direct84.com 삽입 공격이 다른 공격과 성격이 달랐던 건, VIP 가 아닌 다른 툴에 의해 공격이 이루어졌기 때문인 듯.
공격툴 분석 : http://www.secureworks.com/research/threats/danmecasprox/
정리해보면
1. 봇넷 사업자가 중국쪽 공격 기법을 그대로 흡수해서 사용함 (구글 검색 -> 공격 -> 링크 삽입)
2. 기존 쿼리를 그대로 사용하되 User-Agents 등은 변경하여 탐지 우회 시도.
3. 기존에 감염된 좀비 PC 를 이용해 Mass SQL injection 하여 봇넷 확장 시도.
주의사항
@S=CAST(0x40 -> @S=CAST(0x44 로 변경됨.
일부 NIDS의 룰셋 추가/수정 필요 (역시 false-positive 가능성을 무릅쓰고라도 'CAST(' 로 막아야 할 듯)
결론
1. 봇넷 사업자가 이 기법의 유용성에 눈을 떴기 때문에, 공격이 일시적 현상에 그치지 않고 지속될 가능성 높음.
2. SQL injection 취약점을 제거하지 못한 상태에서 신규 서비스를 론칭하면 즉시 공격당함.
3. 기존에 공격 대상이 된 국내 사이트는 취약점에 대한 근본 대책을 수립하지 못할 경우 관리자가 밤에 편하게 잠들지 못할 듯.
4. ASP 개발자 중에 Secure Development 노하우가 없는 개발자는 올해 고생 좀 할 듯.
이글루스 가든 - professional secur...
공격툴 분석 : http://www.secureworks.com/research/threats/danmecasprox/
정리해보면
1. 봇넷 사업자가 중국쪽 공격 기법을 그대로 흡수해서 사용함 (구글 검색 -> 공격 -> 링크 삽입)
2. 기존 쿼리를 그대로 사용하되 User-Agents 등은 변경하여 탐지 우회 시도.
3. 기존에 감염된 좀비 PC 를 이용해 Mass SQL injection 하여 봇넷 확장 시도.
주의사항
@S=CAST(0x40 -> @S=CAST(0x44 로 변경됨.
일부 NIDS의 룰셋 추가/수정 필요 (역시 false-positive 가능성을 무릅쓰고라도 'CAST(' 로 막아야 할 듯)
결론
1. 봇넷 사업자가 이 기법의 유용성에 눈을 떴기 때문에, 공격이 일시적 현상에 그치지 않고 지속될 가능성 높음.
2. SQL injection 취약점을 제거하지 못한 상태에서 신규 서비스를 론칭하면 즉시 공격당함.
3. 기존에 공격 대상이 된 국내 사이트는 취약점에 대한 근본 대책을 수립하지 못할 경우 관리자가 밤에 편하게 잠들지 못할 듯.
4. ASP 개발자 중에 Secure Development 노하우가 없는 개발자는 올해 고생 좀 할 듯.
이글루스 가든 - professional secur...
덧글