이 보고서에는 링크엔 스피어 탐지 방지 브라우저에 대한 자세한 분석이 포함되어 있으며 레코디드 퓨처® 플랫폼, 언더그라운드 포럼, 링크엔 스피어의 공식 웹사이트 및 포럼, OSINT를 기반으로 합니다. 이 프로필은 사이버 범죄자의 표적이 되는 금융, 전자상거래, 소셜 미디어 기업, 지하 커뮤니티 내 불법 활동을 추적하려는 조직, 그리고 사이버 범죄자가 사기 탐지 시스템을 우회하기 위해 사용하는 인기 도구를 이해하고자 하는 모든 사람에게 가장 큰 관심을 끌 것입니다. 이 보고서는 인식트 그룹이 테네브리스 팀 도구에 대해 진행한 연구의 첫 번째 부분입니다. 심층적인 기술적 분석은 후속 연구를 통해 제공될 예정입니다.

Executive Summary

전 세계의 여러 전자상거래 및 금융 조직은 합법적인 사용자의 활동을 모방하는 도구를 사용하여 보안 메커니즘을 우회하거나 무력화하려는 사이버 범죄자들의 표적이 되고 있습니다. 탐지 방지 브라우저인 Linken Sphere는 현재 이러한 종류의 도구 중 가장 인기 있는 도구 중 하나입니다.

모든 웹 브라우저에는 다른 웹사이트가 합법성을 확인하기 위해 사용하는 고유한 '지문'이 있습니다. 전자상거래 회사와 은행은 종종 이러한 유형의 핑거프린팅을 사용하여 이전에 안전하지 않거나 사기 행위에 연루된 것으로 인식된 브라우저의 거래를 차단합니다. 사기 방지 시스템에는 의심스러운 IP 주소와 가상 머신을 식별하는 기능이 있기 때문에 사이버 범죄자들이 다양한 가상 머신, 프록시, VPN 서버를 사용하는 관행은 그다지 효과적이지 않습니다. 그 결과, 사이버 범죄자들은 합법적인 사용자의 활동을 모방하여 모든 웹 브라우저 구성을 동적으로 변경하고 새로운 구성을 무제한으로 생성할 수 있는 Linken Sphere와 같은 탐지 방지 소프트웨어를 개발했습니다.

링켄 스피어는 2017년 7월 4일에 "그럼에도 불구하고" 위협 행위자에 의해 여러 러시아어권 지하 포럼에서 처음 소개되었습니다. Linken Sphere를 사용하면 실제 사용자의 활동을 모방하고 고유한 기기 지문을 제공하는 여러 가상 계정을 만들 수 있습니다. 그 결과, 사기 방지 시스템을 우회하려는 사이버 범죄자들 사이에서 Linken Sphere가 인기를 얻고 있습니다.

주요 판단

• Linken Sphere는 사이버 범죄자가 실제 사용자의 행동을 모방하여 다양한 조직의 사기 방지 시스템을 우회할 수 있는 Chromium 기반 웹 브라우저입니다.
• 이 사용자 모방 기술은 인간 행동을 모방하고 AI 기반 사기 탐지 시스템을 속이기 위해 지능형 타이밍을 포함하며, 단순한 PHP 스크립트 기반 채팅봇부터 더 복잡한 AI 기반 채팅봇 프로그램까지 연결할 수 있는 API를 제공합니다. 만약 이러한 사용자 모방 기술이 완벽하게 작동한다면, 실제로 1950년대 컴퓨터 과학의 선구자 알란 튜링이 인간과 구분할 수 없을 정도로 지능적으로 행동하는지 판단하기 위해 정의한 유명한 튜링 테스트를 통과할 것입니다. 현재까지 이 테스트를 통과한 시스템은 단 한 건도 없습니다. 최근 몇 년간 수많은 주장이 제기되었음에도 불구하고 말이죠.
• 사이버 범죄자는 Linken Sphere를 사용하여 다양한 운영 체제와 호환되는 계정을 무제한으로 만들 수 있습니다.
• 2017년 7월에 출시되어 상당한 기능, 경제성, 고품질 기술 지원, 주요 언더그라운드 포럼을 통한 광고로 다크웹에서 빠르게 인지도를 확보한 Linken Sphere.
• 링크엔 스피어의 공식 포럼인 테네브리스 팀 포럼은 2018년 5월에 만들어졌으며, 공식 구매 웹사이트는 ls.tenebris[.]cc입니다.
• 2019년 6월 1일, 이전 버전의 기능 결함에 대한 고객 불만이 증가함에 따라 Linken Sphere는 버전 7.99로 업데이트되었습니다.

링켄 스피어 공식 로고.

배경

Linken Sphere(러시아어로 "Сфера"라고 함)는 사이버 범죄자들이 금융 기관의 사기 방지 시스템을 우회하기 위해 널리 사용하는 다기능 다목적 탐지 방지 브라우저 및 소프트웨어입니다. 2017년 7월 4일 러시아어를 사용하는 위협 행위자 "그럼에도 불구하고"에 의해 다크웹에 처음 소개되었습니다. 이 위협 행위자는 Linken Sphere의 공식 포럼인 테네브리스 팀 포럼의 관리자 중 한 명이기도 합니다.

링크엔 스피어 팀의 다른 직원으로는 "dev.tenebris"가 있습니다. 제품의 기술 개발 및 지원을 담당하는 테네브리스 팀 포럼의 또 다른 관리자이자 위협 행위자인 'S1neka', 'KirillGochan', 'Zimbabve'는 모두 모더레이터로 활동하고 있습니다.

링크엔 스피어는 사이버 범죄자들 사이에서 인기가 있지만, 제작자는 다음과 같은 그룹이 합법적인 용도로 사용하기 위해 공식적으로 만든 것이라고 주장합니다:

• 침투 테스트기
• 소셜 미디어 전문가
• 키워드 검색을 기반으로 광고를 제작하는 전문가
• 온라인 도박 및 게임용 계정을 여러 개 만들어 주최자가 제공하는 특정 거래에서 금전적 보너스를 받는 보너스 헌터
• 개인 정보 보호 옹호자
• 업무상 여러 개의 계정을 동시에 운영하는 경우

프로젝트의 저자들은 러시아와 우크라이나에서 공개적으로 컨퍼런스를 개최하며, 러시아어와 영어를 사용하는시청자들을 대상으로 유튜브 홍보 영상을 제작합니다.

테네브리스 팀 포럼에 따르면 2019년 9월 13일에 출시된 최신 Linken Sphere 버전인 7.996의 라이선스에는 세 가지 유형이 있습니다:

• '라이트', 월 $100
• "6개월간 500달러의 'PRO' 요금제로, 제품 1개월 무료 체험을 포함하여 스토어에 액세스할 수 있는 구성이 제공됩니다.
• '프리미엄'은 12개월간 900달러로, 3개월 무료 체험을 포함하여 스토어 구성 및 우선 서비스를 이용할 수 있습니다.

규칙에 따라 라이선스를 제삼자에게 양도하는 것은 가능하지만 구매자와 판매자는 지원 서비스에 연락하여 이 거래를 확인해야 합니다.

링크엔 스피어는 세 가지 유형의 라이선스를 제공합니다: 라이트, PRO, 프리미엄입니다.

링크엔 스피어에 대한 기술 문서는 영어, 러시아어, 스페인어, 독일어, 중국어로 제공됩니다. 개발자는 신규 사용자가 토르를 통해 연결하여 새로운 링켄 스피어 계정을 생성하고 구성할 것을 권장합니다.

개인 계정을 승인하면 사용자는 사용자 패널의 기능에 액세스할 수 있습니다. 사용자 패널의 기본 옵션은 다음과 같습니다:

• "성공 계정 " - 활성화된 (현재) 계정을 표시합니다.
• "현재 잔액"(러시아어, "Тарифный план") - 계좌의 현재 잔액을 보충 옵션과 함께 표시합니다.
• "테스트 구매"("Купить тест" ) - 계정당 한 번만 Light 라이선스를 테스트 구매할 수 있습니다.
• "라이선스"("라이선스 ") - 활성 라이선스 유형과 남은 유효 기간에 대한 정보를 갱신 옵션과 함께 표시합니다.
• "거래"("Транзакции ") - 거래 활동이 있는 암호화폐 지갑을 포함한 사용자 계정 활동을 표시합니다.
• "운영" ("Операции") - 구매한 모든 라이선스 및 구성을 표시합니다.
• "컨피그샵"("Конфигшоп" ) - 구성 스토어에 대한 액세스를 제공합니다.
• "사용자 에이전트"("Юзерагенты ") - PRO 및 프리미엄 라이선스에 사용 가능한 구성을 표시합니다.
• "설치 관리자"("Установщик ") - 소프트웨어 설치 안내를 제공합니다.
• "지원 티켓"("Тикеты" ) - 티켓 시스템은 Linken Sphere 사용자를 위한 기술 및 일반 지원을 제공합니다.
• "자동 보증 서비스"(Гарант ) - 거래 및 거래로 인한 잠재적 위험을 줄이기 위한 에스크로 서비스 시스템입니다.

개발자에 따르면 이 소프트웨어는 Windows(x64) 버전 7, 8, 10, 요세미티부터 시작되는 macOS, Linux OS 등 다양한 운영 체제와 호환됩니다: 우분투, 리눅스, 민트, 칼리 리눅스, 젠투(리눅스 계산), 페도라, 데비안, 오픈수세, 슬랙웨어, 마게이아, PCLinux, 쿠분투. 이 글을 작성하는 시점에서 Linken Sphere 버전 7.99 이상은 Linux OS에 설치할 수 없습니다. Linken Sphere는 로컬 또는 원격 컴퓨터는 물론 VMWare 또는 VirtualBox와 같은 가상 머신에도 설치할 수 있습니다. PC 시스템의 최소 요구 사양은 다음과 같습니다: 2xCore 1.7GHz, 2Gb RAM. Linken Sphere는 여러 디바이스에 다운로드하여 설치할 수 있지만, 한 번에 하나의 계정만 허용됩니다. 사용자 데이터는 세션의 클라우드 저장소에 저장되며, Linken Sphere를 제거하거나 다시 설치한 후에도 저장됩니다.

2017년부터 2019년까지 링크엔 스피어는 다크웹에 광고를 게재했습니다. (출처: 레코딩된 미래)

위협 분석

위협 행위자 '그럼에도 불구하고'가 Tenebris 팀 포럼과 공식 웹사이트 ls.tenebris[.]cc에 설명한 링크엔 스피어의 일반적인 기술 사양은 아래에 나와 있습니다:

• 링크엔 스피어는 크롬 웹 브라우저를 기반으로 하며, 개발자는 소스 코드를 사용하고 구글에서 활성화한 모든 추적 기능을 제거했습니다.
• '비공개 메시징' 모드에서 작동합니다.
• 숨겨진 Google 서비스를 사용하지 않습니다.
• AES 256 알고리즘을 사용하여 저장된 모든 데이터를 암호화합니다.
• HTTP, SOCKS, SSH, TOR, TOR + SSH, DYNAMIC SOCKS 등 다양한 프로토콜을 통해 인터넷에 연결합니다.
• 각 세션은 새로운 구성을 생성하며 사용자는 여러 가상 머신이 필요하지 않습니다.
• 멀티 스레드 모드에서 다양한 유형의 연결로 동시에 작업할 수 있습니다.
• 사용자 에이전트, 확장 프로그램, 언어, 지리적 위치 및 기타 여러 매개 변수의 구성을 정기적으로 업데이트하여 실시간으로 변경할 수 있는 전문 탐지 기능이 내장되어 있습니다.
• 매 세션마다 지문과 쿠키 파일을 저장하여 가상 머신 간에 전환할 필요 없이 여러 사용자가 저장된 세션을 사용할 수 있습니다.
• 사전 예방적으로 익명으로 안전하게 작업을 시작하기 위해 특정 설정이 필요하지 않습니다.
• 사용자가 시간과 지리적 위치를 즉시 구성할 수 있도록 위치 데이터베이스 GeoIP2 MaxMind가 내장된 라이선스가 포함되어 있습니다.
• 러시아어로 "Прогреватор"라고 불리는 WebEmulator는 자동화된 모드에서 웹사이트를 "워밍업"하기 위해 만들어진 옵션입니다. 이 기능을 사용하면 새 계정으로 작업하기 전에 웹사이트 간에 필요한 쿠키 파일을 자동으로 수집할 수 있습니다. 웹 에뮬레이터는 멀티 스레드 모드로 백그라운드에서 작동하므로 방문한 페이지 수, 각 페이지에서 보낸 시간, 일시 중지, 방문 간 지연 등 웹사이트 방문에 대한 매개변수를 설정할 수 있습니다. 웹 에뮬레이터는 작업 완료 후 알림을 활성화합니다.

쿠키 파일 자동 수집을 위한 웹 에뮬레이터 모듈입니다.

링크엔 스피어는 사용자가 WebRTC를 통해 고의적으로 가짜 IP를 유출할 수 있게 해줍니다. 이 기능은 전체 세션 동안 활성화되며 가짜 IP 주소를 유출하고 합법적인 사용자로 가장하여 표적 조직을 오도합니다. 또한 프록시파이어, 비트바이스, 플링크를 통한 연결도 허용합니다.

웹 에뮬레이터는 백그라운드 모드에서 웹사이트를 방문하면서 텍스트를 복사할 때 터치스크린, 모바일 장치, 수동 및 자동 입력 에뮬레이션을 제공하여 실제 사용자의 행동을 모방하고 해당 계정에 대한 신뢰 수준을 높입니다.

2019년 6월 1일, 테네브리스 팀 포럼 개발자들은 링크엔 스피어 7.99 버전을 발표했습니다. 새 버전은 이전 버전이 충분한 익명성을 제공하지 못한다는 사용자들의 불만이 증가함에 따라 이를 해결하기 위한 것으로 보입니다. 개발자들은 이전 릴리스가 다음과 같은 새로운 기능으로 수정되었다고 밝혔습니다:

• 자동화기 (러시아어, "Автоматор") - Linken Sphere가 인간 행동 에뮬레이션을 통해 CAPTCHA를 우회 할 수있는 업데이트 된 모듈로, 개발자에 따르면 새 계정 자동 등록에 유용합니다.
• 손쉬운 액세스를 위한 비밀번호 저장 및 암호화 기능
• 쿠키 파일 저장 및 편집 기능
• 쿠키 파일을 활성 컴퓨터에 저장하는 새로운 로컬 백업 알고리즘으로 느리거나 불안정한 인터넷 연결로 인한 쿠키 파일 손실을 방지합니다.
• 지능형 타이밍 알고리즘을 사용하여 자동화된 입력을 식별할 수 있는 대부분의 머신러닝 사기 방지 탐지 시스템을 무력화하는 새로운 인간 텍스트 입력 에뮬레이션 메커니즘

"Simple" - 원격 장치를 사용하는 동안 Linken Sphere 작동 속도를 높여주는 새로운 사용자 인터페이스입니다.

• 세션 동기화 - 연결된 모든 장치를 사용하여 모든 데이터에 액세스할 수 있는 가상 오피스를 생성하는 새로운 기능으로, 파트너가 서로 필요한 세션을 전송할 수 있을 뿐만 아니라 동시에 많은 양의 정보로 작업을 초기화하여 이러한 세션의 상태와 가장 중요한 정보를 표시할 수 있습니다.

웹사이트 캡차 우회를 위한 자동화 모듈입니다.

네트워크 연결

Linken Sphere는 "세션"이라고 하는 방식으로 여러 사용자를 동시에 인터넷에 연결할 수 있습니다. 각 세션의 이름은 개별적으로 지정할 수 있습니다. Linken Sphere는 여러 기기에서 작업할 수 있으며 특정 하드웨어에 종속되지 않습니다. 사용자는 다양한 운영 체제를 사용하는 여러 기기에서 브라우저를 사용할 수 있지만, 한 번에 하나의 사용자 아이디와 비밀번호로만 작업할 수 있습니다. 개발자들은 클라우드 액세스를 통해 사용자가 어떤 기기에서든 Linken Sphere를 실행할 수 있다고 밝혔습니다.

각 세션 연결은 다음과 같은 방법으로 개별적으로 구성할 수 있습니다:

• ** 프록시 없음<: 인터넷에 직접 연결
• 토르: 토르 브라우저를 통해 연결
• 보안 소켓 셸(SSH) 터널: SSH를 통한 Linken Sphere 원격 구간 터널링
• 토르 + SSH 터널: Tor 프록시를 통해 실행되는 SSH (암호화된) 터널링
• 동적 SOCKS: SOCKS를 통한 SSH 동적 포트 포워딩은 단일 포트가 아닌 다양한 포트를 통한 통신을 허용합니다. 이 옵션은 SSH가 SOCKS 프록시 서버로 작동하도록 합니다.
• SOCKS5: 인증된 사용자만 서버에 액세스할 수 있도록 인증을 제공하는 인터넷 프로토콜로, TCP 및 UDP 프로토콜을 모두 지원합니다.
• 하이퍼텍스트 전송 프로토콜(HTTP) 연결
• 구체 SOCKS: 링크엔 스피어 개발자가 제공하는 SOCKS

세션 설정 인터페이스를 통해 사용자는 다양한 프로토콜을 통해 적절한 연결을 선택할 수 있습니다.

지문

개발자에 따르면 Linken Sphere에는 약 50,000개의 장치 지문과 사용자 지정 지문을 추가로 생성할 수 있는 구성 생성기가 포함되어 있습니다. PRO 및 프리미엄 라이선스 사용자는 정기적으로 업데이트되는 테네브리스 팀 포럼에서 약 150,000개의 지문과 13,000명의 사용자 에이전트에 액세스할 수 있습니다.

링켄 스피어는 다음과 같은 지문을 수정할 수 있습니다:

• 캔버스: 웹 페이지에 그래픽을 표시하는 HTML5 캔버스 요소의 일부로, 비디오 시스템의 기능으로 사용자를 식별하는 데 널리 사용됩니다.
• 글꼴: 사용자를 식별하는 데 사용할 수 있는 또 다른 요소
• 플러그인: 설치 및 활성화된 플러그인은 사용자 식별에 도움이 됩니다.
• 오디오(음향) 지문: 오디오 핑거프린트의 역할은 소리의 시그니처를 포착하여 다른 소리와 구별할 수 있도록 하는 것입니다.
• WebGL: 플러그인을 사용하지 않고 웹 브라우저에서 3D 그래픽으로 작업할 수 있는 자바스크립트 API입니다.
• 지리적 위치: 사기 방지 시스템은 사용자의 IP 주소와 실제 지리적 위치를 비교할 수 있습니다.
• ClientRect: 이미지 스케일링의 결과로 얻은 해시를 사용하여 사용자를 식별하는 방법
• 우버쿠키: 장치를 식별할 수 있는 ClientRect 및 오디오 지문의 해시입니다.
• 웹 실시간 통신(WebRTC)(디바이스 해시 포함): 마이크나 카메라와 같은 미디어 서비스에 대한 디바이스 직접 연결에 사용되는 기술로, WebRTC가 VPN 및 프록시 서비스를 우회하여 실제 IP 주소를 얻을 수 있도록 하며, 카메라와 마이크에는 자체 위치 표시기가 있어 변경이 필요합니다.
• CSS(캐스케이딩 스타일 시트): CSS 기술을 사용하여 창의 실제 확장을 식별하는 데 사용되는 방법입니다.
• 터치 에뮬레이션: 마우스 커서를 표시하지 않고 터치 스크린 에뮬레이션을 허용하는 방법; 사용자 에이전트를 휴대용 장치로 설정한 후에도 사기 방지 시스템은 마우스 커서가 여전히 디스플레이에 있기 때문에 이를 감지할 수 있습니다.
• JS 내비게이터(자바스크립트 윈도우 내비게이터): 시간, 언어 및 확장자, 프로그램에 대한 정보와 함께 전송되는 웹 브라우저의 매개변수를 포함합니다.
• HTTP 헤더: 사기 방지 방어를 통해 사용자를 식별할 수 있는 주요 브라우저 지문 중 하나입니다.
• **도메인 이름 시스템(DNS): 각 세션에 대해 자체 DNS를 사용하는 기능
• 로컬 IP 주소: 사용자의 실제 위치를 파악하는 데 도움이 되는 지표입니다.

개발자에 따르면 위에 나열된 지문은 하드웨어에 따라 달라진다고 합니다. 사용자가 동일한 지문을 한 컴퓨터에서 다른 컴퓨터로 전송하는 경우 최종 지문이 달라집니다. WebGL, 글꼴 및 플러그인과 같은 일부 지문은 구성에 포함되어 있지만, 캔버스, 오디오 및 클라이언트 렉트와 같은 다른 지문은 포함되지 않지만 세션이 생성될 때 생성됩니다.

Linken Sphere '컨피그샵' 브라우저 구성

제안에 따르면 개발자는 실제 장치를 에뮬레이트하는 지문을 조합하여 개별 고품질 구성을 제공합니다. 구성당 평균 가격은 $3입니다.

Configshop 인터페이스에 새로운 구성 파일을 구매하고 수입할 수 있는 옵션이 포함되어 있습니다.
PRO 및 Premium 라이선스 사용자로서 세션을 수동으로 구성하려는 사용자는 이 섹션에서 다양한 기기용 무료 신규 사용자 에이전트를 받을 수 있습니다. 사용 가능한 사용자 에이전트 목록은 지속적으로 업데이트됩니다.

PRO 및 프리미엄 라이선스에서 무료 사용자 에이전트를 사용할 수 있습니다.

PRO 및 Premium 라이선스를 보유한 사용자는 한 번에 100개 이하의 구성을 대량으로 가져올 수 있습니다.

위험 완화

레코디드 퓨처는 Linken Sphere 사기 방지 브라우저의 개발을 지속적으로 모니터링하고 고객에게 소프트웨어 업데이트와 새로운 기능을 알려 잠재적인 사기 활동을 식별할 수 있는 사기 방지 시스템에 통합할 수 있도록 지원할 것입니다.

인식트 그룹은 조직 웹사이트 및 네트워크의 표적화로부터 보호하기 위해 다음과 같은 일반적인 조치를 권장합니다:

• 모든 소프트웨어와 애플리케이션, 특히 운영 체제, 바이러스 백신 소프트웨어, 핵심 시스템 유틸리티를 최신 상태로 유지하세요.
• 이메일 서신과 화면 첨부 파일에서 멀웨어를 필터링하세요.
• 시스템을 정기적으로 백업하고 네트워크를 통해 데이터에 쉽게 액세스할 수 없도록 가급적 오프라인, 즉 외부에 백업을 저장하세요.
• 계획된 사고 대응 및 커뮤니케이션 계획을 세우세요.
• 회사에 민감한 데이터의 엄격한 구분을 준수하세요. 특히 직원 계정이나 디바이스에 액세스할 수 있는 모든 사람이 액세스할 수 있는 데이터를 검토하세요(예: 피싱을 통한 디바이스 또는 계정 탈취로 디바이스가 손상된 경우 어떤 일이 발생하는지 살펴보세요).
• 역할 기반 액세스, 회사 전체의 데이터 액세스 제한, 민감한 데이터에 대한 액세스 제한을 진지하게 고려하세요.
• 호스트 기반 제어 사용; 가장 좋은 방어 방법 중 하나는 클라이언트 기반 호스트 로깅 및 침입 탐지 기능을 수행하는 것입니다.
• 네트워크 침입 탐지 시스템, IDS, NetFlow 수집, 호스트 로깅, 웹 프록시와 같은 기본적인 사고 대응 및 탐지 배포와 제어를 구현하고 탐지 소스에 대한 인적 모니터링도 함께 수행하세요.
• 파트너 또는 공급망 보안 표준을 숙지하세요. 에코시스템 파트너를 위한 보안 표준을 모니터링하고 시행하는 것은 모든 조직의 보안 태세에서 중요한 부분입니다.

전망

2017년 출시 이후 광범위한 기능, 고품질 기술 지원, 성공적인 비즈니스 모델을 바탕으로 다크웹에서 주요 탐지 방지 브라우저 중 하나로 자리 잡은 Linken Sphere. 2019년에 Linken Sphere는 새로운 버전 7.99로 업데이트되었으며, 모든 새로운 기능을 갖춘 신제품으로 설명됩니다. 개발자들은 안티디텍트나 프라우드폭스와 같은 탐지 방지 브라우저에 맞서 다크웹에서 경쟁 우위를 잃지 않기 위해 제품을 대폭 개편하기로 결정했을 가능성이 높습니다. 라이선스당 100달러의 저렴한 가격은 대부분의 사이버 범죄자들이 부담할 수 있는 가격이며 신규 사용자 유입에 기여합니다.