SQL Injection 등의 공격 피해 줄어들 것을 기대하는 마음으로 KISA 측에서 보안강화 가이드라인을 발표했다.
과련자료는 <보안뉴스 참조 : 자꾸만 뚫리는 웹 서버...보안대책없을까?>
KISA는 2005년부터 KrCERT/CC 홈페이지(www.krcert.or.kr)를 통해 지난 1일, IIS 및 아파치 웹 서버 보안 강화 가이드를 발표했다. 이는 이전 발간된 가이드의 개정판으로서 그동안 새로운 업데이트된 내용을 추가한 것이다.
2005년 부터 SQL Injection 등의 웹 서버 공격이 줄지않고 있어 피해를 줄어들 것을 기대하는 마음으로 설치방법 및 사용법을 소개 했다.
가장 효율적인 웹 취약점 예방 방법은?
가장 효율적인 방법으로 웹 방화벽의 도입을 검토할 필요가 있다. 그러나 기업에서 경제적인 문제로 인해 상용 웹 방화벽 도입이 어려운 경우가 많다. 따라서 상용 웹 방화벽의 도입이 어려운 곳에서는 KISA에서 지원하는 공개 웹 방화벽을 설치하여 웹 공격으로부터 좀더 안전하게 방어하는 것이 바람직하다.
ARP Poisoning [Spoofing] 악성코드 감염사고 분석
최근 ARP Poisoning을 이용한 악성코드 감염피해 사고가 빈번히 발생하고 있다.
많이 확인되고 있는 피해유형은, 웹을 통하여 악성코드를 유포시키고, ARP Poisoning 전용도구를 이용하여 동일 네트워크 내에 있는 다른 PC들을 추가로 감염시키는 유형이다. ARP Poisoning 공격 시, 최근에 공개된 FlashPlayer 취약점을 악용하여 악성코드를 유포하는 경우도 확인되었다. 또한, ARP Poisoning 공격으로 인하여 네트워크 서비스 장애가 발생하는 경우도 다수 확인되고 있다.
ARP Poisoning 공격의 경우, 악성코드 감염 외에도 DNS 파밍 공격 및 정보 유출등 공격 응용 범위가 매우 넓으며, 피해가 발생할 경우, 자신의 시스템 외 에도 네트워크 내의 다른 사용자들에게도 피해를 주게 되므로 주의를 하여야 한다.
ARP Poisoning 공격을 통한 악성코드 감염 플로우
o 이번에 확인된 사례는 사용자PC가 감염된 후, ARP Poisoning 전용 공격도구가 추가로 설치 및 실행되어, 해당도구에 의하여 로컬 네트워크(Subnetwork) 내의 타 취약 PC들이 추가로 감염피해를 입는 유형이었다.
arps.com (arps.exe) 악성코드
감염 확인 방법
처리 방법은 기술자료 참조..
가장 효율적인 방법으로 웹 방화벽의 도입을 검토할 필요가 있다. 그러나 기업에서 경제적인 문제로 인해 상용 웹 방화벽 도입이 어려운 경우가 많다. 따라서 상용 웹 방화벽의 도입이 어려운 곳에서는 KISA에서 지원하는 공개 웹 방화벽을 설치하여 웹 공격으로부터 좀더 안전하게 방어하는 것이 바람직하다.
웹 서버 보안강화 가이드 라인 발표
아래 자료는 가이드 라인 자료를 일부 발췌했습니다. 자세한 사항은 PDF 다운로드 해서 보시길 바랍니다.
ARP_Poisoning.pdfARP Poisoning [Spoofing] 악성코드 감염사고 분석
최근 ARP Poisoning을 이용한 악성코드 감염피해 사고가 빈번히 발생하고 있다.
많이 확인되고 있는 피해유형은, 웹을 통하여 악성코드를 유포시키고, ARP Poisoning 전용도구를 이용하여 동일 네트워크 내에 있는 다른 PC들을 추가로 감염시키는 유형이다. ARP Poisoning 공격 시, 최근에 공개된 FlashPlayer 취약점을 악용하여 악성코드를 유포하는 경우도 확인되었다. 또한, ARP Poisoning 공격으로 인하여 네트워크 서비스 장애가 발생하는 경우도 다수 확인되고 있다.
ARP Poisoning 공격의 경우, 악성코드 감염 외에도 DNS 파밍 공격 및 정보 유출등 공격 응용 범위가 매우 넓으며, 피해가 발생할 경우, 자신의 시스템 외 에도 네트워크 내의 다른 사용자들에게도 피해를 주게 되므로 주의를 하여야 한다.
ARP Poisoning 공격을 통한 악성코드 감염 플로우
o 이번에 확인된 사례는 사용자PC가 감염된 후, ARP Poisoning 전용 공격도구가 추가로 설치 및 실행되어, 해당도구에 의하여 로컬 네트워크(Subnetwork) 내의 타 취약 PC들이 추가로 감염피해를 입는 유형이었다.
<ARP Poisoning 및 악성코드 감염 과정>
arps.com (arps.exe) 악성코드
- ARP Poisoning 을 위한 전용도구
.공격자는 arp.exe를 통하여 로컬 네트워크에 존재하는 서버 또는 PC를 대상으로 아래와 같은 공격이 가능하다
☞ 데이터 유출
해커는 로컬 네트워크 내에 암호화 되지 않은 상태로 전송되는 데이터들을 캡쳐 할 수 있음
☞ 악성코드 유포
해커는 트래픽 Payload 변조 및 악성 html 코드 삽입을 통하여,
악성코드 유포목적으로 활용할 수 있음
<악성 html코드 삽입 예>
☞ DNS 파밍 공격
DNS 응답 트래픽 변조를 통하여 DNS 파밍에 악용할 수 있음.
☞ 통신 속도 제한
해커는 사용자 통신 속도를 제한할 수 있음
.공격자는 arp.exe를 통하여 로컬 네트워크에 존재하는 서버 또는 PC를 대상으로 아래와 같은 공격이 가능하다
☞ 데이터 유출
해커는 로컬 네트워크 내에 암호화 되지 않은 상태로 전송되는 데이터들을 캡쳐 할 수 있음
<Arp Poisoning을 통하여 FTP 접속 ID, Pass 를 유출하는 예>
☞ 악성코드 유포
해커는 트래픽 Payload 변조 및 악성 html 코드 삽입을 통하여,
악성코드 유포목적으로 활용할 수 있음
<악성 html코드 삽입 예>
☞ DNS 파밍 공격
DNS 응답 트래픽 변조를 통하여 DNS 파밍에 악용할 수 있음.
☞ 통신 속도 제한
해커는 사용자 통신 속도를 제한할 수 있음
감염 확인 방법
- 감염 과정에서 다수의 파일을 다운로드 및 설치하므로 컴퓨터의 동작이 순간적으로 느려짐. 특히 이후에 네트워크 응답이 지속적으로 늦어지거나 네트워크 장애가 발생하면 감염을 의심할 수 있다.
- 동일한 로컬 네트워크 내 다른 PC들의 ARP 캐시 테이블에 감염 의심 컴퓨터의 실제 MAC 주소가 아닌 게이트웨이의 MAC 주소 엔트리가 있을 경우, ARP Poisoning 공격 악성코드에 감염되었을 가능성이 크다. 윈도우에서 MAC 주소 및 ARP 캐시 테이블 확인 방법은 다음과 같다.
① 윈도우의 시작 버튼 클릭
② 실행 창을 열고 cmd.exe를 실행
③ 명령 프롬프트에서 "ipconfig /all", "arp -a" 명령 입력 - 악성코드 설치과정에서 생긴 다음의 특징적인 파일들이 있을 경우 감염을 확인 가능하다.
- C:\Windows\Tasks\ 폴더에 csrss.exe 파일 등
- 다수의 폴더에 wsock32.dll이 숨김 파일로 존재할 경우
- C:\WINDOWS\system32\drivers\etc\hosts 파일이 변조된 경우
- C:\Program Files\에 글자를 알아볼 수 없는 폴더
처리 방법은 기술자료 참조..
'윈도우 보안' 카테고리의 다른 글
| ASP 코드에서 SQL 삽입 공격 취약점을 찾을 수 있는 분석툴 (0) | 2008/07/08 |
|---|---|
| 800개 사이트 해킹` 대형 악성코드 사고 (0) | 2008/07/08 |
| KISA, 웹 서버 보안강화 가이드라인 발표 (0) | 2008/07/07 |
| 웹해킹은 방화벽+패치+백신해도 해킹한다 (14) | 2008/07/03 |
| 10가지 웹어플리케이션 보안 취약점 (0) | 2008/07/02 |
| 웹해킹 공격 사례 #2 (0) | 2008/07/01 |
댓글을 달아 주세요