○ 악성 코드 종류
|
번호 |
악성코드 분류 |
설명 |
|
1 |
Virus |
바이러스에 감염된 파일이 실행될 때 다른 정상적인 파일을 수정하며, 자신을 복제함 |
|
2 |
Worm |
사용자의 실행 행위 없이 취약점을 찾아 네트워크를 통해 스스로 감염 |
|
3 |
HackTool |
불법적인 목적을 위해 만들어진 프로그램 정품인증 우회, 패스워드 크랙 등 |
|
4 |
Unwanted |
사용자의 동의없이 설치되거나, 알려진 기능 외에 원하지 않는 기능이 숨어있는 프로그램 계정정보 전송, 원격제어, 코인 채굴 등 |
|
5 |
PUP |
프로그램 설치 시 사용자의 동의를 통해 추가 설치되는 프로그램으로, 광고를 노출시키거나 광고성 바로가기 아이콘을 생성하거나 리소스를 점유함 |
|
6 |
ALS |
도면 작성용 프로그램인 오토캐드 프로그램에서 사용하는 AutoLISP로 작성되어 컴파일된 악성코드 오토캐드를 이용하여 도면 파일을 실행할 때 악성 파일이 로드됨 |
|
7 |
Dropper |
악성행위를 수행할 파일을 자신 속에 숨겨 놓고, 누군가 자신을 실행시키면, 그 때 악성코드 파일을 시스템에 설치하고 실행함 |
|
8 |
X97M |
매크로 바이러스로 문서를 열람하여 매크로가 동작할 경우 악의적인 행위를 수행 |
|
9 |
JS |
자바스크립트로 작성된 코드로, 주로 Internet Explorer 취약점을 이용함 |
|
10 |
Trojan |
정상 프로그램으로 가장하며 실행 필요 자기 복제 능력 없음 |
|
예상 위협 |
예상 위험 시나리오 |
피해 예상 결과 |
공격 위험도 |
|
웹 정보수집공격 |
①알려진 페이지 스캔 시도 중 관리자 페이지를 발견 ②관리자 페이지에 BruteForce 공격을 시도하여 관리자 권한 탈취 |
○ 관리자 권한 탈취 ○ 페이지 변조 및 악성코드 유포 |
높음 |
|
웹 취약점 공격 |
①웹페이지 게시판에 글을 작성하여 XSS 공격 시도 ②해당 페이지에 접근하는 관리자의 세션 정보 탈취 |
○ 세션 정보 탈취 ○세션 정보를 이용한 페이지 변조 및 악성코드 유포 ○ 사용자 정보 유출 |
높음 |
|
웹쉘 업로드 |
① 취약점을 이용한 웹쉘 업로드 ② 웹쉘을 통한 시스템 권한 획득 |
○ 시스템 권한 탈취 ○ 타 기업에 대한 공격 중계서버로 활용 |
높음 |
|
악성코드 감염 |
① 사용자 부주의로 악성코드 다운 및 실행 ② 악성코드 감염 |
○네트워크를 통해 다수의 PC 및 서버로 악성코드 전파 |
중간 |
|
랜섬웨어 감염 |
① 서버 랜섬웨어 감염 |
○ 서비스 장애 발생 ○백업 파일을 통해 시스템 복구까지 장애 지속 |
높음 |
|
○ 보안장비 로그 분석 결과에 따른 예상 위험·위협을 식별하고 피해 예상 시나리오를 작성하였음 |
|||
○ 공격 유형에 따른 피해 예상 시나리오
○ 기타 용어설명
|
용어 |
설명 |
|
IP Fragment Too Small |
- 단편화된 IP datagram을 재조합하는 과정에서 발생하는 DOS공격의 일종으로, 해당 공격은 단편화된 IP datagram의 사이즈가 정해진 사이즈보다 작아서 발생함 - 원격의 공격자는 악의적으로 조작된 IP datagram 패킷을 영향받는 시스템에 계속 전송함으로 공격 할 수 있음 - 공격 성공 시, DOS 공격이 발생함 |
|
TCP Invalid port |
- 네트워크 규약(RFC 1700) 에 따르면, 0번 포트는 reserved 포트로 되어 있어 Public 네트웍에서는 통상적으로 사용되지 않음 - 1024이하의 포트는 well-known 포트로 통상적으로 Source와 Destination에서 양쪽 모두 well-known 포트를 사용하지는 않음 (단 20의 ftp-data 서비스를 제공하는 경우는 예외가 된됨) - 통상적으로 사용되지 않는 포트로 데이타를 보냄으로, 수신 시스템의 연산에 오류를 일으키거나, 수신자의 OS를 파악하는 fingerprint 공격으로 사용될 수 있음 |
|
SMB |
- SMB(Server Message Block)는 윈도우가 설치된 시스템에서 파일 공유, 프린터 공유, 원격 윈도우 서비스 엑세스 등 광범위한 목적으로 사용되는 전송 프로토콜임 |
|
Dcom_TCP_ |
- 다른이름 : W32.Blaster.Worm, W32/Lovsan.worm, Win32/Blaster.worm.6176 - DCOM Worm은 DCOM RPC Buffer Overflow취약점을 이용하여 전파되는 웜으로, 135/TCP 포트가 open되어 있는지 확인하고 취약점이 발견되면 시스템을 감염시킴 - 감염된 시스템은 4444/TCP 포트를 open하여 숙주(source)서버로 부터 TFTP를 이용하여 msblast.exe 파일을 다운받아 레지스트리에 등록함 ㅇ 변형 공격 (2003/8/14 update) 1) 2003/8/12 DCOM.Worm(Blaster.Wom) 출현 - DCOM.Worm은 DCOM RPC Buffer Overflow 취약점을 찾기위한 스캔형 공격과 취약한 시스템이 영향을 받은 경우 백도어 설치 및 시스템 재부팅을 하도록 변조 됨.
2) DCOM.Worm(Blaster.Wom) 의 변형 - PENIS32.EXE 또는 teekids.exe를 생성. - 시스템의 일자가 8월 16일 이후인 경우 공격 대상을 MS Update 서버로 지정하여 MS Update 서버에 대해 SYN 패킷을 발송함. (이용포트 80/TCP) - 따라서 감염된 많은 호스트들에 의해 분산 서비스거부(DDOS) 공격이 수행 됨 . - 이 경우 네트워크 상의 트래픽 증가로 네트워크 장비의 장애가 발생될 수 있음.
3) kaht2 - DCOM RPC Buffer Overflow 취약점을 이용한 공격도구로 시스템 쉘 권한 획득 (임의 포트 사용)하거나 백신 프로그램 삭제, FTP를 이용한 업로드, TFTP를 이용한 업로드, ASP업로드, 사용자 계정 추가, 측정 도구 삭제, FTP를 이용한 파일 업로드등과 같이 임의 명령어를 수행할 수 있음
※ SNIPER는 Blaster 웜이 취약한 다른 서버에 전파하기 위해 135/TCP 포트로 SYN 패킷을 발생하며 스캔하는 공격을Dcom_TCP_Sweep(MSBlaster Worm, Messager...)으로 탐지함
※ '메신저 서비스의 Buffer Overrun으로 인한 코드 실행 취약점'을 이용한 공격(WE03-0292)을 수행할 때, 135/TCP 포트로 SYN 패킷을 발생하며 공격 대상을 스캔하며, SNIPER는 이 Scan과정을 Dcom_TCP_Sweep (MSBlaster Worm, Messenger...)으로 탐지함 |
|
Host Sweep |
- 공격자가 실질적인 공격을 수행하기전에 대상서버에 대한 각종 정보를 획득하기 위한 과정으로 TCP 또는 UDP 패킷을 이용하여 서브넷 상에있는 작동중인 host들에대한 정보를 수집하며, FingerPrint, Ping, Port scan등 각종 정보를 획득할 수 있는 방법들을 동원하여 각종 서버의 정보를 동시 다발적으로 파악함 - host sweep은 IP sweep 또는 address sweep라고도 하는데, 공격자들은 자신이 공격할 대상을 찾기위해 네트워크 상에 있는 IP를 검색하는 기법으로 사용됨 - 공격자는 시스템에 백도어를 심어두고 host sweep를 이용하여 백도어가 설치된 시스템이 동작하는 지의 여부를 확인 하기 위해 이 공격을 이용함 |
|
HTTP Login Brute Force |
- HTTP WEB 서비스 port(80)에 접속하여 특정 ID(root,guest등)의 Password를 알아내기 위한 ToolKit을 이용해서 반복적으로 임의의 문자열을 대입하여 확인하는 방법으로 Password가 사전식으로 등록되어 있을 경우 쉽게 노출될 수 있음 |
|
/ping |
- Annex terminal은 원격 접근 장비로 PPP,Slave방식으로 접근하며, http 포트를 통해 원격에서 연결할 때 시스템을 정지할 수 있음 - 원격의 공격자는 아래의 예제와 같이 '/ping'스크립트에 긴 문자을 첨부한 요청문을 보내어 서비스 거부 공격을 수행함 |
|
Extension |
- 웹 서버의 내부 파일에 대해 접근 권한이 허술하게 설정되어 있을 경우 악의적인 사용자의 공격 대상이 될 수 있음 - 대부분의 접근 가능한 웹 서버에서 외부 공개를 위한 파일 및 디렉토리에 대한 접근 권한이 익명의 사용자에게도 허용되어 있다면 시스템에 중요한 파일들(시스템 파일, 라이브러리, 패스워드 파일 등)은 악의적인 공격의 대상이 될 수 있음 |
|
Cross Site Scripting |
- 공격자가 악성 스크립트를 입력한 페이지를 사용자가 열람한 경우 스크립트가 실행됨으로써 공격이 발생함 - 공격은 사용자를 대상으로 진행되며, 스크립트로 실행 가능한 여러 동작(파일 다운로드, 페이지 이동 등) 들이 가능함 |
|
SQL Injection |
- 웹 페이지에서 특수문자나 Unionm Select 등 쿼리에 사용되는 문자를 필터링 하지 않고 입력된 값이 쿼리문에 사용되는 경우 발생될 수 있음 - 공격자는 DB에 연결된 계정이 가진 권한 내에서 다양한 쿼리를 사용하여 저장된 정보의 획득, 수정, 삭제 및 시스템 접근 등이 가능함 |
|
StealthCommanding |
- 공격자는 Browser 상에서 특정 파라미터 값 뒤에 악의적인 구문 or 명령어를 삽입하는 경우, 해당 시스템은 웹 어플리케이션으로 인해 입력 받은 명령어를 실행할 수 있음 |
|
BufferOverflow |
- 어플리케이션이 예상하는 데이터 값보다 더 큰 값을 전송함으로써 예기치 않은 오동작을 일으키거나 악의적인 명령어를 실행하는 공격 기법으로, 알려진 OS, 어플리케이션의 취약점을 통해 Buffer Overflow 의 위험에 노출됨 - 일반적으로 자체 제작된 웹 어플리케이션의 경우 검증 부재로 인해 발생될 확률이 높음 |
|
Invalid HTTP |
- HTTP 규격을 지키지 않은 HTTP 코드로, 공격자가 생성하거나 변조한 비정상적인 패킷을 탐지함 |
|
PrivacyOutputFiltering |
- 웹 어플리케이션 홈페이지 상에 개인정보가 노출되어 개인정보 소유자 가 아닌 제3자에게 개인정보가 노출되는 공격을 말함 - 일반적으로 공격자각 공격으로 개인정보 DB데이터가 다운로드 되는 형태이나, 개발 시 테스트 파일 혹은 Client Side Script단 소스코드에 주석으로 처리되어 노출되는 경우도 존재함 |
|
RequestMethodFiltering |
- Method는 웹 어플리케이션에서 기본적으로 제공하는 클라이언트와 통신하기 위한 도구로, GET, POST, PUT, MOVE, DELETE 등 여러 가지 Method가 있음 - Method에 대한 제한이 없는 경우 파일 생성(PUT), 삭제(DELETE), 터널링 접근(Connect) 등의 동작이 가능함 |
|
Web Attack Program Prevention - Pattern is found in the requested field |
- 웹 공격 프로그램 차단은 웹 공격 프로그램(웹 스캐너, 웹 크롤러, 프록시 툴 등)을 사용하여 웹 서버로 보내는 요청을 차단하기 위해 요청 패킷을 검사하는 정책 |
|
Application Access Control - Requested URL is in the Block URL List |
- 웹 서버가 제공하는 어플리케이션 중에서 클라이언트가 접근할 수 있는 URL목록을 지정하여, 지정된 URL에만 접속이 가능하게 하는 정책 |
|
WISE Request Filter - Filter is matched |
- WISE(Web Insight Security Enforcement) 요청 필터는 클라이언트가 웹 서버로 보내는 요청 패킷에 대한 항목, 변수, 값, 조건 등 필터의 규칙을 세부적으로 설정하여 요청 패킷을 필터링 하는 정책 |
|
Directory Listing Prevention - Requested URL is not permitted to access. |
- 클라이언트가 ‘/’로 끝나는 URL을 입력했을 때 해당 디렉토리에 있는 모든 파일과 디렉토리 목록이 출력되는 것을 막기 위해 해당 요청을 차단하는 정책 |
|
Evasion Detection - Block illegal url in Parameter |
- Webfront의 검사를 회피하려는 행위를 차단하는 정책 |
|
Request Format Inspection - Requested method is not permitted |
- 클라이언트가 웹 서버로 보내는 요청 패킷의 형식을 검사하여 정상적인 요청 패킷인지를 검사하는 정책 |
|
Crawler |
- 웹 크롤러(Web Crawler)는 조직적, 자동화된 방법으로 월드 와이드 웹을 탐색하는 프로그램임 - 대체로 방문한 사이트의 모든 페이지의 복사본을 생성하는데 사용되며, 검색 엔진은 이렇게 생성된 페이지를 보다 빠른 검색을 위해 인덱싱함 예) bingbot(MS빙봇), googlebot(구글봇), daumoa(다음봇), yeti(네이버봇) |
|
FreePBX |
- reePBX는 오픈소스 통신 소프트웨어인 Asterisk의 GUI Management로 /admin/config.php 에 원격코드 실행 취약점이 존재 |