호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀 2015. 3.
제 1 장개요 1 1. ( 사고사례 1) ARP 스푸핑 2 2. ( 사고사례 2) 공유폴더악용 3 제 2 장 ARP 스푸핑 6 1. ARP 스푸핑공격개요 7 2. ARP 스푸핑공격발생증상 7 3. ARP 스푸핑공격확인방법 8 4. ARP 스푸핑공격대응방안 ( 서버 ) 9 5. ARP 스푸핑공격대응방안 ( 네트워크 ) 12 제 3 장공유폴더취약점 13 1. 공유폴더취약점을이용한공격개요 14 2. 공유폴더설정확인방법 14 3. 공유폴더취약점을이용한공격방지대책 15 제 4 장 VPN 악용 20 1. VPN 악용개요 21 2. VPN 실행여부확인 21 3. 설치된 VPN 제거방법 23 4. 포트점검및차단을통한 VPN 접근제한 25
제 1 장 개요 - 1 -
제 1 장개요 최근국내침해사고에서많이발견되는 중상당수가호스팅업체에서서비스를 제공받는경우이며 이러한시스템중상당수는해당시스템만공격을당한것 이아닌제 의공격을위해해킹공격경유지로악용되기도한다 이러한호스팅사업자에서제공받는시스템들은침해사고원인에있어서도독립적인시스템과는차이가있다 독립적으로운영중인시스템은해당시스템이가진웹취약점을악용한해킹 패스워드보안강도가약할경우브루트포스공격등으로최초침투가이루어진다 하지만호스팅사업자의시스템들의경우같은네트워크대역대를사용 유사패스워드사용등으로인한내부에서의침투가주원인이되는경우가많다 1. ( 사고사례 1) ARP 스푸핑 년초 호스팅사업자에게호스팅받는 사의홈페이지가악성코드경유지로악용된다는한언론매체를접하고 사는내부홈페이지소스코드를점검하였지만 해당업체의웹서버는외부침투흔적이없었으며소스코드역시변조된흔적이발견되지않았다 에서확인한결과 사의경우본인의서버는보안관리가철저하였으나 해당호스팅사업자의내부망내 업체의서버에서 공격을한것으로확인되었다 - 2 -
ARP 스푸핑공격사례 본사례에서확인할수있는것과같이 사가서버내보안관리가철저히 하더라도 내부망내타서버가공격자의거점일경우 악성코드경유지등으 로악용될수있다 2. ( 사고사례 2) 공유폴더악용 에서는과거부터사업자들에게는웹보안가이드등외부망에서의침투에대해서많은가이드를진행해오고있다 하지만 호스팅사업자들의서버를대상으로최근많이발생하는공격방식중하나는윈도우시스템에서제공하는파일공유시스템의취약점을악용한 권한탈취이다 윈도우서버들의경우디폴트로 등을공유설정하고 있기때문에이에대한관리가필요하다 - 3 -
특히호스팅사업자의경우관리패스워드등을동일하게사용하고있기 때문에 사전공격 등을이용하여타공유폴더에악성파일 등을삽입한후이를악용하는경우가많다 파일공유를통한공격침투의이벤트기록 이러한침투에대한확인은이벤트로그를통하여확인할수있다 위의그 림은호스팅서버내전혀관련이없는서버 대가파일공유를통하여통신한 이벤트로그로실제발생한사고의기록이다 위의 가지사례들과같이호스팅업체들은일반적으로방화벽설치등 인바운드패킷 외부에서들어오는공격 에대해서만신경을쓰기때문에망내 보안은소홀히하는경우가많다 이에따라본안내서 장과 장에서는호스팅사업자들이공격을탐지 예 방 조치하는방안에대하여설명을한다 - 4 -
또한 이러한해킹사고이후해당서버는 이설정되어해킹경유지로 악용되기때문에 장에서는공격자에의해 이설정악용되는경우탐지 및조치하는방법을서술한다 - 5 -
제 2 장 ARP 스푸핑 - 6 -
제 2 장 ARP 스푸핑 1. ARP 스푸핑공격개요 공격은로컬네트워크 에서사용하는 프로토콜의허점을이용하여자신의 주소를다른컴퓨터의 인것처럼속이는공격이며 정보를임의로바꾼다고하여 공격 이라고도한다 이러한 정보를임의로변경하여 패킷도청 을수행하거나 가로챈패킷을변조후전송하는방식으로악용된다 한서버가아무리안전하게구축되어해킹당할염려가없다고하더라도 해당서버가포함된네트워크내에취약한서버가존재할경우 공격으로쉽게데이터가유출되거나변조될수도있다 특히서버들이밀집해있는 환경에서별도의서브네트워크로구성되지않는경우 타업체서버의보안문제점이자사의보안문제로전이될수있다 2. ARP 스푸핑공격발생증상 1) 피해시스템에서의주요증상 네트워크속도저하 스푸핑을위해서버와클라이언트같은종단간통신을가로채에재전송하는시스템이있기때문에네트워크의속도저하가발생한다 악성코드유포공격코드삽입 패킷을가로챈후변조하는경우대부분은웹페이지가시작되는 태그주변에삽입한다 정기적인 패킷다량수신 피해시스템의 을계속해서변조된상태로유지하기위해공 - 7 -
격자는조작된 패킷을지속적으로발송하므로 패킷의수신 량이증가한다 2) 공격시스템에서의주요증상 네트워크사용량증가 타시스템간의통신을가로챈후재전송하기때문에 네트워크사용량이증가하게된다 정기적인 패킷발송 피해시스템의 을지속적으로변조시키기위해정기적인 패킷을발송한다 악성프로세스동작 스푸핑과패킷변조를위한프로그램의프로세스가동작한다 3. ARP 스푸핑공격확인방법 대부분의경우게이트웨이의 에동일한 주소가서로다른 로설정되어있는지확인가능하며 불규칙적으로 변조가이루어질때는 스푸핑공격을탐지하는도구 등 를활용하여모니터링가능하다 XARP 다운로드 : http://www.xarp.net - 8 -
ARP 공격탐지도구 : XArp 4. ARP 스푸핑공격대응방안 ( 서버 ) 정적으로관리하고자하는시스템의 와 주소를고정시킴으로서잘 못된 정보가수신되어도 이변조되지않게설정한다 1) 윈도우환경에서설정방법 관리자권한으로명령어프롬프트실행 주소고정설정명령실행 netsh interface ip add neighbors " 로컬영역연결 " " 게이트웨이 IP" " 맥어드레스 " - 9 -
주소고정설정해제 2) 리눅스환경에서설정방법 권한으로터미널실행 - 10 -
주소고정설정명령실행 아이피주소 맥어드레스 재부팅시 주소고정설정은해제됨 OS 재부팅마다 MAC 고정명령을실행하거나, /etc/rc.local 에명령등록을 통한자동실행설정필요 - 11 -
5. ARP 스푸핑공격대응방안 ( 네트워크 ) 1) 스위치설정스위치에수신되는 패킷들을검사하여마치 필터링을하는방화벽의동작과유사하게지정된경로로만 패킷이전송되도록하는기능을사용하는것도효과적이다 시스코장비의경우 이라고한다 2) 네트워크모니터링 스푸핑을감시하는 와같은모니터링도구를활용 하여네트워크대역의비정상적인 패킷을감시한다 - 12 -
제 3 장 공유폴더취약점 - 13 -
제 3 장공유폴더취약점 1. 공유폴더취약점을이용한공격 시스템관리자가시스템을빠르고효과적으로관리하기위한목적으로공유폴더를사용하는경우가있다 그러나공유폴더의계정및비밀번호가 웜으로인한사전공격 에의해탈취당하거나 비밀번호를지정하지않았을경우원격 의공유된디스크나폴더로접근하여파일을복사하거나삭제하는등의악성행위를수행할수있다 특히 호스팅업체들의시스템의경우물리적으로동일한위치에있으며 일부구버전 서버의경우디폴트로 등이공유설정되어있으므로이에대한확인도필요하다 2. 공유폴더설정확인방법 1) 서버내사용중인기본공유폴더확인 다음과같이명령어 원격 를통해공유디스크를확인 net view 사용 - 14 -
명령어 로서버내공유폴더설정확인 net share 사용 제어판 컴퓨터관리 공유폴더항목에서현재클라이언트연결 수및세션등공유폴더사용내용확인 GUI 를이용한공유폴더확인 - 15 -
3. 공유폴더취약점을이용한공격방지대책 공유폴더의경우사용을자제하는것이좋으나 불가피하게사용할경우사전공격을방지하기위하여비밀번호의복잡도를높여서사용하는것이보안상안전하다 그러나공격자가특정서버를공격하기위하여공유폴더취약점을이용하는경우가있어이를방지하는대책이필요하다 이러한공유폴더취약점을이용한공격을해결하기위하여 다음과같은방지대책을수립하여서버를운영한다 1) 윈도우기본공유폴더사용비활성화 윈도우내기본으로공유되고있는공유폴더의사용을비활성화하여 공유 폴더의사용을제한할수있다 명령어 공유이름 를통해공유폴더공유를해제 공유폴더공유해제설정은서버재부팅시적용되지않음 공유해제명령어 - net share C$ /delete // C$ 공유해제 - net share ADMIN$ /delete // ADMIN$ 공유해제 - net share D$ /delete // D$ 공유해제 - net share IPC$ /delete // IPC$ 공유해제 - 16 -
레지스트리편집기를통해공유폴더사용비활성화 서버재부팅시에도레지스트리에등록되어있어 공유폴더사용불가 윈도우기본공유폴더 (C$, ADMIN$ 등 ) 관련레지스트리수정 1. HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters 2. DROWD 형태의새로운값생성 - Professional일경우 : AutoShareWks - Server일경우 : AutoShareServer 3. 값데이터 : 0 원격관리를위한 IPC$ 레지스트리수정 1. HKLM\System\CurrentControlSet\Control\LSA 2. Value name : RestrictAnonymous 3. 값데이터 : 1 ( 기본값 0) - 17 -
2) NetBIOS, CIFS 취약점해결방법 는서로다른두컴퓨터가네트워크를통해데이터를교환할수있도록 에서개발한기능으로파일및프린트자원의공유에사용되고있다 는 나 보다상위계층인세션계층에위치하며 이름부여서비스 데이터그램서비스 세션서비스 일반명령어서비스를제공한다 은 이출시되면서도입된파일공유프로토콜이다 의약점을극복하고보다안전한데이터공유를위해도입되었다 의경우 포트를이용하고있는데해킹공격의주된공격포트로지나치게악용되어 서버관리자는 번포트의모니터링이필요하다 및 에서기본으로제공하는서비스및포트는다음표와같다 포트번호프로토콜서비스명설명 137 TCP NetBIOS 이름관리네트워크상의자원을식별하기위해사용 138 UDP NetBIOS 데이터그램 139 TCP NetBIOS 세션 445 TCP/UDP Microsoft-ds 호스트, 그룹또는 LAN 전체로 브로드캐스팅하기위해사용 네트워크공유등을이용한실제데이터를송수신하는데사용 파일, 프린터, 비동기식포트를공유하기위한통신프로토콜 서버관리자의경우아래그림과같은명령어를이용하여사용중인포트를확 인한후 라우터내 에서제공하는포트차단여부를확인하여서버 관리를위한환경에문제가없는지를확인후에정책을세워운영하여야한다 - 18 -
NetBIOS, CIFS 에서제공하는포트차단여부를확인 - 19 -
제 4 장 VPN 악용 - 20 -
제 4 장 VPN 악용 1. 개요 서버악용사례는 시스템에서기본적으로제공하는 서비스를사용한것이므로 프로토콜의 포트사용유무확인을통해비교적수월하게탐지할수있다 시스템에서는 의 를이용하여 을구축한다 따라서 의실행유무및 프로토콜의 포트사용유무확인을통해 서비스를탐지할수있다 2. VPN 실행여부확인 1) 윈도우환경에서확인 명령으로 프로토콜 포트가 상태인지확인 제어판 컴퓨터관리 서비스및응용프로그램 서비스 항목에서 의상태확인 - 21 -
2) 리눅스환경에서확인 권한으로터미널실행 프로토콜 번포트상태나프로세스리스트에서 유무확인 명령으로 프로토콜 포트가 상 태인지확인 명령으로 가실행중인지확인 - 22 -
3. 설치된 VPN 제거방법 1) 윈도우환경에서 VPN 설정제거 제어판 컴퓨터관리 서비스및응용프로그램 서비스 항목선택 아래 선택하여 서비스중지 실행 속성창에서시작유형을 사용안함 으로 - 23 -
변경후적용 2) 리눅스환경에서 VPN 설정제거 불법적으로실행된 을종료 실행중인 의프로세스 를확인한다 명령어를이용해해당데몬을중지시킨다 패키지를삭제 명령어를이용하여 패키지를삭제한다. - 24 -
에의해열려있던 를 에서차단 번 로들어오는패킷을막는다 번 로들어오는패킷을막는다 4. 포트점검및차단을통한 VPN 접근제한 시스템에서 을제거및포트를차단한후에는문제가없는검증 하는것이좋다 이를위해 등과같은툴을이용하여포트를점검할수있다 네트워크내부에서점검 네트워크내부에 포트 기본포트 가열려있는지확인한다 또한 으로사용될수있는 의기본포트인 에대해서도위와같은방법으로확인할수있다 포트가열려있는서버가발견되면해당서버에 실행여부를확인후제거한다 네트워크외부에서점검 호스팅사업자의경우자사에서운영중인 방화벽등을활용하여외부에서 포트 기본포트 또는 포트 를차단하는것이가능하다 - 25 -
자사에서운영중인 방화벽등에맞는정책을만들어적용시킨다 - 26 -