음.


http://www.darkreading.com/application-security/waratek-provides-absolute-detection-of-sql-injection-attacks/d/d-id/1319546


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 주말, 9월 25일부터 26일까지 인터넷 서점 중 하나인 알라딘에서 악성코드를 유포하는 악성 스크립트가 메인 사이트에 삽입된 사건이 있었습니다. 해당 사이트에서는 (얼마나 빨리 대처했는지는 모르지만) 빠른 대응을 통해 악성코드를 제거하고 모니터링을 강화하고 있다고 자사 홈페이지에서 공지로 알리고 있습니다다.

    아래 코드는 어베스트! 안티바이러스 제품에서 알라딘 홈페이지에서 진단한 스크립트의 URL 및 진단 이름입니다. URL의 일부분은 안전을 위해 변경했습니다.

    2010-09-26 오후 1:11:23    http://218.237.66.1xx/End.asp [L] JS:Downloader-RN [Trj] (0)
    2010-09-26 오후 4:45:40    http://210.116.104.xx/l.asp [L] JS:Downloader-RN [Trj] (0)

    그런데, 알라딘 웹사이트에서만 이러한 문제점이 나타난다고 볼 수 있을까요?

    네이버에서 보안에 관련된 유명한 카페 중의 하나인 바제2(바이러스제로 시즌2)에서 악성코드 유포 신고 라는 게시판을 살펴 보면, 거의 매일 유명한(누구나 한번 정도 들어 봄직한) 사이트들이 언급되곤 합니다. 몇 페이지 넘겨가면서 보다 보면, 아! 이것도 '단골'이 있구나 하는 생각이 들기도 합니다.

    게다가,여기 이외에도 발견되는 공격 패턴(예. 스크립트의 URL 경로)을 구글을 이용하여 검색해 보면 다양한 결과를 볼 수도 있습니다.


    실제로 국내 웹사이트의 보안에 대해서는 아무도 선듯 얘기하지 못하는 것이 사실입니다. 잘못 벙긋~ 했다가는 아마도 명예훼손, 업무방해, 해킹 등의 이유로 인해 법정을 왔다갔다할 수 있다는 우려 때문입니다.

    외국의 경우에는 이러한 부분에 대해서는 더 관대(이 용어가 적절한지는 의문이지만)하다고 볼 수 있습니다. 아래는 필자가 외국 웹사이트에서 웹 관련 취약점을 찾아 블로그에 공개한 링크입니다.

    BBC 뉴스: http://moonslab.com/1040 (SQL Injection 취약점)
    애플 아이튠즈: http://moonslab.com/1064 (XSS 취약점)
    마이크로소프트: http://moonslab.com/1089 (XSS 취약점)
    LA 타임즈: http://moonslab.com/1117 (XSS 취약점)

    물론 이렇게 공개는 하지만, 스크립트 키드들이 사용할 수 없도록 일부 정보를 숨기고 있습니다. 아마도 해당 개발자들은 스크린샷에 있는 항목이나 메뉴만 보더라도 문제점을 충분히 유추하여 해결할 수 있을 것으로 보입니다.

    하여튼, 이러한 예로 볼 때, 국내에서 보안에 대한 경각심이나 보안을 강화하고자 하는 노력을 위해서는 보안을 바라보는 시선부터 바꿔야 할 것입니다.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

      이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


      해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

      http://www.bnm.me.gov.ar

      http://www.trabajo.gov.ar

      http://www.cedem.gov.ar

      http://www.sanmartin.gov.ar

      http://www.jusmisiones.gov.ar

      http://www.apostoles.gov.ar

      http://www.cordoba.gov.ar

      http://www.santafecultura.gov.ar

      http://www.mocoreta.gov.ar

      http://www.lasheras.gov.ar

      http://www.dipes.catamarca.gov.ar

      http://www2.berisso.gba.gov.ar

      (이하 생략)


      해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

       

      재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

       

      공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

      해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

      출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

        외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

        현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.

        CL63AMGTART.RU
        HYPERVMSYS.RU
        ML63AMGSTART.RU

        이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


        현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

        한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

        SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

        위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

        위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

        이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

        위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
        <경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

        구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

        필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

        감사합니다.

        출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난 8월 하순에는 전세계가 아닌 국지적인 대규모 SQL 인젝션(Mass SQL Injection) 공격이 발생했습니다. 하지만, 국내의 피해가 적은 관계로 국내의 미디어에서는 별로 알려지지 않았습니다. 그 이유는 영문으로 된 웹 사이트를 공격 대상으로 삼았기 때문입니다.

          하지만, 이번 Mass SQL 인젝션 공격을 좀더 자세하게 분석해 보면, 앞으로 발생할 수 있는 공격의 형태나 대상 등을 미리 짐작할 수 있습니다. 이에 대해 언급하고자 합니다.

          이번 공격을 통해 약 21만 개의 웹 페이지가 감염되었으며, 공격을 주도한 IP는 중국발로 확인되었습니다. 기존 공격 형태에서는 전세계에 걸쳐 다양한 IP 주소들로부터 공격이 진행되었으나 이번 경우는 중국으로 국한되었다는 점이 참신(!)합니다. 공격을 주도한 서버는 약 60대 정도로 파악되고 있으며 대표적인 사이트는 http://a0v.org/, http://js.tongji.linezing.com 등이 있습니다만, 현재에는 모두 조치(!)가 된 상태입니다.

          공격 방식은 두 단계로 진행됩니다.

          1. 공격 대상 서버의 웹 페이지를 감염시킵니다. - <iframe> 형태의 코드를 웹소스에 삽입합니다.
          2. 인터넷 사용자가 감염된 웹 페이지를 방문하는 동안에 자신의 컴퓨터에 악성 코드를 다운로드합니다.

          놀라울만한 사실은 지난 8월 27일까지 악성코드를 다운로드한 횟수가 125만 번에 이른다는 점입니다.

          지난 번에 국내에서도 DDOS 공격으로 인해 많은 어려움을 겪은 바 기억하실 것입니다. 이러한 DDOS 공격의 주요한 구성원은 바로 악성코드를 다운로드한 컴퓨터(봇)들입니다.

          보통 1,000 대의 봇을 하나의 봇넷으로 간주합니다(주: 숫자에는 이견이 있을 수 있음) 따라서 감염된 댓수로 나눠보면 약 1000 개 이상의 봇넷이 새롭게 구축되었다는 것을 짐작할 수 있습니다.

          이렇게 SQL 인젝션의 취약점을 이용하여 대규모로 봇넷을 구축할 수 있다는 사실이 실험적으로, 아니 성공적으로 밝혀졌습니다.

          앞으로 강력한 봇넷이 구축된다면,
          • 스팸 메일 대량 발송
          • DDOS 공격의 대중화
          • 악성 코드의 대량 유포
          • 개인 정보(비밀번호, 은행 정보 등등)의 누출
          • 기타 알려지지 않은 새로운 형태의 공격
          등등의 공격이 올해 후반기과 내년에 발생할 것으로 예상됩니다.

          이러한 문제점을 대한 대비책은 그리 어렵진 않습니다. 먼저 웹 서버단에서 살펴 보면 SQL Injection 공격의 원인인 웹 소스 상의 매개변수의 검사(Sanitization)를 확실히 하고, 웹 애플리케이션 방화벽(WAF) 등을 도입하는 것입니다.

          사용자 단에서 볼 때에는 윈도우의 최신 서비스 팩 및 보안 업데이트 적용과 충분한 성능을 제공하는 안티 바이러스 제품을 사용하는 것이라고 볼 수 있습니다.

          감사합니다.

          PS: 국내에서는 웹 사이트에서 Active-X 컨트롤을 자주 사용합니다. 만약 Active-X 형태로 동작하는 악성코드를 다운로드하여 설치하는(감염시키는) 공격 형태가 발생한다면 그 피해는 엄청날 것으로 예상됩니다.
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            카리브 해에 위치한 푸에르토리코(Puerto Rico) 자치령의 도메인 등록 시스템이 해킹되어 이 DNS를 이용하는 사용자들은 세계 유수의 사이트인 구글, 마이크로소프트, 야후, 코카콜라 등 큰 회사의 도메인을 특정한 사이트로 연결하는 사태가 지난 일요일에 수시간 동안 발생하였습니다. 그 외에도 페이팔, 나이키, 델, 노키아와 같은 유명한 회사 홈페이지도 사이트가 해킹되었다고 알려 주는 가짜 사이트에 연결되도록 유도되었습니다. 하지만, 실제 이들 사이트가 해킹당한 것은 아니며 DNS를 이용하여 가짜 사이트로 유도한 것입니다.

            이 공격을 주도하였다고 주정한 "Peace Crew" 그룹은 푸에르토리코 등록 관리 시스템을 공격하기 위해 SQL 인젝션 공격 기법을 사용했다고 주장하였으며 이를 통해 DNS를 통해 공격할 수 있었고 그만큼 파장을 넓일 수 있다고 언급했습니다.

            이들 사이트에 방문하는 사용자들을 실제 사이트에 접속하는 것이 아니라 가짜 사이트 즉 피싱 사이트에 연결하도록 DNS를 조작했습니다. 이러한 공격를 통해 크래커들은 사용자들에게서 은행과 같은 가짜 사이트에 연결토록 하여 개인 정보를 빼낼 수 있수 있습니다.

            한 편, 푸에르토리코 상위 도메인을 관리하고 있는 가우스 리서치 랩에서는 월요일 오후까지 별다른 언급이 없었다고 합니다. 

            (크래커가 DNS를 우회하도록 공격을 한 화면)


            출처: http://news.cnet.com/8301-1009_3-10228436-83.html

            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              전세계에 살고 있는 착한 해커(!)들이 한데 모여서 자신의 기술을 뽐내는 블랙햇(BlackHat 2009) 행사에서 SQL 인젝션 공격을 한층 더 강화한 프로그램이 소개되었는데 바로 Sqlmap입니다. 이 프로그램은 Bernadro Damele 와 Daniele Bellucci가 개발하였으며 현재 0.71 버전의 RC 버전까지 나왔습니다.

              일반적으로 SQL 인젝션 공격을 통해 데이터베이스의 내용을 조작합니다. 하지만 Sqlmap 프로그램은 데이터베이스의 취약점을 이용하여 공격의 범위를 시스템 즉 운영체제까지 확장하고 있습니다.

              Sqlmap 프로그램은 명령행 기반(command prompt)의 프로그램으로 처음에는 약간 사용하기가 불편한 감이 있습니다. 하지만, 옵션이나 매개변수를 충분히 이해한 후에는 말 그대로 최강의 성능을 자랑할 수 있는 공격 테스트 도구로 사용이 가능합니다.

              특히, 기존에 널리 사용되는 SQL 인젝션 도구들은 특정 데이터베이스에 한정하여 사용할 수 있는 한계를 가지고 있었습니다. Sqlmap은 MS SQL뿐만 아니라 MySQL, PostgreSQL, Oracle까지 지원하여 산업계 전반에서 널리 사용하는 데이터베이스 엔진 대부분을 커버할 수 있습니다. 

              링크: http://sourceforge.net/projects/sqlmap/

              하지만, 단점이 약간 보이기도 합니다. 서버에 다양한 데이터베이스 엔진을 구동한 상태에서 특정한 링크를 검사하면 제대로 검출해내지 못하기도 합니다. 아래 화면은 Apache + PostreSQL + PHP 상태에서 phpbb라는 유명한 게시판을 구축한 사이트를 진단한 내역입니다.

               또한, 명령행 기반이기 때문에 사이트에 대한 전반적인 검사를 수행하는데 어려움이 있으며 다른 프로그램을 사용하여 알아낸 취약한 링크를 보다 세부적으로 분석하는 툴로 유용하게 사용할 수 있을 것으로 생각됩니다. 마지막으로 진단 속도가 비교적 느립니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus


                Web Analytics Blogs Directory