수단" 중 하나일뿐이지, 
해당 작업만 진행한다고 하여서 유포를 막을 수 있는게 아닙니다.



그럼에도 불구하고 현재 존재하는 업체들은, 웹 서버에서 연락처 제거하는 
모습만 보여주고 마치 자기들 덕분에 유포가 차단된것 처럼
피해자들을 기망하고 있습니다.

절대 이러한 사기 행각에 놀아나지 마시기 바랍니다.

다시 본론으로 넘어가서,
피해매체 수단에 따라 다르지만, 

스카이프,라인,카카오톡,페이스북으로 인한 협박의 경우
모두 계정 정지처리 요청을 진행하여 해당 계정을 정지시킵니다.

해당 서비스들의 정책을 살펴보면,


서비스 계정 정책[1]

서비스 계정 정책[2]


위와 같이 불법 스팸들에 대하여 계정 정지를 지원하고 있습니다.
이러한 정책 시스템을 기반으로 하여 협박범의 계정을 정지시킵니다.


그런데 여기서 중요한것은, 일반적인 정지 요청으로는
시간이 한 없이 오래 걸린다는 점 입니다.

그래서 팀 카시아에서는, 계정 정지와 관련한 오토 시스템 정책을 파악하였습니다.

팀 카시아에서 자체적으로 생성한 다수의 세컨드 계정들


협박범의 계정을 정지 시키기 위해 다수의 세컨드 계정을 만들어,
동시 다발적으로 계정 정지를 요청함과 동시에


팀 카시아에서 자체적으로 해당 어카운트에 지속적인 공작을 개시하여
[기밀사항이기에 공개할수는 없습니다.]


실제 악용계정으로 정지처리된 협박범의 페이스북 계정

정지처리된 이후 스스로 탈퇴한 협박범의 카카오톡 계정들


위와 같이 모든 계정을 정지처리시킵니다.

카카오톡의 경우에는 해당 계정이 정지되면,
해당 계정으로로그인 할 수 없습니다

 
대화를 볼 수 없게 되는것이며
이에 따라서 대화내용에 남아있던 내역도 볼 수 없는겁니다.

또한 카카오톡 정책 변경으로 90일 이상 PC버전 미 인증시,
해당 계정은 인증 해지 처리 됩니다.

협박범은 계정을 구매하여 오므로,
계정이 정지되면 자연스럽게 사라지게 됩니다.


6-2)해당 계정을 폭파시킵니다.


카카오톡 PC버젼에는 취약점이 존재합니다.
이러한 취약점을 사용하면, 원하는 상대방의 계정을
일시적으로 정지시킬 수 있습니다.
(단, 상대방이 협박범처럼 불법 스팸 계정이라면 그대로 영구정지^-^)



네트워크 취약점을 사용하여 [2017-07-02 팀 카시아 발견,K-PC/B 취약점]
사용자의 계정을 대상으로 하여금

 
 
 
위와 같이 정지처리로 날려버립니다.


마찬가지로 오토 정책 시스템을 파악하여, 
팀 카시아에서는  Bot-Account 를 운영하고 있습니다.


 

팀 카시아에서 자체적으로 운용하고 있는 협박범 실시간 대응을 위한 세컨드 로봇 계정들.


이러한 계정들을 사용하여 협박범의 계정에실시간으로 공작을 가하여, 
해당 계정을 정지 처리 시키도록 시도합니다.

7)협박범의 계정에 더미데이터 발송

사실 이 부분은 공개를 해야할지, 말아야 할지 수없이 고민한 부분입니다.
타 사기업체들에서 해당 부분을 어설프게 모방할 가능성이 있기 때문이죠.


협박범이 실시간으로 유포를 하기 직전이거나, 유포가 개시되었을 경우
팀 카시아는 긴급 모니터링 체계로 전환하게 됩니다.

이러한 상황에서 협박범의 주 유포수단인 카카오톡 계정에 대하여 
대응책을 개시하게 됩니다.

해당 방식을 진행하게 되면, 협박범은 사실상 유포를 진행하여도
지인들은 해당 동영상을 보지 못하거나

협박범이 해당 방에서 튕겨져 나가게 됩니다.

여러 방법이 있으나, 
모방 가능성이 있으므로 간단한 방법 일부만
공개합니다.

협박범이라고 가정한 모의 테스트 환경에서,
실제로 팀 카시아에서 자체적으로 개발한 프로그램을 구동시켜 보았습니다.



보시다시피, 협박범의 PC는 먹통이 됩니다.

이와 동시에 위에서 설명한 계정 정지처리를 동시에 진행하는 등
다방면으로 유포에 대응하고 차단하게 됩니다.


아래 영상들은 덤으로 테스트해보았습니다.


스카이프일 경우

마찬가지로 맛이 가버리는 모습을 확인할 수 있었습니다.

본 테스트 환경은 기가네트워크를 사용한 환경임에도 불구하고  
저렇게 튕겨나가는데,

보안에 신경도 안쓰는 조선족 협박범이
느린 네트워크로 해당 공격을 받으면 어떻게 될지는 상상에 맡깁니다.


물론 여기도 트랩이 하나 설치되어있습니다.



이러한 상황에서, 협박범이 동영상을 유포하게 되면 
해당 영상은 맨 위로 올라가게 됩니다.


그리고 팀 카시아에서 자체적으로 운용중인 계정들에서 동시에 발송하게 되면
평균 이론적으로는 네트워크 환경에 따라서

1message=0.23/ms~0.58/ms 이므로
1개의 계정에서 10초에 50개~20개의 메세지가 올라갑니다.


10개의 계정을 사용한다고 가정했을 경우  
약 10초에  500~200개의 메세지가 전달되며, 
해당 메세지가 999개를 초과하게 될 경우

지인들이 휴대폰으로 접속하게 되면, 방의 맨 끝 대화가 보이게 됩니다.
[성능에 따라서 다르기는 합니다.]


동영상을 확인할 수 없게 되는거죠.
확인한다고 해도 극히 일부일뿐입니다.


여기에 해당 프로그램 구동과 동시에,
똑같이 합성 영상을 대거 올려줍니다.
[물론 음란물 유포에 해당하지 않게 조절합니다.]


그럼 지인들은 누가 누구 동영상인지 구별이 가지 않겠죠?


이러한 작업은 특정 네트워크 환경이 구축된 상태에서 가능하므로,
어설프게 해당 방법을 따라하는 경우는 없기를 바랍니다.
괜히 협박범을 자극하는 행위가 될 수 있습니다.



8)C&C서버에 더미 데이터 삽입
연락처를 직접적으로 제거하는 방식 외에도, 
아래와 같이 더미 데이터를 가짜로 삽입하는 방법도 있습니다.

위와 같이 소스코드를 보게 되면,
어떤 테이블 명으로 데이터를 업로드하는지 알 수 있습니다.
해당 내용을 기반으로 

위와 같이 데이터를 가짜로 삽입할 수 있습니다.

조금 더 응용하여, 해당 전화번호를 진짜 피해자 연락처로 기재하여두고
지인들의 연락처만 가짜 데이터로 삽입하게 되면
유포를 한다고 하여도 엉뚱한곳으로 날아가게 될겁니다.


이렇게말이죠.










 
마찬가지로 그누보드 또한 조작이 가능합니다.


아 물론,



 
BANNED

이런것도 가능합니다.


팀 카시아

이런것도 가능합니다.


9)추가 C&C서버 파악 및 접근, 데이터 삭제처리


간혹 C&C서버에 추가적인 호스트 서버가 존재하는 경우가 있습니다.
이러한 서버의 경우에는 해당 서버까지 확인해야만 합니다.


그러나 현재 존재하는 업체들 중에서는 이러한 내용은 모두 배제한 상태로
피해자들을 그저 안심시키는 척 하며 돈을 받기에 급급한 모습들이
상당하다는것을 알 수 있습니다.


실제 협박범의 서버를 확인하여보면, 부가적으로 호스팅 서버들이
존재하는 모습들을 확인할 수 있습니다.


이러한 서버는 주로 몸캠피씽용 서버로 사용되는것이 아니라,
조선족들이 이러한 사기행각과 동시에 만남 사기같은 부수적인 작업도
진행하기 때문에 이러한 용도의 서버로 사용되고 있습니다.

하지만 간혹 서버에 부가적인 데이터들이 잔류되어있을 수 있으므로
확인이 필요합니다.


크롤링했을 경우 내부에 별 이상없는 추가 호스트서버

크롤링 시 위와 같이 별 이상이 없는 경우도 많습니다.

실제로 확인하여 본 결과, 일부 협박범의 서버에서는 아래와 같이
휴대폰 소액결제 사기를 유도하고 있는 경우가 있었습니다.


아무것도없이 본인인증 창만 달랑 있는 사기홈페이지.

해당 사이트는 실질적으로 운용되고 있지도 않으면서
메인 페이지에 휴대폰본인인증과 결제를 유도함으로써
소액결제를 유도하고 있습니다.


가만히 있으면 위와 같은 메세지가 날아온다.


피해자들은 이러한 사기에 2차적으로 노출될 수 있으므로
주의가 필요합니다.

10)실질적으로 운용되고 있는
2차 C&C서버 데이터 확인 및 삭제작업처리


위와 같은 내용과 별도로, 실질적으로 해당 서버에서  
다른 서버로 유도하는 경우가 존재합니다.

조금 더 상세하게 설명드리면, 아래와 같습니다.

협박범이 다운로드 받으라고 준 
음성지원.apk 파일을 연락처 삭제를 위하여 확인하여 보니,

103.***.***.93 이라는 서버로 전송되게끔 설정되어 있었습니다.


그리고 이러한 페이지의 파라미터를 제거하고
메인 index.html 페이지로 접근하니,


위와 같이 1.apk 라는 파일이 추가적으로 다운로드 되었습니다.

즉,음성지원.apk 파일로 피해를 입은 피해자들의 연락처 정보를 103.***.***.93 이라는 페이지에 저장하고


이와 별개로 아직 몸캠피씽에 노출되지 않은 피해자들에게는  
103.***.***.93/1.apk 파일을 다운받으라며 
주소 형태로 제공하는것을 알 수 있었습니다.

서버 활용도 수준이 갈수록 진화하는군요.

1.apk 파일을 뜯어보니 
43.***.***.139 서버로 연락처 정보가 저장되게 설정되어있었습니다.


실제 해당 APK와 서버를 돌려가면서 사용하고 있다.

해당 호스트 스캐닝

이러한 서버까지 접근해주어야 합니다.

11) IDC 서버에 접근하여 유출된 데이터의 
백업본 존재여부를 확인합니다.


Windows server를 임대해 그 위에 C&C서버를 운용하는 협박범의 특성상
이러한 서버 내부에는 데이터를 저장하지 않는 경우가 일반적이나

D:\www 로 시작하는 웹 사이트를 제외한 공유폴더들에 데이터를
저장하는 경우가 존재하기도 합니다.


따라서 팀 카시아에서는 연락처 삭제작업을 진행하는 경우,
해당 웹 서비스의 취약점을 사용하여 Webshell 을 업로드 하기도 합니다.


실제 Webshell을 업로드 한 모습


그 이후 관리자 획득 과정을 거쳐,
해당 서버에 대한 모든 권한을 획득하게 되며


여기에 파일업로드→RAT(Remote Administrator Tool)를사용하여 
해당 Windows(IDC) 서버에 대한 원격제어 권한을
획득할 수 있습니다.


RAT 실제 사용모습

그리고 이렇게 윈도우를 통째로 삭제해주는것도 가능하죠.



혹은 아래와 같이 RDP를 통하여 접근할수도 있습니다.



RDP를 통하여 해당 서버에 컨택한모습.


웹서버를 통하여 1차적인 데이터를 삭제한 뒤에도
IDC(Windows Server) 서버에서 재 검토를 통하여
이러한 데이터가 존재하는지 확인하여 삭제처리합니다.



이외에도 다양한 접근 방법들이 존재합니다.



MS08-067 취약점

자체 취약점을 공격하여,

ID/PW를 팀 카시아로 변경함

서버 접속 ID와 Password를 변경해줍니다 ^-^

이후 해당 서버에 접속하게 되면,


비어있는 일반 운용서버

이렇게 텅텅 비어있는 경우가 있으며,


데이터가 있는 서버

이렇게 연락처가 백업되어있는 경우도 있습니다.
무슨생각으로 여기에 백업한건지는 모르겠지만, 삭제해줍니다.


파일 유무 체크 가능 취약점

사실 구태여 서버내부에 접근하지 않아도 다른 서비스들을 통하여
시스템에 엑세스할 수 있습니다.

위에서 언급하였듯 메인 바탕화면에 이러한 데이터를 저장하게 되면 
이 부분은 FTP 서버나 다른 서비스에서 확인 할 수가 없기 때문에
가능한 서버와 Reverse Shell 을 구축하여
해당 서버에 대한 모든 권한을 획득하는게 좋습니다.


IDC서버에 백업을 하는 경우는 드물며
백업이라는것이 언제 어디에 어떻게 되어있는지
이를 모두 파악하고 삭제하는것은 사실 상 어렵기 때문에,
최대한 빠른 시간내에 모든 서비스들을 확인하고 확보하여야 합니다.

12)동작중인 모든 서비스들 찾아내어 해당 서비스들을 검토합니다.

이러한 Windows 서버는 여러가지 서비스들로 이루어져 있습니다.
연락처가 저장되는 C&C 서버 또한,
 웹 서비스를 사용하여  Windows 서버 위에서 동작합니다.


해당 서버 스캔

만약 IDC 서버에 접근하는게 수월치 않을 경우
이러한 서비스들의 취약점을 사용하여 exploit 합니다.

FTP bounce라도 되는 서버가 있으면 작업이 매우 수월해집니다.


SQL 사용(사실상 필수불가결한 요소)

이렇게 SQL 을 사용한다는것도
기본적으로 APK만 분석해도 확인이 가능합니다.
(사실 필수불가결 하게 사용할 수 밖에 없는게 현실이죠.)


SQL 사용 [2]
그럼 해당 SQL 데이터 또한
취약점을 통하여 계정을 생성하고
계정 엑세스 권한을 통하여


실제 데이터 삭제

위와 같이 삭제해버려주면 끝입니다.

13)해당 서버들 감시 및 클로징(FTP 제외)

이러한 서비스들이 운용되는 서버를 중단시킵니다.
[이 경우, 연락처가 저장되는 웹 서비스인 C&C서버도 같이 사라집니다.]
물론, 해당 서버의 보안 패치 수준 및 취약점 여부에 따라서
모두 달라집니다.

실제 팀 카시아에서 수정한 Exploit Code

14)기타 잔류 데이터 확인 작업
위에서 설명드린 작업 외에도 다방면으로 분석해야할 정보들이 많습니다.


연결된 앱 및 사이트 분석[구글]

협박범은 블루스택을 주로 사용하며 협박 수단을 운용하게 되는데
블루스택의 경우 필수적으로 구글 GMAIL 계정이 필요합니다.
플레이스토어를 사용하기 위해서는 반드시 거쳐야 하는 과정입니다.


이러한 점을 이용하여, 협박범의 구글 Account 를 취득하게 되면
연결된 사이트 및 어플리케이션을 모두 확보할 수 있습니다.


검색한 모든 데이터 및 활동 기록 확인이 가능하다.

또한 해당 계정으로 언제, 무슨 내용을 검색하고 확인하였는지를 통해
어떤 문자메세지 사이트를 이용하여 동영상을 유포하는지 확인할 수 있고
추가적인 위협에 대비할 수 있습니다.

협박범이 예상치 못한 루트에 이러한 데이터를 백업하여두거나
접근할 수 없는 곳에 백업하여 두었을 경우를 대비하여
유포 대응 시스템과 동시에 진행해야 하며, 동시에 협박범의 어카운트에
잔류 데이터가 존재하는지 파악하여 제거해야합니다.


15)FTP 서버에 트래커 설치, 추후 감시 동향 관찰

일반적으로 웹 서버에 협박범이 얼마나 접속했으며,
데이터에는무슨 변경이 있었는지 쉽게 파악할 수 있습니다.
[해당 부분은 협박범에게 노출되면 안되는 데이터로, 공개하지 않습니다.]


16)P2P 사이트 스캐닝을 통해 영상이 업로드 되었는지 확인


P2P사이트에 업로드된 실제 영상

위와 같이 협박범들은 이러한 동영상을 P2P사이트에 업로드하여
수익을 창출하기도 합니다.

추후 설명하겠지만, 게이사이트에도 판매하고
보복용으로도 업로드하는 등  
수익 창출을 위해서라면 물 불 가리지 않는 지독한 놈들입니다.

해당 동영상 존재시, 
Hash값을 통하여 해당 영상이 재 업로드 되지 못하도록 방지처리하며
삭제처리하게 됩니다.

17)구글 시스템과 더불어 오토 크롤링 시스템 구축, 공개된 월드와이드웹 상에 관련 키워드로 게시글 업로드를 확인하여 자동 수집 및 삭제요청

일반적으로 구글 로봇의 경우 대부분의 사이트에서 데이터를 수집합니다.
그 양은 무척이나 방대하기 때문에, 협박범이 동영상을 특정 사이트에
게시한다고 가정하여도 수집하여 확인할 수 있습니다.


알림 시스템

그러나 이러한 구글로는 한계가 있으며,
팀 카시아에서 자체적으로 제작한 시스템에 의하여  
별도 모니터링 및 수집과정을 거치게 됩니다.

그리고 이러한 시스템을 통하여,협박범들이 주로 업로드하는 사이트들을
모두 파악하게 됩니다.


그리고 계정 권한을 획득하거나 정지처리를 통하여
해당 영상을 삭제합니다.


실제 성인 사이트에 업로드된 피해자의 영상

그리고 협박범들이 이렇게 영상을 업로드하여두면


해당 계정 파악

ID/PW 탈취 후 삭제처리 완료

ID/PW를 탈취하여 삭제처리하면 됩니다.

협박범들은 이러한 동영상이 한개에 몇만원에 팔린다는 사실을 토대로
게이사이트 등에 업로드하는 경우도 종종 있습니다.

페이스북 혹은 카카오톡 프로필 사진 등의 이미지를 확보하여


실제 업로드되어있는 이미지들




 

 
위와 같이 팔아버립니다.
이러한 내용은 키워드로는 확보할 수 없기 때문에, 
가능한 모든 사이트를  확보하여 크롤링 한 뒤, 
자동으로 데이터가 업로드된게 있는지 확인하는 오토 시스템을 거쳐,
해당 영상,이미지를 삭제처리합니다.


추후 검색에 반영되지 않게끔


Old-Link Deleted Console(Google)

남은 잔류 로그까지 삭제처리합니다.


18)~21) 네트워크 터미널 스캐닝/접속차단/윈도우즈스캐닝/외부루트확인

해당 부분은 회의 결과, 
모방 가능성이 크다고 판단하여공개하지 않기로 결정하였습니다.


대체 이미지[1]-Wireshark

22)유튜브 및 비공개 사이트 검토
협박범들은 이러한 동영상을 유튜브에도 업로드 하고 있습니다.
물론 모든 협박범들이 업로드하는것은 아니지만, 대부분의 협박범들은
추가적인 협박을 위하여 업로드하여두거나, 위에서 언급한 게이사이트 등
판매를 위하여 보관하는것으로 추측됩니다.



실제 업로드된 비공개 영상,해당 계정 권한 획득으로 관리자패널에서 확인 가능


해당 이미지를 보면 비공개라고 표시되어있는것을 확인할 수 있습니다.
즉, 구글 계정을 확보하지 않는 이상은 확인 할 수 없는
Deep-scan 작업입니다.

그리고 이러한 비공개 계정은 유일하게 팀 카시아에서 확보가 가능합니다.

실제 협박범의 PC가 담겨있는 영상을 확인하여보면



실제 협박범의 PC 내부가 녹화된 영상
협박범은 youtube.txt라는 파일을 별도로 보유하고 있습니다.
그리고 해당 협박범의 계정을 탈취하여 접근하여보면,

 



유튜브 비공개 영상들 및 관리자패널
위와 같이 유튜브에 다른 피해자들의 영상이 업로드되어있음을 확인할 수 있습니다.

다른 계정들 또한 확인하여 보면,


 

업로드 되어있는 영상들(협박범 계정들)


 


업로드 되어있는 영상들[2]


모바일에서 관리자 패널 접근

위와 같이 모두 업로딩 되어있었습니다.

해당영상을 삭제처리하고, 복구가 불가능하도록
해당 계정을 탈퇴처리 시킴으로써 종결됩니다.

그리고 만약 계정에 대한 엑세스 권한을 획득하기가 어렵다면
별도로 정지 신청기능 또한 존재합니다.




 

해당 계정 삭제처리
삭제처리를 하면 위와 같이 더 이상 해당 계정을 사용할 수 없습니다.


해당 어카운트 파기처리


 


업로드 되어있던 영상들


 


해당 계정 정지처리 및 영상 삭제처리
그리고 이러한 영상이 가끔, 불법 성인사이트에 업로드되기도 합니다.


실제 업로드되어있던 영상

23)협박범 전화번호에 통화 불가능 유지


협박범은 영상통화 촬영 이후, 특정 번호로 연락을 가해옵니다.
그리고 피해자에게 돈을 요구하기 위하여
해당 번호를 지속적으로 사용할 수 밖에는 없지요. 



이러한 점을 역으로 이용하여
팀 카시아에서도 똑같이 +00000000 등의 번호로 협박범의 통화에  
콜링하여, 통화를 할 수 없게끔 유지하는 방법이 있습니다.

그러나 해당 팀 카시아의 번호를 여기서 노출시킬 수는 없기에, 해당 부분은 공개하지 않도록 하겠습니다.


24)APK 파일 취약점 검토 및 시스템 응용


APK 파일을 통해서도 취약점 분석 및 접근이 가능합니다.
사실 상 잘 사용하지는 않습니다만, 가끔 모든 작업에서 어려움이 있거나  
변수가 존재할 경우에 최후의 수단으로 사용되기도 합니다.

본 팀 카시아는정보통신망 촉진 및 이용에 관한 법률 규정을준수 하고자 노력하며 피해자를 위한  모든 시스템은 가장 효율적인 삭제및 차단 등을  선택하게 구축되어 있습니다.언제나 피해자의 편에서,진실되게 최선을 다하겠습니다.

-팀 카시아 운영진 일동 드림-