요즘 다시 웹페이지 변조 공격을 당하고 있는 사이트가 많아 졌습니다.

익스플러러 7.0 을 설차하신 분들이라면, 사이트의 상단에 노란색 ActiveX 경고 중에서 Microsoft DATA Access Control 이라는 내용의 문구가 있는 경고를 보셨을 겁니다.
물론 모두가 다 페이지 변조 공경을 당했다고 볼 수는 없지만 의심을 해봐야 합니다.

요즘 이런 공격은 대부분 SQL  인젝션 공격이나 웜의 유입 등으로 이루어지게 됩니다.
내부 사용자들의 무분별한 서버의 억세스와 파일 복사 작업, 백신의 설치 상태 미비 등이 원인이 매우 크다고 볼 수 있습니다.

저도 사실 정확한 경로를 읊을 정도로 보안 전문가는 아닙니다만, 공격을 당한 시스템에 보면 특이한 이벤트 로그(장치 설치 및 시작 관련)서비스 가 올라와 있거나, 이상한 파일들이 특정 폴더에 들어 있는 경우를 대부분 보게 됩니다.

점검해야 폴더들
  • C:\WINDOWS\system32
  • C:\WINDOWS\system32\dllcache
  • C:\WINDOWS\system32\drivers
  • C:\WINDOWS\system32\wbem
  • C:\WINDOWS\system32\spool\drivers
  • C:\WINDOWS\temp\
  • C:\WINDOWS\tasks\
    추가적으로 이벤트 표시기의 시스템 이벤트와 응용프로그램 이벤트를 점검합니다.

    대부분 페이지 변조는 JS 파일에서 이루어집니다. 이파일이 대상이 되는 이유중에서 가장 큰 이유는 이 파일 경로를 알면(URL 창에 도메인과 파일.js 를 입력) 이 파일을 다운 받을 수 있을 뿐만 아니라, 이 파일안에는 내부의 경로가 보이게 됩니다.

     그런다음 변조해서 다시 덮어씌우는 방법이라고 볼 수 있는데요. 이 과정에서 SQL 인젝션이나 웜을 이용한 공격이 이루어지게 됩니다. 그러므로 소스 바인딩은 매우 중요합니다. 소스 바인딩 뿐만 아니라 js 파일도 가급적이면 같은경로를 사용하는 것이 좋습니다.
    개발자들도 보안부분에 대하여 많은 신경을 써야 하는 것은 당연합니다.

    아래의 디렉터리에 첫번째와 두번째 있는 파일이 의심스러운 파일들입니다. 아래의 경우에는 0Kb 인것을 보면 인젝션이 성공을 하지 못한 케이스인데요. 원인은 웹나이트 등으로 필터가 되었던지, 인젹션 공격중에 세션이 끊긴 경우라고 볼 수 있습니다. 파일 복사가 전부 이루어지지 않은 상태입니다.

    그리고 변조되는 파일의 시간은 대부분 새로 생성된 파일들의 날짜로 변형이 됩니다.
    변조 파일을 찾는 방법은 HTTP Watch 를 이용하거나 시간등을 이용하면 쉽게 찾을 수 있습니다. 아래의 VXD 파일은 아시다 시피 장치를 로드하게 합니다.

    위의 파일들이 설치가 되면 숙주가 되는 것이라고 보시면 될듯합니다. 안의 세부 내용 분석은 바이너리이기 때문에 알수는 없습니다. 아래의 파일들은 시작과 동시에 백도어가 동작할 수있도록 하는 설치 파일이라고 볼 수 있습니다.

    사용자 삽입 이미지
    해킹이 이루어지지 못하게 하는 방법의 정석은 없습니다. 웹에 대한 공경은 방화벽으로는 막기 어렵습니다. 그리고 내부 사용자들의 접근은 방화벽을 우회하는 경우가 많습니다.

    웹나이트나 URLscan 등을 이용하여 웹사이트 URL 요청을 필터링을 하고,  해킹이 당한 시스템은 가급적 격리를 합니다.  격리 후에 가급적이면 재설치등을 이용하는 방법이 좋지만 서비스를 진행해야 한다면, 해당 이상 파일들을 찾아서 NTFS 권한 변경 작업을 하거나, 삭제합니다. 이런 경우 다시 해킹 당할 소지가 매우 높습니다.

    서버의 방화벽을 올리고 네트워크에서 뛰어넘기가 불가능하도록 합니다.(RPC 사용 금지)
    네트웤에서의 접근은 최대한 줄입니다.

    위의 세가지만 이루어진다고 해도 변조를 당한 시점에서도 많은 부분을 막을 수 있습니다.
    사용자 삽입 이미지
    아래는 서비스에 이상이 없는 상태에서만 가능하도록 설정한 후 방화벽을 올린 화면입니다.
    예외에 필요한 부분은 체크를 합니다.
    이렇게 해서 얻을 수 있는 효과는 네트워크 뛰어넘기가 불가능하며, 백도어가 실행이 되어도 외부의 접근을 허용하지 않습니다.
    여기서 네트워크 뛰어넘기라는 것은 어드민 암호와 패스워드를 이용하여 모든 서버에 감염이 되는 것을 말합니다. 매우 심각해 질 수 있는 경우 입니다.

    변조가 되는 경우에는 서버의 컨트롤이 무엇인가 의하여 해커에게 넘어갔다고 보시면 됩니다.
    해커들도 콘솔앞에서 하는 해킹이 아니므로 네트워크만 차단된다면, 그들이 필요로 하는 접근을 막을 수 있는 셈이지요.

    사용자 삽입 이미지

    보안 장비의 도입을 통해서는 즉각적인 처리를 할 수는 없지만, 도입을 빨리 추진하는 것이 좋습니다. 웹 방화벽, IPS, ISA 등의 기능을 활용할 수 있는 방법도 좋습니다.
    그리고 서버에는 반드시 백신하나 정도는 필수로 설치해서 운영하는 것이 좋습니다. 비용적인 부분이 있지만, 반드시 필요한 부분이며, 성능 저하가 되더라도 진행하는 것이 좋습니다.
    그리고 서버의 보안 패치등은 필수입니다. 이부분이 미약하다면 웜의 경우 전이가 쉽게 될 확률이 높습니다.
    정신없이 두서없이 글을 쓰다보니 정리가 잘 되지 않은 듯 싶습니다..
    아무쪼록 건강한 서버 운영을 하시길 바랍니다.

  • Posted by 달룡이네집