Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Acunetix WVS 취약점 스캐너를 이용한 국내 서버 계정 탈취 발생
작성일 2018-11-28 조회 1554

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)


불특정 APT 그룹이 국내 사행성 게임, 대부업체, 온라인 쇼핑몰 등의 서버 계정 탈취를 시도하고 있습니다.
해당 APT 그룹이 주 타켓은 고객의 신용카드 정보, 계좌 정보 등을 직접 다루고 있는 업체 들이며, 국내외에 서버를 두고 있는 영세한 업체들입니다.

 

 


[그림. 1] 취약점 공격 대상 서버

 

 

목표는 명확하게 금전적 목표를 한 것으로 판단되며, 다수의 중국발 공격 IP가 발견되었습니다.
이번 공격에는 온/오프라인 상용 취약점 스캐너를 사용하였는데, 전문적인 해킹 집단의 소행이라기 보다는 범죄조직과 연관되어 있을 가능성이 높습니다.

 

일반적으로 북한,중국 등의 해킹 그룹은 자체적으로 제작한 취약점 도구를 사용하거나, 공개된 PoC를 가공해 사용하는 반면, 해당 공격 그룹은 Acunetix WVS에서 제공하는 기능을 그대로 사용하고 있습니다.

 

이렇게 계정탈취에 성공한 서버는 정보 유출, 백도어 삽입 등에 이어, 공격자의 취약점 스캐너 봇으로 사용이 되어 지고 있습니다.

 

 

 

Acunetix WVS 취약점 스캐너를 이용한 취약점 공격 시나리오

 

Acunetix WVS 취약점 스캐너를 통해 아래 공격 시도
서버 측 요청 위조 (Server Side Request Forgery) 는 공격자가 서버 인터페이스가 대상 서버에 의해 시작된 패킷을 다른 서버로 보내도록 강제하는 취약점입니다. 


1.공격자는 취약 서버에 아래와 같은 XML Entity 취약점 공격

 


[그림. 2] XXE 취약점을 이용한 http URL 호출

 

 

2. http://hit5LTorgN9hG.bxss.me/ hit5LTorgN9hG는 랜섬으로 생성 가능한 주소

"http://hit" + rndToken + '.bxss.me/' 

 


3. 다운로드 된 XML은 다음과 같은 형식

 

[그림. 3] OpenID를 이용한 Acunetix WVS 취약점 스캐너 접속

 

 

4.사용자 서버는 XML 처리를 통해 http://bxss.me/redirToFile에 요청을 보낸다.

 

[그림. 4] Acunetix WVS 취약점 스캐너를 이용해 /etc/passwd 정보 탈취 시도

 

 

5.서버 정보 유출

 

[그림. 5] 계정을 탈취한 뒤 공격자가 대상 사이트 접속

 

 

위 공격 방식 이외에도 직접 etc/passwd 정보를 탈취하는 XML 취약점을 이용하거나, 온라인 스캐너를 이용한 취약점 공격을 시도합니다.

 

온라인 웹스캐너를 이용한 공격

 

[그림. 6] 온라인 웹스케너 UI

 

 


[그림. 7] vulnweb.com CSRF 공격

 


직접 etc/passwd XML 삽입 방식

 

[그림. 8] XXE 취약점을 이용해 직접 file:///etc/passwd 정보 요청

 

 

 

► WINS Sniper 대응방안
Sniper-IPS

[4589] Apache XXE SYSTEM File Method Information Disclosure
[4596] Apache XXE SYSTEM HTTP Method XSS
[4597] Apache XXE SYSTEM HTTP Method XSS.A

Sniper-UTM

[805374738] Apache XXE SYSTEM File Method Information Disclosure
[805374745] Apache XXE SYSTEM HTTP Method XSS

Sniper-APTX

[3843] Apache XXE SYSTEM File Method Information Disclosure
[3850] Apache XXE SYSTEM HTTP Method XSS
[3851] Apache XXE SYSTEM HTTP Method XSS.A

 

 

 

► IOC

공격자IP
175.223.21.188
121.180.179.242
208.110.71.186
121.152.241.14
175.223.21.162
14.54.194.124
64.39.99.208
14.63.198.148
121.126.1.242


삽입된 취약점 스캐너 웹페이지
http://hit5LTorgN9hG[.]bxss[.]me/
http://somebadhostthatshouldnotresolve:22/
http://testasp[.]vulnweb[.]com/t/fit[.]txt
http://hitpow2knlvaa[.]bxss[.]me/
http://somebadhostthatshouldnotresolve:22/
http://hitXADAk6VZ8m[.]bxss[.]me/
http://hitYkLyUbwOI9[.]bxss[.]me/
http://hit8loqsUO14k[.]bxss[.]me/

 

 

 

► 참조

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection
http://umbum.tistory.com/475
https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection

첨부파일 첨부파일이 없습니다.
태그 Acunetix WVS  XXE