Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보점차 변모하고 있는 해킹 공격의 유형
작성일 2018-02-23 조회 1364

 

개요

작년 말부터 당사의 허니넷에 탐지 된 공격의 유형이 많이 변화하고 있는 것이 나타났습니다. 기존에는 트로이형태나 랜섬웨어, 봇 감염 등이 대다수였다면 암호화폐 가격이 상승하는 시기와 맞물려 점차 마이너 형태의 공격이 많아지게 되면서 최근에는 공격의 약 80%가 마이너(miner-암호화폐채광) 공격이었습니다. 해당 블로그에선 최근 탐지된 패킷을 통해 공격의 경향을 알아보겠습니다.

 

확인내역

마이너에 주로 사용된 공격 대상 및 취약점은 많은 사용자들이 사용하는 어플리케이션이거나 손쉽게  RCE까지 연결되는 취약점들입니다.  Apache, WebLogic, Jenkins, WordPress 등이 주 대상이 됩니다(그림1,2참조). Apache(CVE-2017-5638)취약점,  Weblogic(CVE-2017-10271) 취약점에 이어 최근엔 Jenkins(CVE-2017-1000353)등의 취약점에 대한 공격이 허니넷에서 탐지되었습니다.

 

<그림 1 - Weblogic 역직렬화 취약점 (CVE-2017-10271)>

 

 

<그림 2 - JBoss 및 WebLogic등의 취약점에 발생된 탐지 패킷>

 

탐지된 다수의 공격(그림1)은 모네로 코인을 채굴하게 하는데 이는 일반 PC CPU에서도 사용할 수 있고 익명성을 보장하기때문에 악의적인 해커들이 주로 사용합니다(비트코인의 경우 추적이 가능하여 해커들이 선호하지 않음).

 

특이할 점은 WordPress 플러그인 취약점인데 CVE코드가 할당 되지 않거나 취약점 정보들을 쉽게 얻을 수 없는 공격들도 보였습니다. 분석팀에서는 이를 제로데이 공격이라 판단하지는 않고 있습니다. 공격 대상이 오래된 버전의 플러그인이거나 대상 플러그인 또한 최근에 패치가 릴리즈됐기 때문입니다. 아래 (그림 3)은 탐지된 공격 중 하나입니다. 걔중에는 몇 년 동안 업데이트 없는 플러그인도 존재하기 때문에 사용자들은 플러그인을 사용할 떄 관심을 기울여야할 것 같습니다.

<그림 3 - WordPress 플러그인에 사용된 취약점>

 

이러한 공격 대상 어플리케이션중에는 중국에서만 사용되는 어플리케이션이 포함되어 있어 분석팀에서는 해당 공격은 중국에서 발생한 것이라 추정하고 있습니다(그림-4).

 

<그림 4 - 중국의 PHP 블로깅 플랫폼인 Typecho 공격 페이로드>

 

대응 방안

1. 항상 최신버전으로 유지한다.

 

2. 오랫동안 업데이트 되지않는 플러그인은 사용하지 않는다.

 

3.당사 IPS 장비에서는 아래와 같은 패턴으로 대응이 가능하다.

[4060] Apache Struts2 Jakarta Multipart Parser RCE 외 다수
[4095]WordPress Cacti conn.php RCE 
[4096] WordPress Cacti editor.php RCE
[4097] Typecho typecho_config RCE
[3975] Win32/Miner.Monero.Connection.B 외 다수

 

 

 

첨부파일 첨부파일이 없습니다.
태그 채굴  모네로  랜섬웨어