웹 해킹 - 크롬 스파이웨어 확장 프로그램 , Bad Extension

크롬 확장자를 이용해 브라우저 전용 스파이웨어를 만들어보았습니다. 

 

우선 대상의 컴퓨터에 설치를 하는 건 상상에 맡기고, 

확장 프로그램을 설치하게 되면 별 다른 이상 증상은 없습니다. 

 

 

 

확장 프로그램 아이콘을 클릭해도 별 다른 기능은 없습니다. 

 

하지만 만약 유저가 다른 페이지로 이동을 할 경우가 생기면

 

공격자의 PC에는 유저가 돌아다닌 페이지의 html 파일과 스크린샷 파일을 다운로드 받게 됩니다. 

 

 

원리:

공격자가 파이썬 Flask로 CDN(콘텐츠 전송 네트워크) 서버를 열게 됩니다. 

이 악성 확장 프로그램은 페이지를 이동할 때마다 공격자에게 자바스크립트 콘텐츠 파일을 요구를 하게 되고, 공격자 서버는 콘텐츠를 제공을 하게 됩니다. 

 

그 제공받는 자바스크립트 파일에는 데이터를 전송하는 ajax 스크립트와 문서를 스크린샷 시켜주는 악성 코드들이 포함되어 있습니다. 

 

우선 스크립트를 실행시켜 유저의 문서를 스크린샷 시킨 다음 스크린샷 이미지 데이터와 html 데이터를 ajax를 통해 공격자의 cdn 서버로 전송 하게 됩니다. 

 

 

보기에는 아무런 증상이 없지만, 실제로 백그라운드 네트워크에서는 유저의 데이터를 이리저리 주고 받게 되는 것입니다. 

 

 

그리고 공격자가 제공하는 CDN은 언제든지 수정이 가능하기 때문에 언제든 공격 방법을 변경할 수 있으며, 로그를 지우는 것 또한 가능합니다. 

 

 

깃허브: 

https://github.com/Logic-01001010/BadExtension_BadCDN

GitHub - Logic-01001010/BadExtension_BadCDN