Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Printer Exploitation Toolkit를 이용한 국내 공격 탐지
작성일 2018-12-14 조회 1484

2018년 12월 1일 TheHackerGiraffe라는 해커는 PRET(Printer Exploitation Toolkit) 툴을 사용하여 5만대의 프린터를 해킹하고 유튜버 PewDiePie를 홍보하는 전단지를 출력하는 과정을 블로그에 게시하였습니다. 

 

PRET는 9100포트를 사용하고, 외부 네트워크에 공개되어 있는 프린터에 연결할 수 있는 Ruhr University Bochum에서 개발된 프린터 보안 테스트를 위한 툴으로 PostScript, PJL, PCL 프린터 언어를 지원합니다.

 

프린터와 연결에 성공하면 공격자는 DoS, Privilege escalation, Information disclosure, RCE와 같은 공격을 진행할 수 있습니다.

 

현재 Wins에서 해당 이슈를 주의 깊게 모니터링하고 있었으며, 최근 이 공격방법을 이용하여 Anakin 이라는 해커가 [그림1]과 같은 인쇄물을 배포하고 있는 것을 탐지하였습니다.

 

[그림. 1] PRET attack packet

 

 

국내에서도 이러한 공격은 계속 진행중입니다. 

 

 

[그림. 2] PRET를 이용한 공격 탐지

 


► 취약시스템

 

Printer using 9100 Port, PS/PJL/PCL language

 

 

► Poc of Printer Exploitation Toolkit

 

[그림. 3] The HackerGiraffe blog

(https://threader.app/thread/1068714506770149376)

 

 

[그림. 4] PRET - Printer Exploitation Toolkit

(https://github.com/RUB-NDS/PRET)

 

 

► 대응 방안

 

공격 트래픽은 다음과 같은 특징을 나타냅니다.

1) 외부 네트워크에 연결되어 있는 프린터의 기본포트 9100로 연결시도
2) DELIMITER[1~65536]의 구분자를 사용

 

 


[그림. 5] 공격 트래픽

 

 
1) 외부에서 접근하는 9100 포트(프린터 기본 포트) 차단 설정
2) 프린터 IP를 사설 IP로 설정

 


► Wins Sniper 제품군 대응방안

 

Sniper-IPS

[4625] Printer Exploitation Toolkit PJL Connection
[4626] Printer Exploitation Toolkit PostScript Connection

Sniper-UTM

[805374775] Printer Exploitation Toolkit PJL Connection
[805374776] Printer Exploitation Toolkit PostScript Connection

Sniper-APTX

[3881] Printer Exploitation Toolkit PJL Connection
[3882] Printer Exploitation Toolkit PostScript Connection

 

 

► 참조

https://github.com/RUB-NDS/PRET
https://thehackernews.com/2018/11/pewdiepie-printer-hack.html
https://latesthackingnews.com/2018/12/03/pewdiepie-fan-hacks-50000-printers-to-keep-the-channel-no-1/
http://hacking-printers.net/wiki/index.php/Printer_Security_Testing_Cheat_Sheet

첨부파일 첨부파일이 없습니다.
태그