Embed Size (px)
Citation preview
해킹 및 바이러스 예방
2002. 7. 26
정 현 철/한국정보보호진흥원
Korea CERT Coordination Center
Korea Information Security Agency
-2-
KRnet 2002
목 차
• 해킹 바이러스의 이해 • 해킹 바이러스 현황과 사례 • 환경변화와 해킹 바이러스 동향 • 계층적인 방어 • 사고예방
– 접근통제 – 계정/패스워드 보안 – 최소한의 서비스 제공 – 프로그램 패치 – 취약점 점검 – 바이러스 예방 – 침해사고 대응
-3-
KRnet 2002
해킹 바이러스의 이해
• 해킹 – 정보시스템을 파괴·마비시키거나 정상적인 운용을 방해하
는 행위 – 정보시스템에 침투하여 정보를 위조·변조·파괴하거나 유출
하는 등의 모든 행위 – Hacker VS. Cracker(Intruder)
• 바이러스 – 컴퓨터의 프로그램이나 실행 가능한 부분을 변형하여, 여기
에 자기 자신 또는 자기 자신의 변형을 복사하는 명령어들의 조합
– 생물학적인 바이러스가 자기 자신을 복제하는 유전인자를 가지고 있는 것처럼 컴퓨터 바이러스도 자기 자신을 복사하는 명령어를 가지고 있음차
-4-
KRnet 2002
Attack
Attack
Information
Gathering Penetration
Metastasis of Attack
Network/System Vulner.
OS vers./Network Topology
Service Information etc.
Various Exploit Script
Using Server Config. Fault
Password Cracking
Consolidation(rootkit)
Continuation(Sniffer)
Metastasis(Another Attack)
Distributed/Automatic
Hacking & Virus Consolidation
Forming Parallel Attack Chaining
Overwhelm whole Internet
Various Consolidation
Unpredictable Metastasis
Security Product Information
Stealth/Advanced Scan-Tech.
Gaining more Influence on Society
해킹 바이러스의 이해
• 일반적인 해킹 절차
-5-
KRnet 2002
해킹 바이러스의 이해
• Script kiddies
– 가능한 손쉬운 방법으로 특정 대상없이 해킹을 시도하는 부류
– 특정 공격대상이 없어 대규모 네트워크를 대상으로 스캔 공격
– 인터넷에서 쉽게 구할 수 있는 해킹 Script 이용
– 수많은 공격도구를 자유자재로 구사하여 공격 가능
– 대부분의 경우 root를 획득하여 자랑하는 것이 목적
– 가장 일반적이며 경계하여야 할 위협(공격의 90%이상)
-6-
KRnet 2002
해킹 바이러스의 이해
• 인터넷 웜(Internet Worm)
– 바이러스와 해킹의 특징 보유
– 인터넷 웜의 번식 과정
• 대상시스템 선택
• 취약점 스캔 및 공격
• 원격접속 및 자신 복제
• 홈페이지 변조 등 파괴행위
– 24시간 이내에 전세계 전파
– 1988년 Morris 인터넷 웜이 최초
-7-
KRnet 2002
해킹 바이러스의 이해
• 2001년 주요 인터넷 웜
Worm OS Vulnerability Month
Ramen Linux ftp, LPRng, rpc.statd 2001. 1.
Li0n Unix, Linux bind 2001. 3.
Carko Solaris Solaris snmpXdmid 2001. 4.
Sadmind/IIS Solaris, Windows Sadmin, IIS Unicode 2001. 5.
Cheese Linux Li0n Backdoor 2001. 5.
Red Linux bind, LPRng 2001. 6.
CodeRed Windows ISAPI ida.dll 2001. 7.
CodeBlue Windows IIS Unicode Traversal 2001. 9.
Nimda Windows IIS Unicode Traversal 2001. 9.
-8-
KRnet 2002
해킹 바이러스의 이해
Rank Virus Type Count
1 Win32/Nimda I-Worm 16,665
2 Win32/Sircam.worm I-Worm 12,216
3 Win32/Funlove.4099 Win32 11,372
4 I-Worm/Winint Trojan 2,827
5 Win32/CIH Win95 2,705
6 Win32/Nimda.D I-Worm 2,205
7 I-Worm/Hybris I-Worm 1,754
8 I-Worm/Hybris.spiral I-Worm 1,190
9 Win32/Weird Win32 1,187
10 I-Worm/Navidad I-Worm 1,127
Others 11,785
Total 65,033
• 2001년 주요 바이러스
-9-
KRnet 2002
해킹바이러스 현황과 사례
• 해킹바이러스 증가추이
64 158572
1,943
5,333
2,059
256 276 379 572194 68
0
1000
2000
3000
4000
5000
6000
1997 1998 1999 2000 2001 2002.5.
Hacking
New Virus
-10-
KRnet 2002
해킹바이러스 현황과 사례 • CodeRed infected Top 10 Countries
Country US KR CN TW CA UK DE AU JP NL
# hosts 157,694 37,948 18,141 15,124 12,469 11,918 11,762 8,587 8,282 7,771
<Source : http://www.caida.org/>
• Top 10 Source Countries for Nimda Attacking Country
US CA NL KR IT NO BR GR CN Laos
# Attacks 519,987 72,150 35,318 22,274 12,389 12,306 6,023 5,805 4,904 3,754
<Source : SecurityFocus >
Country US KR CN DE FR CA TW IT Great Britain
JP
% Attacks 29.6 8.8 7.8 5.9 4.5 3.9 2.6 2.5 2.5 2.0
• Top 10 Attack Sources by Country(2001.Q3-Q4)
<Source : Riptech Report >
-11-
KRnet 2002
E 신문사 홈페이지 해킹(1999)
-12-
KRnet 2002
5개 교육대학 홈페이지 해킹(1999)
-13-
KRnet 2002
H 신문사 홈페이지 해킹
-14-
KRnet 2002
O 티켓 판매사 고객정보 유출(2000. 6.)
-15-
KRnet 2002
미국 테러 사건 관련 홈페이지 해킹(2001. 9.)
-16-
KRnet 2002
2002 월드컵관련 D통신사 홈페이지 해킹(2002. 6.)
-17-
KRnet 2002
환경변화와 해킹바이러스 동향
• 인터넷 이용자 증가(Unit : 1,000)
PC방
교육
국방
물류
에너지
Internet
Users
금융
‘01 : 24,380
행정 ’95 : 366
Year
-18-
KRnet 2002
환경변화와 해킹바이러스 동향
• 획일화된 시스템 네트워크 환경 – 많은 중소업체와 개인이 저가의
Linux Server, Windows 서버 사용
– 인터넷 웜의 주요 공격 플랫폼
• Linux : Ramen Worm, Li0n Worm, Red Worm, …
• Windows : CodeRed, Nimda, …
– 다수의 동일한 Application 사용
• BIND, Sendmail, Apache, …
-19-
KRnet 2002
환경변화와 해킹바이러스 동향
• PC에 대한 공격 증가
– 개인용 컴퓨팅 성능 향상
– 대부분 ADSL, Cable Modem 등을 통해 인터넷에 연결
– 백신 업데이트가 늦고 패치를 하지 않음
– 보안 마인드 부재
-20-
KRnet 2002
Hacking Tech.
• Scan & Exploit
• DoS
• Backdoor
Virus Tech.
• Auto infection
• Trojanhorse
• Information 유출
2000 1999 1998 ... 1995 … 1987 1992 1993 .. 1996 .. 1998 1999 2000
환경변화와 해킹바이러스 동향
• 공격기법의 고도화
– 해킹과 바이러스의 구분이 모호해 지고 있음
Nimda
Code Red
-21-
KRnet 2002
환경변화와 해킹바이러스 동향
• 24시간 내에 전세계 감염 – Auto Scanning & Exploit
• Using Vulnerability, E-mail, Shared folder
– 홈페이지 방문, 메일 확인만으로 감염 가능 • Nimda Worm, Badtrans, …
– 사고의 대규모화와 글로벌화
-22-
KRnet 2002
계층적인 방어 -위협,취약점,대책-
정보 시스템 보안은 취약성을 찾아내고,
시스템을 위협으로부터 보호
Vulnerability
Threat
Countermeasure
Information
System
-23-
KRnet 2002
계층적인 방어
Network
Host
Application
Info
-24-
KRnet 2002
LAN
PC
안전진단/관리
DBMS
암호기술
서버 시스템
서버 시스템
인증
시스템
PC
LOG Server
인터넷 VPN지원 ROUTER VPN지원
침입차단 시스템
네트워크 침입
탐지 시스템
네트워크 취약성
점검 시스템 바이러스 방지기술
PC 접근통제
내부사용자 및 외부강화정책
VPN (Turnelling)
Mobile Users
재택근무
Small Remote Offices
계층적인 방어 -인터넷 환경에서 보안-
-25-
KRnet 2002
사고예방
• 최소한의 서비스 설치
• 접근통제
• 계정/패스워드 보안
• 프로그램 패치
• 취약점 점검
• 바이러스 예방
• 침해사고 대응
-26-
KRnet 2002
최소한의 서비스 설치
• 최소한의 운영체제와 응용프로그램 설치
• Default 설치 금지
구동중인 Process 목록
-27-
KRnet 2002
최소한의 서비스 설치
• 취약한 서비스 – FTP – Telnet – BIND – finger – NFS – RPC 서비스 : rpc.ruserd, rstatd, rwalld – R 서비스 : rshd, rlogin, rwhod, rexec – etc
• 서비스 제거
– /etc/inetd.conf • 필요하지 않는 서비스 comment out(# 처리)
– rc 디렉토리의 불필요한 데몬 실행 중지
-28-
KRnet 2002
접근 통제
• 최소한의 포트만 Open
• Deny unless explicitly allowed
• 네트워크/호스트 접근통제
열려진 포트 목록
-29-
KRnet 2002
접근 통제
• Top 10 Target Port
<자료:http://www.dshield.org/ >
-30-
KRnet 2002
접근통제
• 네트워크 접근통제
– Router, Firewall
access-list 145 permit tcp any any established access-list 145 permit tcp any host 123.1.2.1 eq telnet log access-list 145 permit tcp any host 123.1.2.2 eq 80 access-list 145 permit udp any host 123.1.2.3 eq domain access-list 145 deny ip any any # interface Serial0 configure-interface # ip access-group 145 in
<CISCO Router의 접근통제 규칙> access–list list {permit:deny} protocol source source-mask
destination destination-mask [operator operand] ※ list : 100 ~ 199, protocol : tcp, udp, icmp ※ operator : lt(less than), eq(equal to), gt(greater thean), neq(not equal to) ※ operand : service port number for destination
-31-
KRnet 2002
접근통제
• 호스트 접근통제
– TCP Wrapper, Ipchains 등
• /etc/hosts.deny ALL : ALL : spawn (/usr/sbin/safe_finger @%h | /bin/mail -s 'Rejected %d(%p) from %h to suwon-c' root [email protected])&
• /etc/hosts.allow ALL : LOCAL, 210.234.222.
<TCP Wrapper의 접근통제 규칙> • daemon_list : client_list [ : shell_command ]
• /etc/hosts.allow : 접근 허용 리스트 • /etc/hosts.deny : 접근 거부 리스트
-32-
KRnet 2002
계정/패스워드 보안
• 불필요한 모든 계정 제거 예) guest, test, …
• 패스워드가 없거나 취약한 계정 제거 예) 1234, hcjung12, sky, …
• 패스워드 관리 및 진단 도구 – npasswd, crack, ...
/etc/passwd
-33-
KRnet 2002
프로그램 패치
• 모든 OS 및 응용 프로그램에는 Bug 존재
• 보안관련 패치(Patch)는 필수
Caldera OpenLinux -- ftp://ftp.caldera.com/pub/ Deban Linux -- http://www.debian.org/security/ DEC -- http://www.service.digital.com/patches/index.html FreeBSD -- ftp://ftp.FreeBSD.org/pub/FreeBSD/ HP -- http://us-support.external.hp.com/ IBM -- http://service.software.ibm.com/support/rs6000 NT -- http://www.microsoft.com/security/default.asp OpenBSD -- http://www.openbsd.org/errata.html RedHat Linux -- http://www.redhat.com/apps/support/errata/index.html SCO -- ftp://ftp.sco.com/SSE/ SGI -- ftp://sgigate.sgi.com/patches/ Sun -- http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/patch-access/
-34-
KRnet 2002
취약점 점검
• 네트워크 보안 취약점 점검 – 네트워크를 통하여 시스템의
취약점을 조사/분석
– nmap, ISS, SATAN, mscan, sscan, SuperScan, ...
• 시스템 취약점 점검 – 시스템 내부에서 보안상 문제
점을 검사하는 도구
– COPS, Tiger, ...
<Super Scan>
-35-
KRnet 2002
바이러스 예방
• 백신 프로그램의 주기적인 업데이트 및 점검(자동설정 권고)
• 백신 프로그램의 실시간 감시기능 사용
• 네트워크 단위에서 바이러스 차단
• E-mail 첨부파일 실행시 주의
• 폴드 공유 제한 및 패스워드 설정
• 운영체제 및 웹 브라우져 패치
• 중요한 데이터는 정기적으로 백업
-36-
KRnet 2002
침해사고대응 -CERTCC-KR-
• Contact Points
– Tel : (02)118
– Fax : 405-5119
– Email : [email protected]
– Http://www.certcc.or.kr
• Become Member of Consortium
– http://www.concert.or.kr
-37-
KRnet 2002
Q & A
![[2011 CodeEngn Conference 05] ashine - 안드로이드 리눅스에서의 시스템 해킹](https://img.pdfslide.net/doc/110x75/555c422fd8b42a2c068b4e39/2011-codeengn-conference-05-ashine-.jpg)
