피드로 돌아가기
Hacker NewsHacker News
Security

Exif 데이터 내 Payload 은닉을 통한 Browser Cache 기반 무요청 페이로드 실행

Exif Smuggling

2026년 6월 9일1advanced

Context

기존 Cache Smuggling 기법을 진화시켜 Web Browser의 이미지 캐싱 메커니즘을 악용한 새로운 공격 벡터 분석. 외부 네트워크 요청 없이 로컬 캐시에서 직접 실행 파일을 추출하는 방식으로 탐지 가능성을 최소화함.

Technical Solution

  • JPG 파일의 Exif 메타데이터 영역에 실행 가능한 DLL Payload를 은닉하는 구조 설계
  • Web Browser의 이미지 캐싱 기능을 활용해 Payload를 사용자 로컬 스토리지에 패시브하게 다운로드
  • 별도의 인터넷 요청 없이 Chrome Browser Cache에서 직접 페이로드를 추출하는 로더(chrome_poc.ps1) 구현
  • Python 기반의 exif_smuggling.py를 통한 임의 JPG 파일 내 바이너리 데이터 임베딩 자동화
  • ClickFix Command 변환 스크립트를 활용한 PowerShell 로더의 난독화 및 실행 경로 은닉

1. 이미지 파일 업로드 시 Exif 메타데이터를 제거하는 Sanitization 프로세스 도입 검토

2. Browser Cache 디렉토리에 대한 비정상적인 파일 접근 및 읽기 패턴 모니터링 강화

3. Content-Type 검증 외에 실제 파일 바이너리의 엔트로피 분석을 통한 스테가노그래피 탐지 적용

원문 읽기