최신해킹기술소개및데모시연 이희조교수박현도, 최현상고려대학교정보통신대학컴퓨터보안연구실 {heejo, hyundo95, realchs}@korea.ac.kr April 15, 2009
해킹기술트랜드 해킹기술의변화 2
해킹목적의변화 (1) 과거의해킹목적 : 호기심, 해커들의실력과시용수단 목적의변화 : 금전적이득을얻기위한목적으로바뀌어감 Report on the Underground Economy, Symantec, Nov 2008 3
해킹목적의변화 (2) 핵티비즘 : 급진적인정치 사회적목적을달성하기위해벌이는컴퓨터해킹 2008 년 4 월 18 일, Anti-CNN 그룹이 CNN 중국웹페이지일부를해킹 최초의핵티비즘 (1989), anti-nuclear WANK worm, DEC VMS systems 의로그인화면을위와같이변경 4
해킹기법의변화 과거의해킹기법 : 단일기법을사용하는경우가많았음 기법의변화 : 자동화, 분산화, 고도화, 통합화 5
해커구성의변화 과거의해커 : Kevin Mitnick, Jonathan James 등의개인 구성의변화 : 글로벌화, 조직화, 분업화 해커그룹 : RBN(Russian Business Network) - 스팸, 피싱 Wicked Rose - 중국해커, GinWui 루트킷제작 NCPH(Network Crack Program Hacker) 그룹 Report on the Underground Economy, Symantec, Nov 2008 6
해킹규모의변화 과거의해커 : 소규모 구성의변화 : 대규모, 광역적 대규모개인정보유출사건,2008.12.30 7 대규모중국발 SQL 공격,2008.12.29
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 8
봇넷 (Botnet) 봇넷 : 악성코드에의해감염된봇호스트들로이루어진네트워크 공격자에의해원격조종,DDoS 공격을비롯한각종공격을수행 출처 : 한국정보보호진흥원, 2008 9
봇넷을이용한해킹공격들 대다수의스팸을전송, DDoS 공격을수행 개인정보취득및피싱등 출처 : 한국정보보호진흥원, 2008 10
봇넷의이용 직접감염코드를구매하여봇넷을제작 Report on the Underground Economy, Symantec, Nov 2008 구성된봇넷을빌리거나구매하여사용 Emerging Information Security Threats, Lenny Zeltser, 2007 11
봇넷을이용한랜섬어택 게임업체웹사이트를 DDoS 공격해서비스를못하게한후 2007 년 9 월말부터 20 여일간아이템베이등아이템거래업체장애유발및현금요구협박 홍커 ( 중국해커 ), 공격안할게돈내놔, DDoS 공격으로서버를다운시키겠다고협박해받아가는상납금이연간 10 억원을넘음 (2008) To stop the ddos, send us 50,000$. finfacts, 2006 년 1 월 18 일 12 한겨례신문, 2007 년 2 월 6 일
봇넷통계자료 (1) Symantec 의봇넷통계보고 하루평균 61,940 대의봇이적어도하나이상의공격에참여, 5,060,187 대의봇이 2007 년후반기에탐지 총 4,091 C&C 서버들이 2007 년후반기에탐지되었음 13
봇넷통계자료 (2) Damballa 의봇넷통계보고 인터넷에접속한 PC 중약 11% 가봇에감염됨 스팸메일의 80% 이상이봇에서전달됨 새로만들어지는봇코드의 80% 는안티바이러스툴에탐지가되지않음 Y. Xie (at Microsoft Research), Spamming Botnets: Signatures and Characteristics, SIGCOMM 08 AutoRE(Regular Expression) 알고리즘에의해탐지된봇의 Top 5 AS 들 [ 테이터 : 2006 년 11 월, 2007 년 6 월, 2007 년 7 월의 3 개월간의이메일데이터수집, 총 5,382,460 개의이메일수집 (1:25000 샘플링 ), 580,466 개의스팸메일, 5,916 개의 AS 에속하는 340,050 개의서로다른봇 IP 에서전달됨 14
봇넷의예 : NetBot NetBot attacker 최근아이템베이등국내아이템거래사이트를초토화시키고웹사이트를대상으로랜섬어택등 DDoS 공격의수행에사용된봇넷 15
봇넷의예 : Ghostnet Ghostnet 봇넷의일종인스파이네트워크 (RAT: Remote Access Trojans) 103 개국가의 1295 대의컴퓨터가감염 ( 주중한국대사관 PC 를포함, 브뤼셀, 런던, 뉴욕과인도각지에소재한티벳망명정부사무실, 이란방글라데시라트비아인도네시아필리핀등의외교부컴퓨터, 한국, 인도태국대만포르투갈독일파키스탄등의외국주재대사관컴퓨터침입 ) 이메일첨부파일클릭, 링크된웹사이트클릭혹은특정웹사이트방문시감염 컨트롤서버 4 대중 3 대는하이난광둥선정, 1 대는캘리포니아 메일서버내용이주로해커들의손에들어감, 이정보가중국정부의티베트분리독립운동을억제하는정책에활용됐을것으로추정 중국정부의인터넷스파이활동으로보는의견이다수 Jesse Hirsh, 2009년 3월 29일 16
봇넷탐지기술 Previous works (1) J. R. Binkley (at Portland State Univ), An algorithm for anomalybased botnetdetection, USENIX SRUTI 06 (2) A. Karasaridis (at AT&T Labs), Wide-scale BotnetDetection and Characterization, USENIX Hotbot07 (3) G. Gu(at Georgia Tech), BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlation, USENIX Security 07 (4) G. Gu(at Georgia Tech), BotSniffer: Detecting Botnet Command and Control Channels in Network Traffic, NDSS 08 (5) G. Gu(at Georgia Tech), BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection, USENIX Security 08 17
봇넷그룹행위특성 봇넷은그룹을이루어행위를하며, 정상그룹행위와구별되는특성을가짐 ( 변하지않는특성 ) 18
그룹행위를이용한봇넷탐지 1Gb/s 캠퍼스네트워크트래픽에서이틀간의트래픽을이용, 총 2400 만개의 DNS 쿼리를수집 20 개의알려지지않은봇넷과 10 개의알려진봇넷을탐지 19
네트워크기반봇넷탐지방안연구 과제수행 : 신종봇넷능동형탐지및대응기술개발 2008 년 3 월부터 3 년간한국정보보호진흥원과의공동연구 연구영역 신종봇넷탐지및관제시스템개발 20
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 21
SQL 인젝션공격 SQL 인젝션공격 웹해킹에서 SQL 인젝션은웹페이지를통해입력된파라미터값을이용하여쿼리를재구성하는방법 Web Based Attacks, Symantec, Feb 2009 22
SQL 인젝션공격의종류 SQL 인젝션공격의종류 Tautology Illegal/logically incorrect queries Union query Piggy-backed queries Stored procedures Alternate encodings Inference: blind injection, timing attacks (WAITFOR) 23
Mass SQL 인젝션공격 Mass SQL 인젝션공격 보통 DB 접속을통하는 SQL 인젝션과달리툴을이용하여한번의공격으로방대한코드를삽입하여다량의 DB 값을변조시킴으로웹사이트에악성코드를삽입하는등의치명적인영향을입히는 SQL 인젝션공격 2008 년 4 월초부터전세계 130 만개이상의웹사이트에악성코드를유포하는 SQL 인젝션공격코드가숨겨져있음이밝혀짐 POST 나 HTTP Header( 쿠키, 리퍼러등 ) 를이용한경우는공격로그를찾기어려움 악성코드삽입과정에서데이터의손실또는유실발생 24
Mass SQL 인젝션공격피해사이트 악성코드유포지출처 피해사이트들은악성파일이존재하는유포지로연결되도록스크립트가삽입되어있음 대부분의경유지는중국임 (.cn, 2008 년 6 월 10 일기준 ) Mass SQL Injection 공격기법과대응방안, NSHC, Jun 2008 25
자동화된 SQL 인젝션툴 자동화툴 : SQL Power Injector, HDSI, NBSI, Pangolin 등 26
Asprox 봇넷과 SQL 인젝션공격 Asprox 봇넷은패스워드취득, 스패밍, 피싱등의공격에사용되는봇넷이었음 2008 년 5 월경에발견된 Asprox 는새로운 SQL 인젝션툴을포함하고있었음 Anatomy of the Asprox Botnet, Oct. 2008 27
Asprox 봇넷 Mass SQL 공격수행 Asprox 는 Google 검색엔진을.asp 웹페이지를검색하고 mass SQL 인젝션공격을수행함 Asprox 는취약성을갖는웹페이지에 iframe 기반의 redirection link 를삽입하여추후방문자를감염시킴 Anatomy of the Asprox Botnet, Oct. 2008 28
Asprox: Forum.php Asprox 봇넷의 Forum.php 에포함된데이터 Anatomy of the Asprox Botnet, Oct. 2008 29
Mass SQL 인젝션공격대응 동적 SQL 사용지양 안전한웹사이트설계와구현 게시판이름처리용검증 특수문자치환 허용범위검증 웹서버보안강화 오류내용표시차단 SQL 서버보안강화 웹방화벽활용 웹보안취약점점검 IIS 의웹서버 ASP 디버깅옵션설정 KrCERT 웹취약점원격점검서비스 30
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 31
DNS 캐쉬포이즈닝 DNS 캐쉬 DNS 질의를통해얻은도메인과 IP 정보를캐쉬에일시적으로저장하여동일질의에대한응답으로사용 캐쉬보관보관유효기간 : Time To Live (TTL) 캐쉬포이즈닝공격 DNS 의캐쉬에공격자가원하는레코드를삽입 출처 : CheckPoint Software Technologies 32
DNS 캐쉬포이즈닝공격방법 (1) Eugene Kashpureff 에의해발표된공격기법 (1996) 공격자가소유또는점령하고있는 Authoritative Name Server 를이용하여타서버를오염시키는포이즈닝공격방법 N. Chatzis et. al., Motivation for Behaviour-Based DNS Security, SECURWARE 2007 33
DNS 캐쉬포이즈닝공격방법 (2) Race condition 을이용한캐쉬포이즈닝공격 스푸핑된가짜응답을바른응답보다먼저도착하게하는포이즈닝공격방법 N. Chatzis et. al., Motivation for Behaviour-Based DNS Security, SECURWARE 2007 34
DNS 캐쉬포이즈닝공격방법 (3) 봇넷과연동한강화된캐쉬포이즈닝공격 인위적으로 Authoritative NS 에부하를걸어 Recursive 요청에대한바른응답을늦추고스푸핑된가짜응답을먼저도착하게하는포이즈닝공격방법 N. Chatzis et. al., Motivation for Behaviour-Based DNS Security, SECURWARE 2007 35
Dan Kaminsky 공격 Dan Kaminsky 공격 (2008 년 7 월발표 ) 기존 NS 데몬의캐쉬포이즈닝공격대응 NS 데몬은이미존재하는정보에대한유입을차단함, 정상적인응답이유입된이후에시도되는허위응답은모두무시함 존재하지않는질의만을이용하여여러회의질의시도 전통적캐쉬포이즈닝방법에비해비약적으로성공률상승및장기적공격, 공격재시도회수의제한이없음 A. Herzberg, Network Security: Introduction, Adversaries and Poisoning, 2008 36
DNS 캐쉬포이즈닝공격패치 2008 년 10 월측정, 측정가능한서버중 75.30% 패치, 23.99% 취약 취약한서버중 48.26% BIND 9, 24.70% Nominum CNS (The Measurement Factory) 완전히방어되지못하는공격방식 공격전략변경으로성공확률증대가능 소수의질의, 다수의응답 -> 다수의질의, 소수의응답 BIND9 option for outbound DNS requests 37
DNS 포이즈닝취약성패치상황 Dan Kaminsky 공격기법발표후세계적패치상황 출처 : Clarified Networks 38
DNS 캐쉬포이즈닝공격방어 최신버전의 BIND 로업그레이드 Bind DNS 를설치시 Recursion 기능이기본적으로모두허용이되어있는데, Recursion 기능을사용한다면신뢰할수있는호스트에대해서만 recursive query 에대한응답이가능하도록설정, Recursion 기능이필요하지않을경우에는 Disable 시킴 BIND 는방화벽과라우터에서 DNS 서비스로자주사용되기때문에, 만일필요로하지않는서비스라면 Disable 시킴 DNSSEC 프로토콜사용 보안기능강화된 DNS 확장표준프로토콜인 DNSSEC 을사용하여 DNS 의신뢰성과무결성을보장하여 DNS 캐쉬포이즈닝공격을방어 39
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 40
ARP 스푸핑공격 ARP Spoofing 공격원리 LAN 카드의 MAC 주소를통일네트워크에존재하는다른 PC 에꽂혀있는랜카드의주소로위장, 다른 PC 에저달되어야하는정보를가로채는공격 통신하는정상적인두대의호스트는 ARP 스푸핑공격상황을인지하지못함 man-in-the-middle 공격중한가지방법 41
ARP 스푸핑을 이용한 피싱 공격 ARP Spoofing을 이용한 해킹 Ø 네트워크상의 트래픽을 탈취 및 위 변조를 통한 악성 iframe 삽입 Ø Sniffing의 대안으로 사용 가능 ü 암호화되지 않은 정보 유출 ü DNS 질의 응답 트래픽만을 위 변조하여 피싱 사이트로 접속 유도 출처 : 한국정보보호진흥원(KISA) 42
ARP 스푸핑공격상황 ARP 스푸핑공격의발생시증상 피해시스템에서의증상 네트워크속도저하 악성코드가웹페이지시작부분에위치 정기적인 ARP 패킷다량수신 공격시스템에서의증상 네트워크사용량증가정기적인 ARP 패킷발송악성프로그램의프로세스동작 43
ARP 스푸핑공격대응방법 (1) ARP 스푸핑탐지방법 피해시스템에서의탐지 ARP 테이블조회를통한 MAC 주소중복확인 송수신패킷에서악성코드유무검사 비정상적인 ARP 패킷수신확인 ARP 테이블감시도구활용 공격시스템에서의탐지 ARP 스푸핑실행프로그램확인 패킷캡쳐프로그램존재유무확인, 네트워크어댑터동작상황확인, ARP 패킷관찰 네트워크장비에서의탐지 ARP 테이블확인 패킷모니터링기능활용 44
ARP 스푸핑공격대응방법 (2) ARP 스푸핑공격방지대책 시스템에서의방지대책 정적인 ARP 테이블관리 ARP 스푸핑서버로악용되지않도록보안수준강화 중요패킷암호화 네트워크장비에서의방지대책 MAC 플러딩제어및정적인 MAC 주소관리 ARP 패킷검사사설 VLAN 기능활용 45
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 46
USB를 이용한 개인정보 해킹 악성코드에 감염된 USB를 이용한 개인정보 유출 Ø Ø Ø Ø 악성코드에 감염된 USB 삽입 시 자동으로 개인정보 수집 수집된 개인정보를 메일이나 외부로 전달 USB내의 autorun.inf파일에 의해 자동 실행 특히 U3 드라이브를 이용한 해킹 ü U3 드라이브 : 고성능 스마트(스토리지+소프트웨어) 드라이브 ü USB를 가상 CD로 인식, 자동 프로그램 실행 ü 자용자가 USB에 인스톨한 프로그램을 언제 어디서나 어떤 플랫폼에서도 사용 가능하게 함 ü 위의 편의성을 악용한 개인정보 해킹 사례 속출 47
USB 자동실행순서 USB 자동실행의문제점 48
USB 를이용한해킹도구 (1) Switchblade (USB 를이용한해킹도구 ) 시스템정보수집 수신대기중인모든포트목록수집 설치된패치목록수집 암호정보수집 로컬및모든네트워크암호수집 Internet explorer, 메신저, Firefox 및전자메일암호수집모든서비스계정암호가일반텍스트형태로들어있는 LSA 암호 49
USB를 이용한 해킹 도구(2) Hacksaw (USB를 이용한 해킹 도구) Ø Switchblade의 기능 모두 구현된 Ø Switchblade의 기능 이외 추가적으로 호스트에 Trojan설치 ü USB 플래시 드라이브 삽입 이벤트 모니터링 ü 호스트에 삽입되는 모든 다른 USB 메모리의 문서를 메일로 공격자에게 발송 50
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 51
애플리케이션취약점을이용한공격 애플리케이션취약점을이용한보편적인해킹공격에서벗어나문서파일을이용한해킹공격사례발생 GIF, MS Office 매크로, PDF 파일등을이용한해킹사례발생 PDF 를이용한해킹공격 (Adobe XML 아키텍처 ) 다양한응용프로그램, 문서양식, 네트워크연결등의각종서비스제공 이를이용한악성코드가실행되는문제점발생 52
PDF파일을 이용한 해킹 공격 Adobe Acrobat 및 Reader의 취약점 Ø 자바스크립트 메소드 원격코드 실행 취약점 Ø 취약한 버전의 Adobe Acrobat과 Reader ü 자바스크립트의 메소드에서 입력 값을 충분히 검사하지 않음 ü 이로 인하여 프로그램이 비정상적으로 종료되거나 취약점을 이용한 원격에서 코드 실행이 가능 ü 취약 대상 (Acrobat Reader, Acrobat Professional 8.1.2 이전버전) Ø 공격자는 PDF 파일 유포를 통해 사용자 PC를 악성코드에 감염 Ø 공격자는 XML을 이용하여 자바스크립트를 쉽게 PDF문서 내에 삽입 가능 53
PDF파일을 이용한 공격 대응방법 악성 PDF 파일을 이용한 해킹 공격에 대한 대처 방안 Ø 취약버전을 안전한 버전으로 업그레이드 Ø 향후 유사 취약점 노출로 인한 피해예방을 위해 아래와 같이 안전한 사용 습관을 준수 ü 신뢰되지 않은 웹사이트의 PDF 파일 다운로드 주의 ü 의심되는 이메일에 포함된 PDF파일 링크 또는 첨부를 클릭하지 않음 ü 개인 방화벽과 백신제품의 사용 54
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 55
SIP 를이용한 VoIP 서비스 Voice over IP (VoIP 또는 IP telephony) 인터넷망을이용한전화서비스 전세계적으로널리퍼지고있음 기존전화보다저렴한요금 SIP: 세션초기화, 연결, 종료를담당하는세션연결 종료담당프로토콜로서 VoIP 에표준으로사용 SIP 사용 VoIP: Globe7, Vbuzzer, VoIPGo, Gizmo Project, SJPhone, Skype for SIP SIP 관련공격의가능성 SIP 혹은 RTP 와관련된여러가지취약성이존재 SIP 관련공격은 VoIP 서비스공급자체를무력화시킬수있음 56
VoIP 서비스현황 VoIP 사용현황 국내사용자수도늘고있으며, 전세계적으로널리퍼지고있음 기존유선전화시장을대체 57
VoIP 의취약성 VoIP 취약성 비싱 (Vishing): 불특정다수에게전화를걸어개인정보를빼내는피싱기법 시큐어사이언스 : Skype 와 Google Voice 를해킹, 승인받지않은전화나몰래감청하는것이매우쉬움을발표 가상 Skype 봇넷의구축이가능 전자신문, 2009 년 4 월 14 일 58
VoIP 서비스공격 SIP 를이용한공격 비정상메시지공격 SIP 플러딩공격 (e.g. INVITE 플러딩 ) URL 변조 RTP 를이용한공격 미디어스패밍 (SPIT) RTP 플러딩 중간자공격 (Man-In-The-Middle) 비정상메시지공격 플러딩공격 59
SIP 를이용한공격툴 SiVuS : SIP 패킷헤더에임의값설정가능, SIP 패킷의생성속도조절가능 -60-
ARP 스푸핑을이용한 VoIP 도청 Cain & Abel: VoIP 음성데이터를 ARP 스푸핑을이용한도청가능 ( 중간자공격 ) -61-
VoIP 서비스공격방어 VoIPDefender 고려대학교보안연구실개발 SIP 공격중비정상메시지공격과 SIP 플러딩공격탐지및방어 비정상메시지공격탐지 RFC3261 의룰을이용, 정규표현식사용 SIP 플러딩공격방어 메시지의송수신상황에따라다른상태전이모델을사용 상황에따른정상적메시지임계값정의 62
VoIPDefender Windows DDK 필터드라이버사용프로토타입구현 비정상메시지탐지예 ( 비정상 INVITE 메시지수신탐지 ) http://ccs.korea.ac.kr/~aerosmiz/voip/voip_application.zip 63
최신해킹기술 봇넷을이용한해킹공격 Mass SQL 인젝션공격 DNS 캐쉬포이즈닝공격 ARP 스푸핑을이용한피싱공격 USB를이용한개인정보해킹 애플리케이션취약성을이용한공격 SIP를이용한 VoIP 서비스공격 최신해킹사례 : Conficker 64
최신해킹사례 : Conficker (1) Conficker worm 봇넷구축을위한감염코드전파에사용된웜 만우절에극성을부릴것으로예상되었음 (Downadup, Kido) 2008 년 11 월경 Windows Netbios 서비스및 Microsoft-DS 서비스보안취약점 MS08-067 이용확산 (139/tcp, 445/tcp) Slammer 이후최고로널리퍼진웜으로알려짐 900 만대 : F-Secure 1200 만대 : Arbor Networks 1500 만대 : UPI (United Press Intl.) 6%(11 만 5 천 /200 만 ): Panda security 시스템속도지연, 네트워크속도지연현상발생, 백신비정상작동, MS 업데이트사이트접속불가 Setup, security product terminators, P2P, Internet rendezvous 등의모듈로구성 SRI 분석보고서, 09년 3월 19일 65
최신해킹사례 : Conficker (2) Conficker 다양한감염경로 : MS08-067 취약점, 공유폴더, USB 이동저장매체등다양한형태의감염경로 가짜 Conficker 치료도구사기 microsoft, windowsupdate, hauri, ahnlab 등보안관련특정문자열이포함도메인의 DNS 차단 : 이를이용한탐지가가능 MS 제작자현상금 25 만달러 66
Summary 해킹기술고도화 공격방식이분산화, 고도화, 복합화되어단일기술로방어가어려움 해킹방어를위한공조필요 신속한정보공유및상호협력체제필요 동종분야및타분야와협력채널필요 정보외각지대의지원책필요 중소기업, 개인사용자등에해킹방어기술관련정보제공방안필요 67
Q & A 감사합니다 68