14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)

1

가상 사설망(Virtual private network, VPN)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망

인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달(출처 : wikipeida)

(구성) IPsec, SSL, L2TP, L2TPv3, PPTP

Windows는 단순한 설정을 통하여 VPN 서비스 기본지원 - PPTP(1723 port) - L2TP(1701 port)

Windows는 단순한 설정을 통하여 VPN 서비스 기본지원 - PPTP(1723 port) - L2TP(1701 port)

간단한 윈도우 설정만 하면, 누구나 쉽게 해당 서비스 사용가능

OO 업체 서버에서 정보 유출 사고 발생 (SQL injection 공격으로 정보 유출 후 웹셸 등 업로드)

공격지 파악 중 국내 서버가 확인됨

114.XX.XX.XX(KR)

SQL 인젝션을 통한 정보 유출

OO 서버

59.XX.XX.XX(CN) 103.XX.XX.XX(HK)

(2014-03-16)

공격지인 국내 서버(114.XXX.XXX.XXX) 분석 중 VPN설정과 외부 RADIUS 인증서버가 존재하는 것을 확인

해당 서버의 VPN에서 외부로 다양한 커넥션이 맺어지는 것을 확인 가능

③ SQL 인젝션을 통한 개인정보 유출

OO 서버

two.xx33.info (222.73.26.131,CN)

one.xx33.info (112.123.169.108,CN)

< VPN 인증서버(radious)>

① VPN을 이용하여 접속

② 공격자 인증 XX 업체 DB서버 (114.XX.XX.XX)

④기타 다른 공격

7일간 VPN을 이용한 네트워크 트래픽 분석

VPN에 접속한 외부 IP(Source)

VPN에 을 통하여 접속한 IP(Destination)

(참고) 국내 해킹된 서버의 VPN 서버 임대 게시물

220.95.XXX.XXX 211.218.XXX.XXX 218.145.XXX.XXX

A 사 B 사 C사 D사 E 사

…

VPN 서버 VPN 서버 VPN 서버

• 문제점

– 중소업체에서 관리하는 서버가 해킹경유지로 악용됨

– 관리자가 모르게 중국에서 국내 온라인게임을 하는 창구로 악용됨

• 대응전략

- 운영하는 서버가 PPTP나 L2TP 서비스가 활성화 되어 있는지 확인

- 네트워크 및 CPU의 점유율이 과도하게 높은지 확인

• 문제점

– 중소업체에서 관리하는 서버가 해킹경유지로 악용됨

– 관리자가 모르게 중국에서 국내 온라인게임을 하는 창구로 악용됨

• 대응전략

- 운영하는 서버가 PPTP나 L2TP 서비스가 활성화 되어 있는지 확인

- 네트워크 및 CPU의 점유율이 과도하게 높은지 확인

- VPN 서비스 제거 & KISA에 기술지원 요청

2

DNS 스푸핑은 컴퓨터 해킹 공격기법 중 하나로 도메인 네임 시스템에서 전달되는 IP 주소를 변조하거나 도메인 네임 시스템의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법 (출처 : wikipeida)

DNS 스푸핑은 컴퓨터 해킹 공격기법중 하나로 도메인 네임 시스템에서 전달되는 IP 주소를 변조하거나 도메인 네임 시스템의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법 (출처 : wikipeida)

1. 장악

2. Host 파일 변조

공유기의 DNS 변조

대형 포탈 사이트 접속시 금융 인증절차 요청

악성코드 예방을 위하여 예방용 보안 앱(S.S Checker) 설치 요청

DNS 변조

정상적인 DNS 사용

1. 원격접속을 이용한 DNS 조작 해당 공유기는 디폴트로 외부 원격지에서 설정 정보를 변경할 수 있게 설정됨 공격자는 8888포트로 접속 되는 IP를 스캔해 공유기로 침투한 것으로 추정

변조

웹 접속

2. CSRF 취약점을 이용한 공유기 DNS 변조 중국 해커 커뮤니티 사이트에 CSRF 취약점을 이용하여 공유기 변조하는 방법이 공개되어 있음

1. 백신사에 긴급 업데이트 요청 및 공격자의 DNS 서버 26개 IP 긴급차단 - 공격자 DNS에 질의한 피해 IP 81,625개에 대해 각 기관 조치 요청(4.30, 5.15)

2. 공유기 취약점 이용 악성 앱 설치 및 공유기 보안 설정 사용자 주의권고 - 언론보도(4.27), - 보안 설정 권고 보안공지(4.28) 3. 공유기 제조사에 패치 개발 요청(4.29) * 내용 : 초기 관리자 페이지 접속 시 패스워드 입력 유도, 원격 관리 기능 해제 * 대상 : WeVo, 다보링크, 애니게이트, 유니콘, axler, LGU+, SK브로드밴드 등

• 대응전략

- 외부 접속 차단 설정

- 관리자 계정 및 패스워드 설정

** WIFI 패스워드와 다름

• 보안사고의 인정

• 보안사고의 인정

- 사고는 항상 발생할 수 있는 것을 인정

• 골든 타임에 대한 대응

- 변조된 파일, 웹셸, 악성 코드 등 소유자 정보, 생성 시간 등 확인 - 웹 로그/시스템 로그 등 관련 로그 주기적 백업