뉴스 | KoreaIDC Security Report (2008.1분기)
페이지 정보
작성자 웹파스 작성일08-04-29 10:42 조회8,532회 링크 링크2 홈페이지관련링크
본문
KOREA IDC에서 2008년 1분기(1월~3월)동안의 공격 방어유형을 분석하여 여러분께 제공합니다.
앞으로 분기별 보안리포트를 제공하여 IDC 보안 현황에 대한 고객님들의 궁금점을 해소시켜 드릴 예정이오니,
앞으로 분기별 보안리포트를 제공하여 IDC 보안 현황에 대한 고객님들의 궁금점을 해소시켜 드릴 예정이오니,
참고하시기 바랍니다.
* 참고 - 각 타이틀을 클릭하시면, 보다 상세한 내용의 원문을 보실 수 있습니다.
1. IRC_Rogue_Session
IRC 웜은 자신을 퍼뜨리기 위해 IRC 네트워크를 이용하는 독립형 프로그램입니다.
이와 같은 웜은 IRC 서버에 접속하여 자기 자신을 퍼트리거나 또는 IRC 클라이언트 디렉토리에 특정 스크립트를 적용시킵니다.
가장 많은 영향을 받는 IRC 클라이언트는 mIRC입니다.
보통 IRC 웜은 mIRC 디렉토리 안의 몇 개의 INI 파일에 자신의 특정 스크립트를 교체(적용)하며, 사용자가 IRC 서버에 접속하여 채널에 들어오면 이 스크립트들을 웜의 실행파일에 접속한 사용자를 통해 그 채널의 모든 사람에게 보내도록 합니다.
* 유명한 IRC 웜 : Aplore, Maldal, Gokar, Spester, Irok, Nymph
2. Fragment_Resources_Exhausted
이미, IOS 12.0뿐만 아니라, IOS 11.2P와 IOS 11.3T 이전 버전과 Cisco PIX Firewalls 4.2.1까지도 공격자에게 노출되어 있습니다.
그 대안으로는 Cisco Systems의 공지 목록에 있는 가장 최근 버전의 PIX Firewall (4.2(2) 또는 그 이후 버전) 업데이트입니다.
3. SYNCstorm
TCP/IP 에서는 커넥션을 맺기 위해 source에서 destination으로 SYN 패킷을 보내어 커넥션을 맺겠다는 요청을 한 뒤 destination에서 source로 ACK 패킷을 다시 전송하고, ACK 패킷이 source 로 전송된 후에 다시 destination 으로 SYN 패킷을 전송하는 3 단계의 절차 (3 way handshaking) 를 거쳐야 합니다.
하지만 SYN 패킷만을 보내고 그 이상 응답을 하지 않으면 destination 에서는 일정시간 동안 대기상태에 들어가게 됩니다. 이를 악용하여 SYN 패킷만을 대량으로 보내어 시스템이 다른 request에 응답하지 못하는 상태로 만드는 것이 바로 SYNC storm 입니다
4. TCP_Network_Scan
Portscan은 공격자에 의해 어떤 서비스를 실행하고 있는지 각 포트에 대한 조사를 하여, 추후 이 누적된 정보를 공격자에게 제공하여 사용할 수 있도록 하는 attack입니다.
5. MSRPC_RemoteActivate_Bo
RPC에서 TCP/IP를 통하여 메시지 교환을 처리하는 부분은 보안에 매우 취약합니다.
이 결함으로 인해 잘못된 형식의 메시지를 처리하는 문제가 발생하기도 합니다.
RPC가 설정된 포트에서 수신 대기하는 RPC의 DCOM(Distributed Component Object Model) 인터페이스에 영향을 줍니다.
DCOM은 UNC(범용 명명 규칙) 경로 요청과 같이 클라이언트 컴퓨터에서 서버로 보내는 DCOM 개체 활성화 요청을 처리하는데, 공격자(침입자)는 이 취약점을 악용하여 이에 영향을 받는 시스템에 로컬 시스템 권한을 적용하여 코드를 마음대로 실행시킬 수 있습니다.
즉, 공격자(침입자)는 프로그램 설치, 데이터 보기, 데이터 변경, 데이터 삭제 또는 모든 권한이 있는 ‘새 계정 만들기’를 포함한 모든 작업을 시스템에서 수행할 수 있도록 합니다.
6. UDP_Flood_DoS Unassigned
UDP Flooding Attack이란 다양한 DoS(Denial of Service) 공격의 일종으로 대량의 UDP 패킷을 이용하여 대상 호스트의 네트워크 자원을 소모시키는 공격을 말합니다.
최근 인터넷에서 발생하는 DDoS(Distributed Denial of Service) 형태 중 UDP Flooding Attack이 가장 큰 부분을 차지하고 있습니다.
7. HTTP_PHPNuke_Index_File
PHP-Nuke는 손쉽게 웹 사이트를 만들고 관리할 수 있는 open source입니다.
PHP-Nuke 5.3.1버전의 index.php 스크립트의 취약점을 이용하여, 공격자가 웹서버에 원격으로 임의의 명령어를 적용하여 실행하는 것을 말합니다.
8. FTP_Port_Bounce Unassigned
FTP bounce 공격은 FTP 프로토콜 구조의 허점을 이용한 공격 방법입니다.
FTP는 서버/클라이언트 구조로 이루어져 있으며 두 호스트간의 통신을 위해 2개의 포트를 사용합니다.
(20번은 데이터를 전송할 때 이용하며, 21번은 사용자가 ftp 클라이언트 프로그램을 이용하여 접속하고 어떤 명령을 넘겨줄 때 사용됩니다)
FTP서버는 클라이언트가 지시한 곳으로 자료를 전송할 때 그 목적지가 '어떤 곳'인지는 검사하지 않고 무조건 보냅니다. 그렇기 때문에 FTP 클라이언트가 실행되는 호스트가 아닌 다른 호스트를 지정하더라도 서버는 정상적으로 지정된 곳으로 정보를 보낸다고 인식하게 됩니다.
이 것은 FTP서버의 버그가 아니라 초기 FTP 프로토콜의 설계 시 요청하는 곳과 자료를 받는 곳이 다른 곳 일수 있도록 설계하여 생긴 문제입니다.
결과적으로 클라이언트는 FTP서버를 거쳐 간접적으로 임의의 IP에 있는 임의의 포트에 접근할 수 있으며 또한 임의의 메시지를 보낼 수도 있게 되는 것입니다.
* 본 리포트는 KOREA IDC내부의 보안 현황이므로 국내 보안 통계와 상이할 수 있습니다.
* 참고 - 각 타이틀을 클릭하시면, 보다 상세한 내용의 원문을 보실 수 있습니다.
1. IRC_Rogue_Session
IRC 웜은 자신을 퍼뜨리기 위해 IRC 네트워크를 이용하는 독립형 프로그램입니다.
이와 같은 웜은 IRC 서버에 접속하여 자기 자신을 퍼트리거나 또는 IRC 클라이언트 디렉토리에 특정 스크립트를 적용시킵니다.
가장 많은 영향을 받는 IRC 클라이언트는 mIRC입니다.
보통 IRC 웜은 mIRC 디렉토리 안의 몇 개의 INI 파일에 자신의 특정 스크립트를 교체(적용)하며, 사용자가 IRC 서버에 접속하여 채널에 들어오면 이 스크립트들을 웜의 실행파일에 접속한 사용자를 통해 그 채널의 모든 사람에게 보내도록 합니다.
* 유명한 IRC 웜 : Aplore, Maldal, Gokar, Spester, Irok, Nymph
2. Fragment_Resources_Exhausted
이미, IOS 12.0뿐만 아니라, IOS 11.2P와 IOS 11.3T 이전 버전과 Cisco PIX Firewalls 4.2.1까지도 공격자에게 노출되어 있습니다.
그 대안으로는 Cisco Systems의 공지 목록에 있는 가장 최근 버전의 PIX Firewall (4.2(2) 또는 그 이후 버전) 업데이트입니다.
3. SYNCstorm
TCP/IP 에서는 커넥션을 맺기 위해 source에서 destination으로 SYN 패킷을 보내어 커넥션을 맺겠다는 요청을 한 뒤 destination에서 source로 ACK 패킷을 다시 전송하고, ACK 패킷이 source 로 전송된 후에 다시 destination 으로 SYN 패킷을 전송하는 3 단계의 절차 (3 way handshaking) 를 거쳐야 합니다.
하지만 SYN 패킷만을 보내고 그 이상 응답을 하지 않으면 destination 에서는 일정시간 동안 대기상태에 들어가게 됩니다. 이를 악용하여 SYN 패킷만을 대량으로 보내어 시스템이 다른 request에 응답하지 못하는 상태로 만드는 것이 바로 SYNC storm 입니다
4. TCP_Network_Scan
Portscan은 공격자에 의해 어떤 서비스를 실행하고 있는지 각 포트에 대한 조사를 하여, 추후 이 누적된 정보를 공격자에게 제공하여 사용할 수 있도록 하는 attack입니다.
5. MSRPC_RemoteActivate_Bo
RPC에서 TCP/IP를 통하여 메시지 교환을 처리하는 부분은 보안에 매우 취약합니다.
이 결함으로 인해 잘못된 형식의 메시지를 처리하는 문제가 발생하기도 합니다.
RPC가 설정된 포트에서 수신 대기하는 RPC의 DCOM(Distributed Component Object Model) 인터페이스에 영향을 줍니다.
DCOM은 UNC(범용 명명 규칙) 경로 요청과 같이 클라이언트 컴퓨터에서 서버로 보내는 DCOM 개체 활성화 요청을 처리하는데, 공격자(침입자)는 이 취약점을 악용하여 이에 영향을 받는 시스템에 로컬 시스템 권한을 적용하여 코드를 마음대로 실행시킬 수 있습니다.
즉, 공격자(침입자)는 프로그램 설치, 데이터 보기, 데이터 변경, 데이터 삭제 또는 모든 권한이 있는 ‘새 계정 만들기’를 포함한 모든 작업을 시스템에서 수행할 수 있도록 합니다.
6. UDP_Flood_DoS Unassigned
UDP Flooding Attack이란 다양한 DoS(Denial of Service) 공격의 일종으로 대량의 UDP 패킷을 이용하여 대상 호스트의 네트워크 자원을 소모시키는 공격을 말합니다.
최근 인터넷에서 발생하는 DDoS(Distributed Denial of Service) 형태 중 UDP Flooding Attack이 가장 큰 부분을 차지하고 있습니다.
7. HTTP_PHPNuke_Index_File
PHP-Nuke는 손쉽게 웹 사이트를 만들고 관리할 수 있는 open source입니다.
PHP-Nuke 5.3.1버전의 index.php 스크립트의 취약점을 이용하여, 공격자가 웹서버에 원격으로 임의의 명령어를 적용하여 실행하는 것을 말합니다.
8. FTP_Port_Bounce Unassigned
FTP bounce 공격은 FTP 프로토콜 구조의 허점을 이용한 공격 방법입니다.
FTP는 서버/클라이언트 구조로 이루어져 있으며 두 호스트간의 통신을 위해 2개의 포트를 사용합니다.
(20번은 데이터를 전송할 때 이용하며, 21번은 사용자가 ftp 클라이언트 프로그램을 이용하여 접속하고 어떤 명령을 넘겨줄 때 사용됩니다)
FTP서버는 클라이언트가 지시한 곳으로 자료를 전송할 때 그 목적지가 '어떤 곳'인지는 검사하지 않고 무조건 보냅니다. 그렇기 때문에 FTP 클라이언트가 실행되는 호스트가 아닌 다른 호스트를 지정하더라도 서버는 정상적으로 지정된 곳으로 정보를 보낸다고 인식하게 됩니다.
이 것은 FTP서버의 버그가 아니라 초기 FTP 프로토콜의 설계 시 요청하는 곳과 자료를 받는 곳이 다른 곳 일수 있도록 설계하여 생긴 문제입니다.
결과적으로 클라이언트는 FTP서버를 거쳐 간접적으로 임의의 IP에 있는 임의의 포트에 접근할 수 있으며 또한 임의의 메시지를 보낼 수도 있게 되는 것입니다.
* 본 리포트는 KOREA IDC내부의 보안 현황이므로 국내 보안 통계와 상이할 수 있습니다.