DoS attack
Short for denial-of-service attack, a type of attack on a network that is designed to bring the network to its knees by flooding it with useless traffic. Many DoS attacks, such as the Ping of Death and Teardrop attacks, exploit limitations in the TCP/IP protocols. For all known DoS attacks, there are software fixes that system administrators can install to limit the damage caused by the attacks. But, like viruses, new DoS attacks are constantly being dreamed up by hackers.
웹쉘 상세 분석.pdf웹쉘
가. 웹쉘이란?
웹쉘이란 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 (asp, jsp, php, cgi) 파일이다. 이때 zip, jpg, doc와 같은 데이터 파일종류 이외에 악의적으로 제작된 스크립트 파일인 웹쉘을 업로드하여 웹 서버를 해킹하는 사고가 빈번히 발생하고 있다. 최근에는 파일 업로드뿐만 아니라 SQL Injection과 같은 웹 취약점을 공격한 후 지속적으로 피해시스템을 관리할 목적으로 웹쉘을 생성 한다.
공격자는 웹쉘을 대상 서버에 업로드한 후 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽 영향을 받지 않고 서버를 제어할 수 있다. 웹쉘은 웹페이지 소스코드 열람, 악성스크립트 (iframe 등) 삽입, 파일 업로드, 서버 및 데이터베이스 자료 유출 등의 다양한 공격이 가능하다.
최근 웹쉘은 탐지를 어렵게 하기 위해 웹쉘의 일부분만을 피해시스템에 업로드 하는 등 그 유형이 나날이 발전하고 있다.
나. 웹쉘의 위험성
2007년도 인터넷침해사고대응지원센터(www.krcert.or.kr)에서 한 해 동안 분석했던 피해 웹서버 중 웹쉘이 발견된 웹서버는 총 91%의 분포를 보였다. 이것은 공격자들이 취약점을 공격 한 후 웹쉘을 업로드하여 시스템을 통제하기가 수월하다보니 사용 빈도가 높은 것을 확인할 수 있다.
웹 취약점을 통해 피해시스템에 접근한 공격자는 방화벽에서 접근을 허용하는 HTTP (80/tcp) 서비스를 통해 피해시스템을 제어 하므로 웹쉘을 차단하기가 쉽지 않다.
피해시스템에서 수집된 ASP 웹쉘 샘플 한 개를 http://www.virustotal.com 사이트에서 각 바이러스 백신 엔진 탐지결과를 확인하였다. 아래 그림과 같이 많은 국내외 백신사에서 탐지 못하고 있으며 공격자들은 스크립트 웹쉘들을 빈번히 변경시켜 사용하기 때문에 백신들로서는 탐지하기가 쉽지 않다.
또한 일반적인 서버관리자들은 해킹여부를 확인하기 힘들고 피해를 인지하더라도 관리자들이 주로 사용하는 백신 프로그램에서 웹쉘 탐지가 안 되므로 웹쉘을 찾기가 쉽지 않다. 관리자들이 해킹 피해를 인지하고 시스템을 재설치 하더라도 이전에 웹쉘이 업로드 되어 있는 소스 그대로 새롭게 설치한 시스템에 복사하여 사용하기 때문에 지속적으로 웹쉘을 관리하는 공격자에게 피해를 입게 된다.
DNS
도메인 이름 서비스(Domain Name Service 또는 Domain Name System, DNS)는 호스트의 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발되었다. 특정 컴퓨터(또는 네트워크로 연결된 임의의 장치)의 주소를 찾기 위해, 사람이 이해하기 쉬운 도메인 이름을 숫자로 된 식별 번호(IP 주소)로 변환해준다. 도메인 이름 시스템은 흔히 "전화번호부"에 비유된다. 인터넷 도메인 주소 체계로서 TCP/IP의 응용에서, www.example.com과 같은 주 컴퓨터의 도메인 이름을 192.168.1.0과 같은 IP 주소로 변환하고 라우팅 정보를 제공하는 분산형 데이터베이스 시스템이다.
쿼리 (query)
쿼리란 데이터베이스에 정보를 요청하는 것이다.
IPS
IPS ( Intrusion Prevention System )란 공격 시그니처를 찾아내 네트워크에 연결된 기기에서 수상한 활동이 이루어지는지를 감시하며, 자동으로 해결 조치를 취함으로써 그것을 중단시키는 보안 솔루션이다. IPS ( Intrusion Prevention System )는 바이러스 웜 등의 비정상적인 이상신호를 발견 즉시 인공지능적으로 적절한 조치를 취한다. 수동적인 방어 개념의 방화벽이나 IDS ( Intrusion Detection System, 침입탐지시스템 로드밸런싱 )와 달리 침입유도시스템이 지닌 지능적 기능과 적극적으로 자동 대처하는 능동적인 기능이 합쳐진 개념으로 코드레드 웜 발생 시 무용지물이 된 기존 솔루션의 대안으로 떠오른 침입방지시스템이다.
IPS ( Intrusion Prevention System )는 바이러스 웜이나 불법침입/분산서비스 거부공격 (DDOS:Distributed Denial of Service) 등의 비정상적인 이상신호를 발견 즉시 인공지능적으로 적절한 조치를 취한다는 점에서 방화벽이나 IDS와 차별성을 갖는다. 즉 기존 IDS는 이미 알려져 있는 공격 시그니처를 감시하면서 수상한 네트워크 활동을 찾아내는 것이 목적이며,
이상 네트워크 활동을 찾아냈을 경우 해당 운영 직원에게 경고 메시지를 보내고 침입의 진전상황을 기록하고 보고하는 것으로 끝나 문제를 즉각적으로 처리하지 못한다. 이에 반해 IPS ( Intrusion Prevention System )는 침입경고 이전에 공격을 중단시키는 것이 목적이다.
네트워크바이러스 - Conficker
Conficker란, 2008년 10월 24일에 긴급 공개된 Windows의 취약(취약) 성 「MS08-067」을 악용 하고 감염을 펼치는 바이러스. 2008년 11월에 출현했다. 「Downadup(다운아드압)」 등이라고도 불린다.
2008년 12월에는, Windows의 취약성을 악용 하는 이외의 감염 수법도 갖춘 아종이 차례차례 출현. 아종은, 네트워크 로그 온의 패스워드를 찢어 다른 PC에 바이러스를 카피하거나 USB 메모리등을 개입시켜 감염 확대하거나 한다.
Conficker 및 그 아종은 온 세상에서 감염을 확대. 보안 기업의 미 웹 센스에 의하면, 피크시에는 온 세상에서 1000만대 이상, 현재에도 100만~200만대의 PC가 감염하고 있다고 한다.
Conficker의 아종안에는, 특정의 Web 사이트에 액세스 해, 다른 바이러스나 「업데이트 모듈」을 다운로드하는 것이 있다. 몇개의 보안 기업이 Conficker의 최신의 아종을 해석했는데, 이 다운로드에 관한 기능이, 2009년 4월 1일로 변경되도록 프로그래밍 되고 있었다고 한다.
악성 bot
기존의 바이러스나 웜 등의 용어와 구분되는 봇(Bot)은 로봇(Robot)이라는 의미로,
해커가 봇에 감염된 시스템을 조정할 수 있는 악성 프로그램입니다.
감염시 온라인게임 계정 유출, 특정 홈페이지 공격, 스팸메일 발송 등 해커가 마음먹은
어떠한 악성행위에도 악용될 수 있으며, PC가 느려지는 증상도 나타날 수 있습니다.