[긴급입수 동영상] 현지주민이 찍은 검은 연기에 뒤덮힌 연평도
기타연평도 현지에서 주민이 휴대폰으로 촬영한 동영상을 SBS에서 긴급 보도중...
출처 : http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1000824221
카인과 아벨이라 왠지 최근 인기 있는 드라마 제목 같다.
하지만 이름만 비슷할뿐 해킹 프로그램이다.
일종의 세션 하이재킹 과 IP스푸핑이 섞여 있는 형태라고 할 수 있습니다.
몇년 전 L전자 신입사원 시험에 떨어진 한 청년이
홧김에 L전자를 해킹을 했다 라는 보도가 있었는데
이또한 Cain & Abel 프로그램을 이용한 것 이었습니다.
적을 알아야 막든지 공격하던지 해야 할터
나를 공격한놈이 도대체 어떤 놈인지 여기 저기 자료를 찾아봤다
http://www.oxid.it/index.html
사이트에서 만든 프로그램인 듯했다 즉, 해당 설치 파일을 쉽게 구할 수 있는 것이었다.
다운받아 설치 해보니 역시나 네트워크상의 데이터를 수집하는 것이었다.
사용법은 http://www.oxid.it/ca_um/ 에 설명이 간략하게 되어 있습니다.
프로그램 이름이 카인과 아벨 즉, 좋은 용도와 나쁜 용도로 해당 프로그램을 이용할 수 있는데
메뉴얼을 보면 cain , abel 두개의 카테고리로 되어 있습니다.
abel 은 좋은 용도 순수하게 네트워크 패킷을 분석하는등에 대한 설명이며
cain 은 나쁜 용도로 사용하는 방법 스나이핑 등에 대해 그 용도를 설명 하고 있습니다.
성경에 나오는 착한 동생 아벨과 동생을 죽인 형 카인의 모습처럼 하나의 프로그램이 나쁜쪽과 좋은쪽의 용도로 사용할 수 있다는것을 보여 주는 것이죠.
간단하게 기능을 설명하자면 해당 프로그램을 실행하고서 기다려 보면 수백건의 스캔된 정보가 자신의 컴으로 들어와 있는것을 확인 할수 있습니다.
즉, 네트워크 상에 지나 다니는 모든 패킷을 캡쳐해서 보여주는 것으로 홈페이지 로그인 아이디 및 비번등을 모두 보여 줍니다.
보통 윈도우 서버를 취약점을 이용해 해당 서버에 카인과아벨 프로그램을 설치해
목적 서버를 수푸핑하는 형태입니다.
위와 같은 프로그램이 서버에 설치 되었다면 다음과 같이 처리 하세요!
일단 해당 프로그램을 일단 지우셔야 하겠죠.
보통 c:\windows\system32\server 폴더등 시스템 경로쪽에 설치가 되어 있습니다.
그외에 다른 프로그램들 설치 되어 있는지 꼭 확인하시구요
개정 정보에서 추가된 개정이나 불필요한 개정 모두 사용 정지하거나 삭제 해버리세요
그리고, 터미널 접속은 할 수없게 하세요.
만약 꼭 사용 해야 한다면 포트를 변경하세요.
포트 변경 방법은 유포유에 글이 있으니 참고 하세요!
윈도우 서버가 워낙 취약점이 많은지라 보안에 신경 많이 써 주셔야 할겁니다.
특히 사용하지 않는 포트는 모두 잠거 두시는게 좋습니다.
그리고, 로그인시 SSL 적용을 꼭 하시기 바랍니다.
SSL 관련해서 유포유에 자료 있으니 참고 하시구요.
SSL 적용시 로그인 정보를 암호화 해서 보내므로 그나마 회원들의 개정이나 기타 정보를 보호 해줄 수있습니다.
이외에도 보안할 사항을 저역시 찾아보구서 찾으면 추가적으로 글을남겨 놓겠습니다.
1. 사건 배경
평소 꾸준히 방문하던 쇼핑몰에 어느날 갑자기 뽀로록 소리가 나면서 상단 바에 노란줄이 생기며 경고가 뜬다 혹은 알약 등 백신에서 감시프로그램이 "치명적인 바이러스에 감염되었습니다."라고 뜬다. 너무나 당황한 A군 해당 쇼핑몰에 접속하기 겁이 난다 ㅜㅜ;
2. 사건 원인
해당 쇼핑몰은 iframe 삽입 공격을 받은것이다. DB인젝션 공격과는 좀 다른 유형으로써 윈도우 웹서버 개정관련 보안 취약점을 공격하는 방식이다.
원인은 홈페이지 폴더에 everyone 개정에 쓰기권환까지 줬기 때문에 생긴 문제이다.
폴더에 속성 > 보안 눌러보세요 분명 everyone 개정으로 설정되어 있을겁니다.
윈도우 2000서버 등 초기 IIS 서비스 당시 everyone으로 설정한 운영자가 더러 있었을 겁니다.
이유야 어찌 되었던 이제라도 발견 하셨다면 다행인거죠! ^^ 화이팅!
3. 보안 방법
홈페이지 폴더에 IUSR_서버명, IWAM_서버명 의 두 개정을 추가하고 everyone 개정은 삭제 합니다. 그리고, IUSR_, IWAM 권환에 읽기,실행 권환만 줍니다. 그리고, 게시판 첨부파일이 업로드될 폴더등 쓰기 권환이 꼭 필요한 곳에만 쓰기 권환을 줍니다.
저의 경우엔 웹서비스 디렉토리 바깥쪽에 폴더를 만들어 업로드 하도록 해놨습니다.
윈도우 서버 보안 취약점으로 인해 생기는 문제가 참 많군요 ^^;
댓글을 달아 주세요