PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

애리 강
5 years ago
Views:

1 Zeroday-worm ( 침해사고유형및발전 ) 보안서비스사업본부전상훈과장 ( 바다란 ). 중앙관제센터 / MAIN CERT 인포섹 winsnort@skinfosec.co.kr OR p4ssion@gmail.com

2 목차 개요 공격유형의변화 Why Zeroday-worm? Web Hacking 유형-ex 결론및대안

3 개요 1. 침해사고환경의급변 2. 해킹유형의변화에따른 Security 패러다임전환 3. 동향및이슈

4 현황 개요 ( 침해사고환경의급변 ) 공격기법 정보보호기술

5 개요 ( 침해사고환경의급변 ) Attack target 의변화 SYSTEM (OS) Win NT/2000 Linux / Unix Service Application (IIS, Apache, Sendmail ) Service Attack (RPC, Messenger,LSASS ) Who is Next? (Monster Bot) Commercial Application Language ( PHP,JSP, ASP )

6 개요 ( 침해사고환경의급변 ) Attack 의변화 Application 공격 Worm 을이용한 DDoS 공격 공격기술침입자지식침입자수 GUI 공격도구 스니퍼 패캣스푸핑 수행코드공격 (Browers) 자동화된분산공격 서비스거부공격 윈도우공격 Trojan(BO) 발전된스캔도구 분산서비스거부공격 분산공격도구 Trojan Horse 증가 악성코드 번식 자동화된 Worm 공격 IRCBOT, Phatbot 등의공격 자동스캔공격 분산공격 (NNTP) DNS 공격 사회공학공격 하이젝킹 소스코드분석이용공격

7 개요 ( 해킹유형의변화에따른 Security 패러다임전환 ) Security 패러다임 이전 이후 고객 IT 조직 Isolation- 격리 Codered Nimda IRCBot Phatbot Bagle Mydoom 고객 IT 조직 Protect Attacker / Cracker Attacker / Cracker

8 개요 ( 해킹유형의변화에따른 Security 패러다임전환 ) Security 패러다임 탐지와차단을통한침입자의발견과탐지모드 (Active 정책에의한보안성강화가주류 특정 hacker 의침입시 취약성의보완과패치, 웜의감염을막고전파를최소화하며내부망에서의위험을탐지하기위한 Passive 정책전환 불특정다수에의한지속적인공격시도

9 개요 ( 동향및이슈간략 ) 최근침해사고의특징 공격방법 에이젼트화, 분산화, 자동화, 은닉화, 혼합화 공격조직 그룹및조직화, 이념화, 비공식적인정부지원, 금전거래화 대응방법 탐지프로젝트, 전문화, 획일화, 고급화 대응조직 체계화 ( 미비-독점주의 ), 전문화, 유료화, 인력부족

10 개요 ( 동향및이슈간략 ) 상세내용 Bot 및 Worm 관련 ( Zeroday worm 부분에서설명 ) Application 취약성 ( Web Server 상에서운용되는 Software 의취약성을이용한공격급증 ) Zeroboard, PHPBB, Admin 관련, search site 를이용한공격 SQL Injection 및 CSS 등의공격자동화및무차별공격의시도 금전과결합된웜감염호스트의거래및조직화된해킹시도 IRC 상에서직접거래가이루어지기도함서버대당 0.X 불단위

11 현황 개요 ( 동향및이슈간략 ) 다수의사용자가사용하는운영체제 (Windows) 이므로파급효과가크다. OS 에대한보안전문가의부족으로인해사후대책외엔없다. 웜의공격코드가조립형태로발전함으로써웜의제작이쉽다. 바이러스와해킹이결합된형태로변화함으로써전파및공격경로를다양하게만들었다. Underground 그룹들의지속적인연구로 OS 취약점의영역이지속적으로증가하고치명적인취약점들이발생하고있다. 웜제작기술및취약성에대한크래커의공조는잘이루어지고있으나대응기술및예측에대한보안전문가의공조가미흡하며수준이낮다.

12 공격유형의변화 공격기법 크래킹 -> 최근공격유형 관련정보획득취약점분석 Attack Achieve Privilege Use Search engine OR IP Block Scan Automatic Scan Automatic Attack

13 공격유형의변화

14 공격유형의변화

15 공격유형의변화

16 공격유형의변화

17 공격유형의변화

18 공격유형의변화 공격기법의다변화 최초공격가능지점을찾기위해기업망에서는 Web 관련취약성에대한공격을시도 ( 현재의모의해킹에서진단하는취약성 ) 일반 PC 에대한공격을통해침해대상의확대및전파확대 자동화및고급화가이루어짐으로인해손쉬운공격코드추가및변형가능 ( AV 솔루션및 IDS /IPS 의탐지및차단의어려움 )

19 Why zeroday-worm? Zeroday worm? 취약성의발표시기와 Exploit 의출현시기가점점짧아짐에따라취약성발표즉시 Exploit 이출현하거나기간이상당히짧아짐을의미한다. 또한 Zeroday-exploit 과같이연계하여 Worm 작성코드가보편화되고일반적이되었으므로웜으로변질되는데기간이상당히짧아진것을의미한다.

20 Why zeroday-worm? Exploit 과 Worm 의유기적결합 손쉬운공격코드의추가 Phatbot, agobot 소스코드인터넷공개 ( 현재변종 5000 여개 ) 자동화된공격코드및코드조합의손쉬움 Windows 및 *nix 계열의백도어 / 다운로드 / 전파모듈완비됨 취약성출현이후 Exploit 최초출현기간이짧아짐 Slammer 6 개월 Lsass 및 RPC 7 일 Jpeg 취약성 3 일 MSN 취약성및 PHP 취약성 2 일 ( Brofia, Santty )

21 Why zeroday-worm? Agobot,Mydoom Source : OOP 구조로연결이상당히쉬운구조임

22 Why zeroday-worm? Exploit 자동생성 Metasploit

23 Why zeroday-worm? Exploit 출현관련 ( xfocus 류의중국및 k-otik, IRC)

24 Why zeroday-worm? 앞으로의예상 ( 전분야를공격하는웜의출현 ) SYSTEM (OS) Win NT/2000 Linux / Unix Service Application (IIS, Apache, Sendmail ) Service Attack (RPC, Messenger,LSASS ) Who is Next? Monster Bot or Zeroday-worm Commercial Application Language ( PHP,JSP, ASP )

25 Web Hacking 유형 -ex 웹해킹의이슈 ( 모의해킹이슈 -example 포함 ) SQL Injection Cookie spoofing 및 injection File Upload File Download CSS (Cross Site scripting, Cross-zone Scripting)

26 Web Hacking 유형 -ex 웹해킹? Web hacking 은기존의보안장비 IDS, IPS, Firewall 에의해차단된침입경로를대신하기위해사용이됨 Web Hacking 이성공시에내부에공격을하는시스템해킹의영역이일반화되어있음 최근의모의해킹은웹해킹이진행된후웹해킹의결과를바탕으로시스템해킹을진행하는것이일반적. 미래에도계속적인웹해킹분야와이를이용한내부공격이발전할것임 웹이강화됨에따라상대적으로내부보안이취약한면이많음

27 Web Hacking 유형 -ex SQL Injection 특수문자에대한필터링부족 실행원리 대부분의웹서버사용자인증과정 Select * from member where id= txtid and pw= txtpw 위의쿼리문에서 POST 방식으로 txtid, txtpw 인자값을전송하는방식 문자를내부적으로처리시에 인용부호를붙여서사용함 문자입력시SQL 문이제대로구성되지않는점을이용

28 Web Hacking 유형 -ex SQL Injection Sample

29 Web Hacking 유형 -ex SQL Injection Sample ( Web Admin 권한획득 )

30 Web Hacking 유형 -ex SQL Injection 권한획득후악성코드업로드및실행

31 Web Hacking 유형 -ex File 업로드및실행 ( 권한및파일확장자제어부분은 MITM 으로우회 )

32 Web Hacking 유형 -ex Reverse Telnet 으로경유서버공격 ( 공격자의 PC 9090 포트로연결 )

33 Web Hacking 유형 File Download 상대경로사용에따른취약성 /../../../../../../../etc/shadow root:ikiea..ddv23k:12356:::::: daemon:np:6445:::::: bin:np:6445:::::: 생략

34 Web Hacking 유형 -ex 다양한웹관련취약성을이용한웜의전파및 Bot 의전파가계속이루어지고있음 개발자의보안역량미숙및초기개발시의비용측면에서의접근으로보안관련취약성다수노출 현재거의대부분의치명적인공격은웹을매개체로한공격이일반적임 ( 기업체 ) 웹공격이후내부망에대한공격및시스템에대한다양한공격을시도함

35 결론 Zeroday-worm 은현실화 Application 취약성공격이 worm 과결합됨 하나의바이러스나웜에서수십가지의공격을수행하는 monster-bot 이나 worm 의출현은일반적인현상이될것임 보안의패러다임은안전한네트워크및사용자보호의관점으로급격히이동함 ( 빈익빈부익부 ) Application 개발에대한보안취약성요소에대한사전진단및취약성에대한지속적인진단필요 내부망에서의전파를막기위한분리및탐지정책과탐지도구및전문화된인력의필요

36 결론 - 계속 지속적인보안에대한관심필요. 사소한곳의노출로인해중요망까지영향을받을수있음 대외적인노출서버에대한엄격한관리및진단의상시화 보안은서비스의지속성을위해필수불가결한요소가되어있으나현재의 IT 산업에서는전문화된인력의수요가매우적으므로인력확충및교육에대한의지가필요함. 치명적인 virus 나웜은보안장비의확충에의해서차단될수있는것이아니므로사고처리및대응조직활성화를통해향후피해발생시피해의최소화가관건이될것이다. 위험은어디에나존재하고치명적!

37 Q & A 감사합니다. p4ssion@gmail.com winsnort@skinfosec.co.kr

슬라이드 1

슬라이드 1 2006 Security Trend & Threat 중국발해킹의발전과대응 2006.10.24 전상훈 [p4ssion] -Agenda - I. Security Trend 환경의변화 위협요소 Security의변화 공격유형의변화 II. 대응 I. Security Trend - 환경의변화 취약성및공격기술발전에따른정보보호기술의발전유형 Vulnerability & Attack