해외 보안 업체인 iMPERVA는 취약한 웹 어플리케이션을 통해 악성 프로그램(웜, 바이러스)이 퍼질 가능성을 경고해왔죠. - 참고 자료
저는 충분히 가능한 이야기라고 생각했으나, 3~4년 뒤에나 다가올 일로 생각했는데, 예상보다
빨리다가오네요.
기존의 Santy 웜은 phpBB라는 게시판 프로그램을 사용하는 곳만을 공격하였으나, 새로나온 Santy.C 변형은 PHP를 사용하는 모든 프로그램을 공격하도록 수정되었습니다.
PHP 프로그래머가 보안상의 결함이 있는 형태(include, require 함수를 취약하게 사용한 경우)로 프로그램을 짠 경우, Santy.C 웜에 공격당하게 됩니다.
Santy.C는 구글 브라질 사이트를 이용해 공격 대상을 찾아낸 후 해당 프로그램이 사용하는 인자(parameter)에 자신이 원하는 명령어를 대입시키는 형태로 웜에 감염시킵니다. 이런 공격 기법은 기존에 해커들이 즐겨 사용하던 기법으로, 바이러스, 웜, 해킹의 경계가 나날이 모호해지고 있음을 잘 보여주고 있다고 하겠습니다.
- 참고 자료
국내에서 많이 사용되는 제로보드, 그누보드라는 게시판도 역시 Santy.C의 공격에 취약합니다. 해당 게시판 사용자는 최근 발표된 취약점 패치를 반드시 적용하여야 합니다.
제로보드 보안 취약점 정보
그누보드 보안 취약점 정보
이 웜의 독특한 공격 방식으로 인해 기존에 취약점이 발견되지 않은 PHP 어플리케이션의 경우에도 공격당할 수 있으니 주의가 필요합니다.
Apache 사용자라면 다음의 2가지 방법 중 하나를 사용하여 공격에 대처할 수 있습니다.
참고로 해외 보안 업체가 분석한 웜의 개괄적인 소스를 덧붙입니다.
K-Otik 의 Santy.C 분석 소스
저는 충분히 가능한 이야기라고 생각했으나, 3~4년 뒤에나 다가올 일로 생각했는데, 예상보다
빨리다가오네요.
기존의 Santy 웜은 phpBB라는 게시판 프로그램을 사용하는 곳만을 공격하였으나, 새로나온 Santy.C 변형은 PHP를 사용하는 모든 프로그램을 공격하도록 수정되었습니다.
PHP 프로그래머가 보안상의 결함이 있는 형태(include, require 함수를 취약하게 사용한 경우)로 프로그램을 짠 경우, Santy.C 웜에 공격당하게 됩니다.
Santy.C는 구글 브라질 사이트를 이용해 공격 대상을 찾아낸 후 해당 프로그램이 사용하는 인자(parameter)에 자신이 원하는 명령어를 대입시키는 형태로 웜에 감염시킵니다. 이런 공격 기법은 기존에 해커들이 즐겨 사용하던 기법으로, 바이러스, 웜, 해킹의 경계가 나날이 모호해지고 있음을 잘 보여주고 있다고 하겠습니다.
- 참고 자료
국내에서 많이 사용되는 제로보드, 그누보드라는 게시판도 역시 Santy.C의 공격에 취약합니다. 해당 게시판 사용자는 최근 발표된 취약점 패치를 반드시 적용하여야 합니다.
제로보드 보안 취약점 정보
그누보드 보안 취약점 정보
이 웜의 독특한 공격 방식으로 인해 기존에 취약점이 발견되지 않은 PHP 어플리케이션의 경우에도 공격당할 수 있으니 주의가 필요합니다.
Apache 사용자라면 다음의 2가지 방법 중 하나를 사용하여 공격에 대처할 수 있습니다.
방법 1. 환경 설정 파일(httpd.conf) 수정
SetEnvIf User-Agent "LWP::" get_lost
SetEnvIf User-Agent "lwp-trivial" get_lost
<Directory /*>
Order Allow,Deny
Deny from env=get_lost
Allow from all
</Directory>
방법 2. mod_rewirte 사용
<Directory /*>
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)spy.gif(.*)
RewriteRule ^.*$ - [F]
</Directory>
참고로 해외 보안 업체가 분석한 웜의 개괄적인 소스를 덧붙입니다.
K-Otik 의 Santy.C 분석 소스
덧글