untitled

Similar documents
*2008년1월호진짜

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

untitled

untitled

untitled

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

SKINFOSEC-CHR-028-ASP Mssql Cookie Sql Injection Tool 분석 보고서.doc

제목 레이아웃

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

PowerPoint Template


취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

게시판 스팸 실시간 차단 시스템

DBMS & SQL Server Installation Database Laboratory

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Ç¥Áö


Windows 8에서 BioStar 1 설치하기

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

<4D F736F F F696E74202D C0A5BCADB9F620BAB8BEC8BCB3C1A420B0A1C0CCB5E52E707074>

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

第 1 節 組 織 11 第 1 章 檢 察 의 組 織 人 事 制 度 등 第 1 項 大 檢 察 廳 第 1 節 組 대검찰청은 대법원에 대응하여 수도인 서울에 위치 한다(검찰청법 제2조,제3조,대검찰청의 위치와 각급 검찰청의명칭및위치에관한규정 제2조). 대검찰청에 검찰총장,대

Microsoft PowerPoint - 10Àå.ppt

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

암호내지

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

ActFax 4.31 Local Privilege Escalation Exploit

AhnLab_template

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

슬라이드 1

BEA_WebLogic.hwp

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

Observational Determinism for Concurrent Program Security

PowerPoint 프레젠테이션

¼ºÆø·Â-º»¹®

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

½Å¹®319È£

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

#WI DNS DDoS 공격악성코드분석

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

ìœ€íŁ´IP( _0219).xlsx

Microsoft Word - À©µµ¿ì 2000 DNS º¸¾È ¹æ¹ý.doc

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

PowerPoint 프레젠테이션

로거 자료실

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft PowerPoint - chap01-C언어개요.pptx

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

untitled

WebKnight를 활용한 IIS 웹서버 보안

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

문서 템플릿

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

PowerPoint 프레젠테이션

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

PowerPoint 프레젠테이션

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

5th-KOR-SANGFOR NGAF(CC)

당신의 AD 는안녕하십니까? AD(Active Directory) 관리자계정탈취를통한기업내부망장악사례와대응방안 본사고노트의전부나일부를인용시반드시 [ 자료 : 한국인터넷진흥원 ] 을명시하여주시기바랍니다.

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

< FC1A6BEC8BFE4C3BBBCAD2E687770>

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

Microsoft PowerPoint - 강연회자료_CERT_0612

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

PowerPoint 프레젠테이션

PowerPoint Presentation

untitled

untitled

MySQL-.. 1

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Microsoft Word - CAE 클러스터 환경 구축-ABAQUS.doc

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

ISP and CodeVisionAVR C Compiler.hwp

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

<32355FC8A8C6E4C0CCC1F620B1B8C3E020BAB8BEC820B0A1C0CCB5E52E687770>

Microsoft Word - src.doc


소만사 소개

PowerPoint 프레젠테이션

Transcription:

SQL Injection 취약점을이용한 윈도우즈웹서버사고사례 2005. 7. 29 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. - 1 -

1. 개요 05년 5월경부터꾸준히발생하고있는홈페이지변조를이용한악성코드전파사고들은대부분 SQL Injection 취약점을이용한것으로확인되고있다. 금번사고는물론유사한피해사고의분석결과에서대부분의공격지가국외의특정국가로부터시작되는것을확인할수있었는데, 이는해당국가의해커그룹에서공격툴을제작, 배포한것이큰이유인것으로보인다. 본문서에서는피해서버에서확인된공격관련자료들과 SQL Injection 공격에대응하기위한 보안대책을알아보도록한다. 2. 피해시스템개요 A사의홈페이지서버 (2개도메인웹서비스중 ) 운영체제 : Window 2000 Server 웹서버 : IIS 5.0 DB : MS-SQL 기타서비스 : MS FTP 시스템용도 : Web, Mail, DNS, FTP, DB 3. 피해현황 A 社의피해시스템은해당업체의홍보용홈페이지로서유사한사고와마찬가지로해커는 홈페이지초기화면 (index.asp) 의마지막라인에 iframe 소스를추가하여, 홈페이지에접속하는 사용자중 Windows 보안패치를하지않은사용자에게악성코드가다운로드되도록하였다. iframe을통해접속되는외부페이지는옵션을통해링크되는페이지의내용이사용자의화면에서는보이지않도록하였으며, 악성코드가설치될경우국내온라인게임정보가국외로전송되는것은다른유사한사고와동일하였다. 4. 피해분석 해당서버는분석결과총 4번의초기화면소스수정사고가있었던것으로확인되었으며, 4번모두국외의특정도메인주소가 iframe을이용해초기화면에추가되어있었다. 해당도메인은 nslookup 조회를통해중국에할당된 IP를사용하고있는시스템으로연결되어있는것으로확인되었으나, 분석후 1일이지난시점에서는해당도메인의 IP가국내에할당된 IP로변경된것으로확인되었다. 이는악성프로그램을저장해놓은도메인을 IP로는차단할수없다는것을얘기하며, 도메인정보조회를통해확인한결과해당도메인의소유자는중국인으로확인되 었다. - 2 -

>> www.xxxxx.com Administrative Contact: xxxxxxx hxxxxxxxxx sxxx zxxx sxxx zxxx gxxxxx dxxx 518000 CN tel: 86 xxxx xxxxxxxx fax: 86 xxxx xxxxxxxx xxx@sxxxxxx.xxxt 가. 공격지분석 1) 웹로그피해서버의웹로그를통해홈페이지변조와관련된 SQL Injection 공격로그가다수확인되었다. 웹로그상으로확인된최초공격시기는 6월 20일로서마지막공격이있었던 7월 21일까지모두 10개 IP에서의공격기록을확인할수있었다. 공격 IP는모두중국에할당된 IP로확인되었으며, 로그패턴이일정한것으로보아동일한공격툴을이용해해킹을한것으로예상된다. SQL Injection 공격흔적 - 공격관련로그 일정한패턴의로그가짧은시간안에반복되고있고, 다른일자에도같은형태의로그가생성된것으로보아자동화된툴을이용한것으로예상된다. 실제로그상에는 500 에러메시지가남아있지만, 공격으로인해생성된 DB 테이블이확인되고있어공격이성공한것으로확인되었다 [ 표 1] 6 월 20 일웹로그 - 3 -

[ 표 2] 7월 3일웹로그 - 확장저장프로시저 (Extended Stored Procedure) 를이용한내부명령어실행 MS-SQL에서제공되고있는 xp_cmdshell 프로시저를이용해시스템내부명령어를실행한로그가확인되었다. 6월 26일을시작으로 7월 21일까지수차례에걸쳐 xp_cmdshell 프로시저를이용, 해킹에이용하기위한프로그램들을설치하였다. 다음내용은 echo 명령을통해 ll.asp 라는페이지를생성한로그로실제피해시스템에서는 ll.asp가남아있지않아로그파일을통해재구성한결과, ll.asp는 form을통해피해시스템에파일을생성하기위한 asp 페이지로확인되었다. [ 표 3] echo 를이용한악성페이지 (ll.asp) 생성로그 - 4 -

[ 그림 1] echo 명령을이용해생성된악성페이지 (ll.asp) 해커는생성한 ll.asp 이외에도 echo 명령을이용해외부에서파일을가져오기위한 vbs 스크립트파일을생성한후, cscript 명령을이용해악성프로그램을다운로드한것으로확인되었는데, 이런방법은최근의중국과관련된해킹사고에서도자주확인되고있다. 이외에도웹로그상에는 tftp를이용해외부의사이트에서악성프로그램을다운로드한로그도같이확인되고있다. [ 표 4] cscript 를이용한악성프로그램다운로드 - 5 -

2) 시스템로그 Windows나서비스의취약점을이용해시스템을공격한것이아니므로초기화면변조가있었던시기를포함한전체시스템로그에서는특이한내용을발견할수없었다. 3) 기타 악성프로그램관련 홈페이지초기화면의변조이외에도시스템의 \WINNT\system32 디렉토리에다수의악성프로그램이설치된것을확인할수있었는데, 악성프로그램과레지스트리수정을위한파일, 그리고이를실행하기위한배치파일들이설치되어있었다. 설치된패치파일내용에남아있던 radmin 프로그램은원격에서시스템을제어하기위한프로그램으로이러한프로그램을사용해홈페이지변조작업을할경우관련기록이남지않는다. [ 그림 2] 레지스트리에추가된 Radmin 프로그램관련내용 다음해커가설치한프로그램의실행화면으로설치한악성프로그램을이용, 시스템관리자계정과암호를찾아낸화면이다. 해당프로그램은해킹에필요한관리자계정과암호검색, 프로세스리스트확인및포트확인등의다양한기능을가진것으로확인되었다. - 6 -

[ 그림 3] 악성프로그램을이용한관리자계정 / 암호확인 또한해커는 setime이라는프로그램을이용, 설치한프로그램의생성시간을변경한것이웹로그를통해확인되었는데, 이는사고후의분석작업을어렵게하려는의도로예상되며기존의사고에서는보기어려운것이었다. [ 표 5] 악성프로그램을이용한파일생성시간변경 패치설치관련 본사고의원인이 Windows 보안패치에있지는않았지만, 사고이전보안패치를설치한날짜는 05년 6월중순경으로확인되었다. 최근에는보안취약점이발표되는당일을전후하여공격프로그램이공개되는경우도확인되고있어 Windows 보안패치는가능한발표즉시설치하도록한다. - 7 -

5. 결론및보안대책 홈페이지소스변조를통한악성코드전파사고의경우홈페이지변조사고와는달리확인까지많은시간이소요가되며, 보안조치또한문제가된페이지의소스를수정해야하므로짧은시간안에조치가이루어지기는어렵다. 또한, 국내사이트를대상으로확인해본결과 SQL Injection 취약점을가지고있는홈페이지의수가상당히많은것으로추정되고있다. 이에한국정보보호진흥원에서는기본적인보안대책과더불어국내주요 IDC와 SQL Injection 취약점을점검할수있는 IDC 공동웹서버취약점무료점검 행사를 8월한달동안진행할예정에있으며, 다음 URL을통해점검신청을할수있다. IDC 공동웹서버취약점무료점검행사 - http://www.kisa.or.kr/news/2005/checkservice/intro.html 보안대책 가. 확장저장프로시저 (Extended Stored Procedure) 의제거 o MS-SQL에서기본적으로제공되는확장저장프로시저는홈페이지내취약한페이지가존재할경우, 금번과같이악용되는경우가발생하게되므로 xp_cmdshell, xp_regread, xp_dirtree와같이공격자에게악용될수있는프로시저는가능한삭제하도록한다. [ 그림 4] 확장저장프로시저의제거 나. 사용자입력값에대한검증필요 o 홈페이지내에서사용자가입력하는입력값이나 URL의인자값을처리하는페이지에서는입력값에대해검증하는절차가필요하다. 특히게시판에서 DB 정보를가져오는부분 ( 인자값 ) 에비정상적인 SQL - 8 -

Query에대해검증하는절차가반드시필요하다. - 게시판에서사용자가입력하는페이지에서도입력내용에대한필터링을하도록한다. - 특수문자 (' " / \ ; : Space -- + 등 ) 와 SQL 구문 (union, select, insert 등 ) 필터링 o 게시판등에불필요한파일첨부기능을제거하고, 첨부가필요한경우확장자가 jsp, php, asp, cgi 등실행가능한파일의첨부를차단하도록한다. 참고문서 o 홈페이지개발보안가이드 (KISA, '05) - http://www.kisa.or.kr/news/2005/announce_20050427_submit.html - 9 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원