태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.




* 본 정보는 위협레벨 상향에 따라 선제적으로 정보 공유된 내용을 공개용으로 요약한 내용입니다.  실제 모든 분석내용은 압축파일로 첨부되어 제공 되었으며, 본 게시물에 언급된 내용은 1,2차 정보제공 중 위험성이 높은 부분을 선별한 부분입니다. 최종 악성파일의 다운로드 주소에 대한 부분은 해외 도메인 부분을 여과 없이 게재 하였으므로 해당 도메인 및 IP에 대한 차단을 진행 한다면 내부 사용자의 감염은 일정 수준 예방 할 수 있을 것으로 보이니 적극 활용 하시기 바랍니다.  대규모 유포망인 MalwareNet에 대해서는 일부 위험성이 높은 항목에 대해서만 공개를 합니다. 클릭 및 접근시에는 감염이 될 수 있으므로 주의 하시기 바랍니다.



안녕하세요. 빛스캔입니다.

5.25일 위협레벨을 경고로 상향한 바 있습니다.
1차로 5.24~5.27일간 수집된 27종의 바이너리에 대한 정보공유를 진행하였으며, 5.30일 현재 2차로 14종에 대한 정보 공유를 추가로 진행 합니다.

1차 정보는 바이너리와 네트워크 연결 정보만 우선적으로 전달 된 상황입니다.

금일 전달되는 2차 정보는 다음과 같은 내용을 포함 하고 있으며, 첨부된 압축파일의 암호는 전과 동일합니다.

1차 - 27종 바이너리
* 동적 분석 정보 ( 27종의 바이너리에 대한 동적분석 XML 파일) - 공개용 제외
* 네트워크 연결 정보 ( 30여개 이상 )  - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 21곳 이상)  - 공개

2차 - 16종 바이너리
* 동적 분석 정보 ( 13종의 바이너리에 대한 동적분석 XML 파일)  - 공개용 제외
* 네트워크 연결 정보 (  15개 가량) - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 22곳 이상)  - 공개




1. 대규모 Malware Network (차단 권고 정보 - 일부공개)

* 본 정보는 주요 사이트들의 웹소스에 다양한 형태로 추가되어 악성코드 감염에 이용되고 있는 통로로 이용되고 있는 정보들입니다.  외부 공개용은 위험성이 높은 악성코드 유포에 관한 정보만 제공되며, 그 외의 정보는 내부 고객에게만 전달 되었습니다.

  80여곳 이상의 경유지 활용 악성링크 리스트 (9종)


  erp.leetekorea.com/idc/index.hxxx  <-극히 위험
  ucc.uima.co.kr/link/sb.js  <- 극히 위험
  
  30여곳 이상의 경유지 활용 악성링크 리스트 (10종)
  
  www.ienp.co.kr/js/go.js <-위험
  110.34.240.122:5920/go.js <- 위험

  
악성링크  리스트들을 살펴 보시면, 이미 권한 획득을 전체적으로 당한 곳들이 다양하게 이용되는 것을 확인 할 수 있습니다.   국내 도메인이 다수인 상황이라 Full Url에 대한 매칭과 차단을 권고 드립니다.
  
첨부된 압축파일에는 네트워크 연결 정보 와 악성링크의 IP 주소가 같이 포함 되어 있으며, 국내 IP들이 포함 되어 있으므로 차단에 주의를 기울이시기 바랍니다.


2.  감염 이후 연결 주소 정보

* 본 정보는 압축파일에 모두 정리되어 제공 되었으며, 본 공개용에서는 일부만 공개합니다.

www.hfhssv.cn
gsgsfs.com
110.34.240.123:1314
kr201377.com:10086



3. 악성바이너리 다운로드 주소  

최초 사용자 PC에 대한 공격 성공 이후 악성파일을 다운로드 받는 주소는 국.내외 도메인들이 직접 이용이 되고 있습니다.

국외 도메인에 대한 부분은 본 메일에서 직접 기술을 드리고, 국내 도메인 및 IP에 대해서는 첨부 압축파일에 제공이 되고 있으므로 신중하게 선별하여 차단 적용 하십시요.
  

1차 5.24~5.27 악성 바이너리 다운로드 주소 (국외)

* 해외에서 받아오는 악성바이너리 주소에 대해서는 그대로 공개합니다. 국내 IP 및 도메인은 첨부로 기가입자에게 제공 되었으며, 공개용에는 제외 합니다.
  
down.gsgsfs.net(65.49.35.48) usa Hurricane Electric
girl.gsgsfs.net(192.169.98.248) usa  Outofwall
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
www.pizahunt.com(174.139.141.19) usa Krypt Technologies
www.wk1888.com(198.100.118.184) usa GorillaServers
qqq.smjbwy.com(174.128.234.211) usa Sharktech
110.34.240.(123,124)x usa VPLS Hosting
rhkdcks2323.gnway.net(98.126.55.106) usa Krypt Technologies
rhkdcks2424.gnway.net(98.126.55.106) usa Krypt Technologies
tetret.net(199.193.71.187) usa Vps21
thestringwalker.com(198.154.228.153) usa Websitewelcome.com
2f-concept-dev.com(93.184.35.226) France Nerim SAS
cultivateuk.com(82.165.218.68) Germany 1&1 Internet AG
mis7000.gnway.net(126.19.85.40) japan Softbank BB Corp



도메인 주소만 있는 경우 서브도메인을 변경하여 계속해서 발생되고 있으므로 *.hahavb.com과 같이 확장된 필터링 정책이 필요합니다.  


  2차 5.28~5.30 기간 악성바이너리 다운로드 주소 (국외)
 
192.169.96.(6,8)x usa Outofwall
98.126.147.220 usa Krypt Technologies
annesska.co.uk(213.171.218.160) United Kingdom Fast Hosts LTD
cc.aiya33.com(122.10.87.35) hong kong HKDF
eee.smjbwy.com(174.128.234.214) usa Sharktech
fff.lolnnn.com(96.43.105.30) usa Ethr.Net LLC
hicsddns1.kingka1888.com(98.126.147.220) usa Krypt Technologies
hahavb.cn(199.193.68.132) usa Vps21
ie.hahavb.cn(199.193.68.132) usa Vps21
yk.hahavb.net(199.193.68.132) usa Vps21
letsgostrolling.com(69.160.58.75) usa Nexcess.net L.L.C.
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
mmm.dafafa.cn(192.169.98.236) usa Outofwall
rhkdcks3131.gnway.net(98.126.55.106) usa Krypt Technologies
sumotek.com(91.194.90.170) Germany Contabo GmbH
ttt.smjbwy.com(199.114.243.220) usa Vps21
uuu.smjbwy.com(98.126.177.53) usa Krypt Technologies
wm.aiya33.com(122.10.87.32) hong kong HKDF
wnrdufk.hfhssv.com(192.169.98.240) usa Outofwall
xxx.dafafa.cn(192.169.98.233) usa Outofwall
myyk00pm.4b.cp
23.82.18.254

한국 인터넷 위협동향에 대한 무료 메일링은 info@bitscan.co.kr 로 연락 주십시요. facebook.com/bitscan 페이지를 통해서 계속 갱신 정보를 공유하고 있으니 참고하세요.

감사합니다.


Posted by 바다란

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.

본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책  패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.


 




금주 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가한 현상이 발견 되고 있습니다. 단일 취약성이 아닌 여러 취약성 (IE, Java, Flash)을 동시에 공격하여 성공률을 높이는 형태가 계속 증가된 형태를 보이고 있으며, 전주 대비 100% 이상 증가한 악성링크 수치가 발견 되었습니다. 탐지 회피와 우회를 위해 유포통로를 계속 변화시키고 있으며, 이에 반해 최종 설치되는 악성코드의 형태는 많은 증가가 없어서 동일한 악성코드 유포를 위해 여러 악성링크가 계속 변화하면서 이용이 되고 있습니다. 기술분석 보고서의 내용 중 봇 에이젼트와 추가 공격을 위한 다운로더들의 유포에 이용된 링크들은 대규모 유포망을 통해 다수 배포 된 상태이므로 추가적인 사건 발생과 이슈에 대해서 주의를 기울이셔야 합니다. 또한 국내 게임 아이템 거래 사이트들에 대한 계정 탈취 목록이 추가 발견 되어 피해가 예상 됩니다.
 

금주 악성링크 분석 내용 중에는 구글코드 사이트에 악성코드를 올려두고 이용하는 내용들도 발견 되었으며 해당 악성코드의 행위는 MBR 이 포함된 영역을 읽는 부트킷 유형의 악성코드로 파악이 되고 있습니다. 7.7 DDoS 공격, 3.4 DDoS 공격, 농협 사태에서 공통적으로 등장하는 단어가 있습니다.  마스터부트레코드(Master Boot Record, 이하 MBR) 영역에 관련된 내용입니다. 이들 사건을 비롯해 최근 발생한 사이버 공격에서는 MBR 영역을 파괴해 하드디스크 데이터를 못 쓰게 만드는 기능 이른바 '하드디스크 파괴' 기능을 포함하고 있습니다. MBR의 특성상 백신으로 진단/치료가 어렵기 때문에 감염되지 않도록 주의를 기울이셔야 할 것입니다.  
 
본 이슈의 경우 일회적인 악성코드 유포가 아닌 빛스캔에서 예의 주시 하고 있는 다단계 유포통로 여러 곳을 통해 악성코드 감염이 시도 되었기에 정확한 피해 규모를 파악하기가 매우 어려운 상황이며, 다수의 악성링크가 활용 한 정황이 발견되어 보고서 발간 이전에 기사화를 통해 이슈를 환기 시켰습니다.  관련기사 : http://www.boan.com/news/articleView.html?idxno=7427
 

마스터부트레코드(Master Boot Record, 이하 MBR) 에는 운영체계가 어디에 어떻게 자리 잡고 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보들이 있으며, 하드디스크의 첫 번쨰 섹터에 저장되어 있습니다. 이런 MBR을 감염시키는 경우 일반적인 PE(Portable Executable) 파일을 감염시키는 경우보다 흔하게 발견되지는 않습니다. 왜냐하면 MBR은 복잡하고 크기 또한 제한적이라 이를 타깃으로 한 악성코드 제작 자체가 힘들기 때문입니다.

또한 이러한 악성코드를 유포한 곳이 구글코드(Googlecode) 임을 감안할 때 주의 깊게 살펴봐야 합니다. 구글코드에서는 개발과 관련한 파일과 소스코드 등을 다른 개발자들과 공유하고 협업할 수 있는 공간입니다. 특히, 구글에서 직접 운영하고 있어서 매끄러운 운영뿐 아니라 보안과 같은 여러 안정성까지 제공받을 수 있는 장점을 가집니다.

구글코드라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많으며 구글코드 사이트의 경우 2007년에도 악성코드를  호스팅한 사례가 있으나, 피해는 극히 제한적인 상황 이였습니다. 그러나 이번에 발견된 구글코드 유포 이슈는 단발적인 공격이 아닌 다단계 유포망(MalwareNet)에 의해 대규모로 악성코드 유포에 이용된 사례이며, 국내 도메인 다수가 악성코드 유포에 활용된 지금껏 사례가 없는 경우 입니다. 따라서 현재 상황의 심각성은 높다고 판정을 하고 있습니다.

※ 부트킷: 컴퓨터 하드디스크의 부트 섹터(Boot Sector)를 감염시키는 악성코드의 일종입니다.
※ 부트섹터: 컴퓨터 프로그램이 제일 먼저 실행되는 부분으로 이 부트킷에 감염되면 정상적인 부팅과정을 거치지 않고 부트킷에 의한 부팅동작을 하게 됩니다.

<부트킷 악성코드의 역할>



<구글코드(Googlecode)에서 악성코드 유포 – 다단계 유포망 (MalwareNet) 한 곳에서의 유포 이미지>


또한 금주에는 예전 EBS 분산서비스거부DDoS) 공격 때 사용된 다크쉘 악성코드가 탐지 되었습니다. 해당 악성코드는 곰플레이어 아이콘으로 위장하고 있으며, C&C 서버 (gomupdate.dnip.net)에 접속하여 명령을 대기하게 되어 있습니다. HTTP 서버를 대상으로 하는 DDoS 공격이 가능하므로 명령 연결이 되지 않도록 즉시적인 차단이 필요합니다.
 
 
9월 1주차에 실제 사용되었던 Flash 취약점인 CVE-2012-1535를 활용한 공격이 금주에도 지속 되었습니다. CVE-2012-1535 Adobe Flash Player Font Parsing Code Execution 취약점은 Adobe Flash Player 11.3.300.271 버전 이전의 ActiveX 모듈에서 발견되는 취약점으로 SWF 파일에서 사용되는 폰트 파일의 충돌을 통해서 악의적인 코드를 실행 가능하게 합니다.

아직까지 사용 비율은 높지 않지만 다중 취약점을 이용한 대규모 공격에 충분히 활용될 가능성이 존재하고 있습니다. 지난 8월 14일 Adobe사에서 해당 취약점에 대한 패치를 발표하여 제공하고 있기 때문에, Adobe Flash Player 11.3.300.270 이전 버전을 사용하고 있는 사용자의 경우 반드시 최신 버전으로 업데이트하여 이로 인한 피해를 최소화하길 당부 드립니다.


<CVE-2012-1535 - SWF 파일에서 취약점이 발생하는 Action Script의 일부>



8월 5주차부터  간간히 출현하였던 취약성 공격 세트가 대거 출현 하고 있으며, 공격자는 감염 비율 증가를 위해 적극적으로 활용 하는 것으로 판단 되고 있습니다. 기존의 Java 취약성과 MS XML , MS IE, Flash 취약성이 묶여서 활용 되고 있는 상태가 관찰 되고 있습니다.

다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.

기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.



금주 공격의 특징을 정리하면 다음과 같습니다.

  • MBR 읽는 부트킷 유형 악성코드 발생(백신 탐지 어려움)
  • EBS DDoS 때 사용되었던 다크쉘 모듈 탐지. 향후 DDoS 사건 예상 가능
  • 신뢰할 수 있는 사이트인 구글코드 사이트에서의  악성코드 유포 활용
  • 8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
  • 9월 1주차 신규 생성된 MalwareNet의 신속한 유포 통로 활용 관찰 
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더  백도어 형태의 악성코드 유포 계속
  • 전주 대비 대폭 증가한 공격 ( 단기간에 집중되어 계속 유지되는 형태. 9.14일 오후 8~12시 사이 대거 공격 활용)
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 근 시일 내에 ARP Spoofing에 의한 피해도 언급이 될 것임을 알려드리며 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용이 될 것입니다.

 

본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응 아닌 사전 대응으로 해를 예방 하도록 하는 것이 핵심 입니다.

 
 

*MalwareNet ( 범위와 변화)


- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.


본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

MalwareNet 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다.  차에서는 사후 대응으로는 탐지할  없는 형태인 MalwareNet 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 대응 사전대응의 이는 매우  차이를 가질   으며 , 선제적인 사전대응이 얼마나 중요한지 확인   있습니.

 

MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 25곳 가량에만 추가가 되었지만 이중 2 곳이  MalwareNet으로 사용이 되고 있습니다. Impact Factor로 보면 위험성과 파급력은 72에 이를 정도로 높은 상태를 보이고 있습니다. 공격자는 단 한번의 클릭 만으로 전체 72 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며, 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. www.xxxxxxxx.com/main.htm 링크의 경우 공격에 가장 적극적으로 활용된 링크이므로 향후 활용도도 계속 될 것으로 관찰 되고 있습니다. 또한 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.


8월 5주차에 출현 하였던 'www.xxxxxx.com/main.htm' MalwareNet은 금주에도 활발한 활동이 계속 되고 있습니다. 이 MalwareNet도 구글코드 사이트에 존재하는 최종 악성파일을 중계 하는데 활용 되었습니다.



<MalwareNet 2곳을 하위 유포 링크로 가지고 있는 상위 MalwareNet- PCDS 추적데이터>



현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. 
Oracle Java 취약성, Adobe Flash 취약성 , MS XML , Midi  IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.



특히 자바의 경우 크로스 플랫폼이므로 동일 취약성을 이용한 다양한 기기와 운영체제에서 문제가 발생 될 수 있습니다. PC 이외에도 여러 체제를 사용하는 기업/기관의 경우 전체적인 보호 플랜을 적극 실행 하셔야만 합니다. 30억 개의 장치에서 사용하는 자바는 취약성을 이용하여 공격 할 수 있는 대상도 30억 개 라는 의미입니다.

 
  • 자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포하였습니다. 반드시 업데이트를 적용 하시기 바랍니다.

  • MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용 하시기 바랍니다.

              참고 내용:http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

  • Adobe Flash (CVE 2012-1535) 취약성의 경우 금주 공격 출현 되었으므로 패치 바로 적용 하셔야 합니다.
  • 7 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723 도 반드시 패치를 하시기 바랍니다. 금주에는 1723만 단독으로 사용된 것들이 많이 포착되었습니다. 반드시 업데이트를 적용하시기 바랍니다.

             참고 내용: http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html )

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

 


* 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내. 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.

 


PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.



*게임 계정 탈취 및 백신 Kill , 게임 머니 계속 ( BHO ) , 아이템 거래 사이트 추가 발견

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.


금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 
 

*금주 공격에 사용된 취약성 비율





전주 대비 증가한 내역을 볼 수 있으며 MS XML 취약성을 이용한 CVE 2012-1889 취약성에 대한 공격코드가 대폭 증가하였고 Java 제로데이로 이용되었던 CVE 2012-4681 취약성이 대거 재사용 되는 현상을 볼 수 있습니다. 패치의 불안정성 및 신규 취약성 출현 부분에 대해서는 계속 모니터링을 하고 있습니다. CVE-2012-1875, CVE-2012-0806 같은 IE를 노리는 취약점도 같이 발견 되었습니다. 현재 한국 인터넷을 위협하는 공격자들은 세계적 수준의 역량을 보유 하고 있으며, 한국은 그 대상이 되어 있는 상태입니다.


∎ CVE-2012-4681 (Java Applet 취약점) 
     - 
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

∎ CVE-2012-1889 (MS XML 취약점) 
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

∎ CVE-2012-1875 (MS IE 취약점) 
     - 
http://technet.microsoft.com/ko-kr/security/Bulletin/MS12-037

∎ CVE-2012-1723 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

∎ CVE-2012-1535 (Adobe Flash Player 취약점)
     - 
http://www.adobe.com/support/security/bulletins/apsb12-18.html

∎ CVE-2012-0507 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

∎ CVE-2011-3544 (Java Applet 취약점)
     - 
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

∎ CVE-2011-1255 (MS IE 취약점)
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/ms11-050

∎ CVE-2010-0806 (MS IE 취약점)
     - 
http://technet.microsoft.com/ko-kr/security/bulletin/MS10-018


현재 MS 취약성 및 1723,0507,3544, Zeroday(4681) 공격과 같은 Java 취약성이 결합된 공격세트가 다수 발견 되었습니다. Java 관련된 취약성의 해결에 높은 수준의 주의가 필요하며 전체적인 패치 수준 유지 및 관리가 요구 됩니다.



*차단 권고 대역


.. 브리핑 생략..

 


*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분


 .. 생략..
 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 MBR 읽는 부트킷 유형 악성코드, 신뢰할 수 있는 사이트인 구글코드에서조차 악성코드 유포, EBS DDoS 때 사용되었던 다크쉘 모듈 탐지 향후 추가적인 DDoS 피해 예상, 다단계 유포 통로의 적극 활용 단계 진입 입니다.
 
2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. 보고서의 정식 구독 문의도 메일로 문의 주시면 됩니다. (info@bitscan.co.kr)

 

감사합니다.





*본 정보제공 서비스는 공개, 재배포 금지( 내부에서만 활용), 비영리 목적으로만  가능합니다.


* 정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.  서비스의 권리는 빛스캔에 있으므로 공개적 활용 리적 목적으로 활용 하실  없습니다.


*시범 서비스는 순차적으로 1개월 경과  종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.


*  분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며, 악성링크  악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 
 

Posted by 바다란

5 3주차 국내 인터넷 위협 동향입니다.

 

서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

 

금주의 특징은 다음과 같습니다.

 

 

특징

 

·   악성코드 유포자들의 전략적 행위 증가 범위 확대

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

 

5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

 

특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

 

·  전략적 변화를 하는 공격자들

악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

 

말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

 

1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

 

2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

 

3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

 



 

·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 

사용된 취약성

 

- CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

 

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

 

전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

 

 

 

차단 권고 대역

 

 

서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

 

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

 

* 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

 



< 5 3주차 주간 동향 요약 보고서>

Posted by 바다란

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 1편은   http://p4ssion.com/110여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 ASP , 특정 DB 사용 MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. 치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://p4ssion.com 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://p4ssion.com/199  첨부파일 참고)

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

Posted by 바다란

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다 

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=1 and fieldid=1100 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1&field=1100   과 같이 인자의 뒤에 문자 (인용부호)  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=1’’ and fieldid=1100’’  와 같은 구성이 되며 이 경우에 Unclosed quotation mark error와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.

Posted by 바다란

 

최종 내용입니다. 이 부분은 향후의 위협 모델과 대응을 위한 결론 부분입니다.

다음에는 다른 주제로 만나 뵙도록 하겠습니다. 2007년도 고생 많으셨습니다. 올해는 좀 더 다른 방향의 시작이 될 것 같습니다.  감사합니다. - 어디 사용 하실때에는 항상 출처를..^^  p4ssion is never fade away!

 

 

■ Next Threat?

지금의 위협과 또 앞으로 다가올 위협들은 어떤 모습을 지니고 있을까? 또 어떤 방향에서의 흐름들이 지금 나타나고 있는지 간략하게 확인을 해볼 필요성이 있다. 방향성은 달라 질 수 있으나 지금까지의 발전 방향으로 보았을 때 유사 방향으로 진행 될 수 있을 것이다.

 

예상 중에 Application Web service Worm은 이미 2004년에 santty worm으로 인해 촉발이 된 상태이며 향후 더욱 심화될 것으로 판단된다. 특정 서비스에 국한된 Worm 이나 악성코드들도 이미 Myspace에서 출현이 되어 피해가 실제로 있었으며 Yahoo도 예외는 아니다.

 

Ubiquitous attack은 2007년 9월과 3월에 두 가지 경우를 대표적인 예로 들 수 있다. Libtiff 라이브러리의 취약성을 이용한 권한 획득 가능성 과 Ani cursor에 대한 문제를 이용한 권한 획득 가능성을 대표적으로 들 수 있으며 Libtiff 취약성은 Iphone , Mac등 Apple 관련된 제품에 전체적인 영향을 미치고 있고 Ani cursor는 win 3.1 부터 Vista까지를 모두 관통하는 문제라 할 수 있다. 즉 하나의 문제가 발견 되었을 경우 이 문제는 Application이 실행 될 수 있는 모든 운영체제 혹은 시스템에 문제를 일으킬 수 있으며 실제 영향을 미친다고 할 수 있다. 다양한 플랫폼과 다양한 프로토콜 , Ubiquitous와 같은 모든 한계와 관계없이 Application에 대한 취약성은 모든 것에 영향을 미친다는 것이다. 이미 실례로 보인 것과 마찬가지의 상황은 미래에서도 일반적이 될 것이다.

 

 

특정 서비스에 한정된 공격들도 다양한 유형을 볼 수 가 있으며 서비스의 확산에 따라 특정 서비스 부분 혹은 특정 회사에만 국한된 공격을 볼 수가 있다. 국지적인 공격이기는 하나 대상은 포괄적이며 광범위하다. 특정 지역에만 한정된 공격이 아니기에 더더욱 그러하다.

 

 

 

 

대표적으로 예를 들은 Myspace와 Yahoo 경우 모두 내부 서비스의 구조에 대해서 손쉽게 파악을 하고 구조적인 문제를 직접 활용 할 수 있도록 구조화된 것에 당했다고 할 수 있다. 더불어 주변 PC로 전파 시키는 것이 아니라 관계적인 측면을 공격하는 것을 통해 물리적인 통제 범위를 손쉽게 벗어날 수 있으며 추적이 매우 어려움을 충분히 예상 할 수 있다.

YH032.explr의 경우에는 채팅을 통해 악성코드를 채팅유저에 감염 시키고 메신저 리스트를 얻어와서 script worm을 재전송 시키게 되며 그 이후 사용자의 PC에 IE Icon을 가짜로 만들어 두고 사용자에게 악성코드 세트를 설치하도록 유도하고 있다. 즉 시스템적인 공격 보다는 서비스에 특화된 공격이 두 번 연이어 이어지고 있다는 점에 주목해야 된다.

 

AOL은 Instant Messenger관련된 공격과 Worm이 매우 많았다. 이 문제를 해결하기 위해 자사 서비스 이용자들에게 백신을 제공하고 있으며 MS의 경우에도 보안사업 진출을 하게 된 이유는 명확하다. 서비스를 유지 하기 위해서 보안은 필수적이며 충분한 시장성이 보이기 때문에 진출을 한 것뿐이다. 자사의 서비스의 Core 부분을 지키기 위해서도 반드시 필요한 부분이기에 더더욱 그러한 것이다.

 

 

 

■ 대책

지금까지 실례를 통한 발전된 웹의 위험성들에 대해서 언급을 하였다. 지금 우리가 사용하고 있는 모든 서비스들을 위험성 없이 유지하기 위해서는 다양한 문제점들을 제거 하여야 하고 위험성이 있는 부분을 사전에 찾아 낼 수 있도록 하는 많은 작업들이 필요로 한다. 이런 작업들이 이루어 지지 않은 소규모 서비스 업체들은 어려움을 겪을 수 밖에 없을 것이다. 이 문제는 비단 국내에 한정된 문제는 아니며 전 세계적인 IT서비스에 대한 이슈제기임을 이해해야 한다.

단순한 장비 도입을 통해 해결이 될 수 있는 수준은 아니며 Secure coding에 대한 인지도 확산과 Validation check의 강화 및 Monitoring , Technical Security의 강화를 통해서만이 이루어 질 수 있다. Web의 확산에 따른 상황별 대안을 간략하게 정리하면 다음과 같다.

  • 기술적인 관점
  • 사용자의 관점
  • 정책적, 국가 프로세스적 대응

위의 세 가지 큰 방향성에서 대책을 논의 할 수 있다. 개인정보보호는 다른 관점에서 취급되어야만 한다. 기둥이 없는데 지붕만 덩그러니 올릴 수는 없지 않은가? 지금은 기둥도 없는데 지붕을 먼저 올리는 형국과 다름이 없다고 개인적으로 보고 있다. 또한 본 문서에서 언급할 내용도 아니다.

개인정보보호가 중요한 테마이기는 하나 기반 되는 기술적인 보안이 없는 상태에서 통제만 된다는 것은 큰 방향성을 보지 못하는 우를 범하는 것과 마찬가지이다. 전 세계적인 위험과 취약성의 동향을 충분히 인지하고 현재의 우리 상태를 냉정하게 살펴보아야만 가능할 것이다. 단순히 제품을 팔고 인지도를 높이기 위한 그런 정도의 인식수준이라면 앞으로의 IT서비스의 미래는 장담하기 어려울 것이다.

 

 

● 기술적관점

- Filtering

- Platform의 체계화

- Monitoring

- 보안성 검수 ( Blackbox Test)

* Filtering

Filtering의 의미는 기술적인 의미로서 사용자가 제작하는 모든 것들에 대해 악의적인 코드들이 삽입 되어 있는 지를 검사해야 한다는 의미이다. ( 게시판, 게시물, 덧글 , 이미지, Flash, 동영상 …) 모든 사용자 저작물에 대해 기술적인 위험요소가 존재하는지 여부를 검토하는 것을 의미한다. 항목별로 보면 다음과 같은 유형이 가능하다.

  • . 광고 필터링
  • . ActiveX 포함한 악성코드 설치 유형의 필터링
  • . 악성코드가 설치 코드등이 포함된 이미지에 대한 필터링 이슈
  • . Flash , 동영상에 대한 악성코드 컨텐츠 필터링
  • . 욕설, 성인 관련물에 대한 정책적 필터링
  • . 악성코드, 해킹툴, Virus의 File upload에 대한 Filtering

*Platform의 체계화

Filtering 하는 시스템들을 서로 연관 되도록 하고 구조적으로 디자인 하여 운영함. 또한 전문 보안인력에 의한 운영과 합리적인 프로세스의 수립이 필요하다.

  • . 필터링 시스템에 대한 체계적인 구성
  • . 전체 사용자 입력부분에 대한 필터링 구조 수립
  • . 전문 인력의 연구와 조사에 의한 필터링 방식 및 Rule의 갱신과 추가
  • . 신규 필터링 이슈 발생시의 업무 분담 및 체계적인 대응 구조의 수립

위의 항목이 구체적으로 platform의 체계화에 포함되어야 하는 항목이며 모델을 대규모 서비스를 운영하는 비즈니스 조직 중심으로 업무를 나누어 본 것이다. Filtering 부분도 영역이 크긴 하나 가장 중점적인 서비스 부분에 최대화 시켜도 무방할 것이다.

 

 

* Monitoring

인력을 이용한 특정 이슈에 대한 집중 모니터링 또는 시스템에 의해 걸러지지 않은 사안의 발견, 신규 취약성에 대한 모니터링 관련된 이슈로 모니터링 항목이 필요하다고 판단된다.

각 항목별로 좀 더 세분화 시키면 다음과 같다.

  • . 동영상에 대한 모니터링 (성인물 , 악성코드 설치, 팝업 유형)
  • . 비정상 행위에 대한 특이사항 모니터링 – 신규유형 탐지
  • . 개인정보 침해 사안에 대한 직접 모니터링
  • . Filtering 이후의 결과에 대한 모니터링
  • . 전문인력에 의한 신규 취약성 전문 모니터링
  • . 고객의 불만 및 신고에 대한 대응
  • . 시스템 및 서비스별 로그에 대한 모니터링을 통해 비정상 행위의 탐지

 

* 보안성검수 ( Penetration Test)

 

가장 중요한 전제이지만 아무리 프로세스가 있다고 하여도 프로세스를 감당하고 실행할 만한 인력이 존재하여야 한다. 보안성 검수를 수행 할 수 있는 인력은 그리 많지 않으며 전체를 볼 수 있는 인력이 각 부분별로 능력에 따라 적절하게 조율하는 것이 가장 바람직해 보인다.

Web Application의 경우 사용자에게 노출 되는 범위가 많음으로 인해 사용자의 접근성이 보장되고 활동이 이루어지는 모든 부분에 대해서 보안상의 위험이 있는지 없는지 검토가 되어야 되며 이후 발견되는 새로운 취약성 이슈에 대해서도 지속적인 활동이 되어야만 한다..

 

모든 보안 이슈에 대해서 이해 하는 인력을 찾는 다는 것은 불가능하다. 다만 중요한 관점은 특정 서비스 분야에 대한 위협이 가중되고 있는 상황에서 서비스에 익숙한 전문 보안 인력이 존재하는 것과 없는 것의 차이는 실행력과 노력, 비용 측면에서 시간이 지날수록 현격한 차이를 보이게 될 것이다.

 

전문적인 기술 보유 여부와는 관련 없이 실행되는 프로세스에 대한 설명만을 통해 모든 Application 개발단위에 있어서 필요한 보안성 검수가 어떤 방향으로 진행 되어야 하는지 인지가 필요하며 개발주기가 매우 짧은 Web Application의 경우 SDLC의 적용도 중요하나 소스코드 또는 테스트 단계에서 문제를 확인 할 수 있는 보안성검수(Fast Penetration Test)의 중요성도 더욱 높다고 할 수 있다.

 

 

위의 그림은 보안검수에 관련된 일반적인 프로세스 이다.

IT 보안 관련된 부서에서 모든 부분에 대해서 접촉을 유지하고 문제에 대해서 파악을 하는 것이 필요하다. 이런 유형의 업무 프로세스는 보안 인력 풀이 풍부하고 시간 계획이 일정상 여유가 있는 부분에서는 가능하다. 그러나 Web Application과 같이 개발주기가 짧고 변경이 잦은 상태에서는 IT 보안 관련된 부서에서 많은 업무들이 지체 될 수 밖에 없다. 보다 더 서비스 친화적인 보안 서비스 모델을 구축 하는 것이 필요하며 Web service가 일반화된 기업이라면 고민 해볼 필요성이 있는 모델이다.

 

위의 이미지는 QA에서 잦은 변경과 같은 History 관리를 전담하여 전체적인 서비스의 안정성을 포함시키고 보안 관련 부서는 전문 분야를 진행하면 되는 역할 분담을 통해 빠른 서비스 안정화가 가능하다고 판단된다. 진단의 경우에도 신규 개발되는 Application을 위한 보안 점검이 있을 수 있고 이미 운영중인 서비스들을 위한 진단이 있을 수 있다. 두 가지 유형은 다른 관점에서 접근을 해야 하며 프로세스는 다음과 같다.

(* IT 서비스를 위한 위협의 제거를 위해 고안한 프로세스이며 적용결과 가장 유효한 모델이라고 생각 된다.)

 

정기 점검의 경우에는 보안 분서에서 플랜을 수립한 이후 전문지식을 이용하여 진단을 수행하고 이후의 안정성 강화 및 플랜 관리 측면은 Quality Assurance 부서에서 담당을 하여 전체적인 서비스 안정성을 높이는 것이 가장 이상적이라 할 수 있다.

 

기존의 많은 서비스 기업의 경우에도 전담 보안 부서가 없는 경우에는 외부 Outsourcing을 이용하기도 하는데 인력이 가장 중요한 부분이며 전체를 점검 하는 프로세스와 신규 개발되는 서비스에 대한 보안성 강화 프로세스를 동시에 운영함으로써 모든 서비스 부분에 대한 안정성을 높일 수 있다. 여기에 보안성검수를 수행하는 인력의 능력치가 높으면 높을수록 모든 서비스에 대한 안정성 수준은 세계적인 수준이 된다.

 

 

개인 PC 차원의 보호 방안의 경우는 항상 반복되는 이야기가 계속 나올 수 밖에 없다.

- phishing 주의 ( 메일 , 링크)

- 첨부파일에 대한 주의를 높일 것 ( Zeroday worm , Office 관련 웜)

- 보안 패치와 Antivirus를 이용한 기본적인 위험요소의 제거

- ActiveX의 시스템 설치를 제한

- 주기적인 패스워드 변경

- 신뢰할 수 있는 기관의 보안 설정 설치

- 사이트별 중요도에 따른 보안 정보 관리 마인드 ( 패스워드 등)

 

 

정책적이고 큰 규모에서의 프로세스적인 방안의 대응으로는 좀 더 다른 논의가 가능하나 본 문서에서 강조하여 언급한 부분은 아니라고 여겨진다. 필수적인 부분만을 간략히 언급하면 다음과 같다.

 

- 보안전문 인력의 활성화 및 효율화 방안 수립과 이행

- 모니터링 및 필터링에 대한 방안 수립 권고

- 중소규모 서비스 업을 위해 보안성검수의 집중 운영 필요성

- Secure coding을 위한 Template과 개선 가이드 필요

- ISO 27001, ISMS와 같은 여러 인증을 시대와 정보의 흐름에 맞게 활용

- White List의 관리 ( Site, Program 등등)

   - Web Application의 문제 해결을 위한 진단 스캐너 개발 및 보급 필요

 

어느 것 하나 손쉽게 되는 것은 없으나 하지 않으면 안되는 상황이다.

 

 

 

■ 결론

 

위험은 지속된다. Web은 현재 고정된 유형이 아니며 앞으로도 빠른 속도로 발전 할 수 밖에 없다. Web 2.0 이라고 지칭하는 모든 유형들도 사용자의 접근성을 강화하고 새로운 유형의 지식 관계를 형성하는 서비스라고 볼 수 있다. 그만큼 사용자 간의 거리와 간격은 더욱 좁혀진다. 종래에는 언어의 구별을 넘어선 진정한 지구촌 커뮤니티가 형성 될 것이다. 이때에도 가장 큰 역할 을 담당하는 도구는 Web이 될 것임은 분명하다. 이런 노출된 메소드들에 존재하는 위험들은 지금 보다는 앞으로가 더 심각해 질 것이고 위험하다 할 수 있다. 위험은 계속된다. Web의 발전만큼 위험요소들도 발전 하는 것이다. 편리함의 이면에는 또 다른 위험이 항상 존재하듯이 지금도 불안한 걸음을 계속 걷게 되는 것이다.

 

“인간적인 너무나 인간적인” 참여는 현재 진행형이고 앞으로 더 진행 될 것으로 예상 된다. 더불어 Service에 특화된 Application 공격은 일반적으로 발생하고 세계적으로 발생 될 것이다. 이때의 상황에 직면해서는 기술적인 보안의 중요성을 각 서비스 기업들마다 뼈저리게 느끼게 될 것이다. 아마 지금도 느끼고 있겠지만 앞으로는 더 심해질 것이다. 보안에 투자하여 역량 있는 인력들을 지속적으로 키우지 못하는 이상 앞으로는 세계를 무대로 한 서비스는 성공하기 힘들 것이다. 이 말의 의미는 시간이 지날수록 체감 할 것이다.

 

 

■ 참고자료

[1] http://blog.naver.com/p4ssion

[2] Gartner Survey, 2005

[3]www.securityfocus.com/

[4]http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/

[5] www.owasp.org

[6] www.krcert.or.kr

[7] web2.wsj2.com - Web 2.0 관련 자료

[8] www.cert.org - 취약성 현황 자료인용

Posted by 바다란

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 초기 설명은  http://blog.naver.com/p4ssion/50031034464 여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 ASP , 특정 DB 사용 MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. 치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://Blog.naver.com/p4ssion 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://blog.naver.com/p4ssion/50024269739 )

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

Posted by 바다란

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다 

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=1 and fieldid=1100 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1&field=1100   과 같이 인자의 뒤에 문자 (인용부호)  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=1’’ and fieldid=1100’’  와 같은 구성이 되며 이 경우에 Unclosed quotation mark error와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.

Posted by 바다란