메뉴 건너뛰기

자유게시판

흠...불량 회장 간만에 들릅니다.

황성현 2009.03.03 16:15 조회 수 : 1823

 에...이몸은 소개하자면...한때 회장직을 역임했던 불량회장으로써 간만에 캐스퍼동아리에

들렀습니다. 성은 황이요 이름은 군이니 황군님이라~

 

먹고 살자니 힘들어서 ㅠㅠ 그간 후배님들께 미안하구요..그냥 들른김에 재미난거 하나 올려볼려고 ㅎㅎ;;

 

Case - Terminal 로그가 탈취당한 모 업체의 해킹 시나리오.

 

위 업체의 경우 기술적인 문제보다는 마인드적인 문제로 인하여 발생한 사건이며 일반적인 업체들이 겪고 있는  일들입니다.

 

1. 사건의 발달 : 사건의 발단은 Admin 페이지로써 일반적으로 보안권고상에서는 admin 페이지의 경우

                        특정IP대역의 유저들만이 접속 할 수 있도록 설정하지만 위 업체는 아무나 다 접속할 수 있었음.

                        그리고 고객의 admin 계정의 ID/Pass는 정말 눈물겹게 단순함..

    

                         추가적으로 업로드되는 파일의 경우 일반적으로 해당 파일명을 DBMS에 기록한 후 사용자가 알 수

                         없는 폴더에 파일명을 바꿔서 저장하지만 이 업체의 경우 Directory Listing 취약점 및 개념없이 파일명을

                         그대로 저장함.

                    

2, 사건의 진행 :

- 공격자는 얼씨구나 하면서  admin 계정의 id 및 패스워드를 겐또쳐서 알아낸 후 웹쉘파일을 업로드 함.

                         웹쉘파일을 업로드 한 후 웹쉘을 실행. (이미지를 글안에 어케 올리징;; 첨부파일 참고하시길)

                         웹쉘 이미지를 보면 왼쪽 하단에 Serv-u라는게 있는데 이게 Serv-U의 취약점을 이용하여 권한상승을

                         수행하게 되는 기능으로써.........왜 이게 필요할까.....-_-;; 자..잠시 생각해봅시다..왜 이런 기능이

                         필요할지...내가 공격자라면 왜 이런 기능이 있는 웹쉘을 올렸을지...이유는?   필요해서!!!

 

- 웹쉘을 실행시킨 후 공격자는 Cmd.exe 파일 및 인젝션으로 통하여 패스워드를 탈취할 DLL파일, 그리고 레

                   지스트리의 스케쥴 항목에 등록을 위한 REG파일, LCX와 같은 Reverse Tunnel 도구등을 업로드

                   합니다.  근데 문제는..이렇게 올린 파일들은 Webuser 권한이기때문에 System32 및 레지스트리

                   파일에 접근을 할 수 없다는것...더 문제는 상위 디렉토리 또한 이동이 힘들다는것..그래서 Serv-U

                   의 취약점을 이용하여 로컬권한상승을 하게된 것임... 

                 

- 권한 상승이 되면서 레지스트리에 lcx등과 같은 프로그램들이 자동실행될 수 있도록 하고 해당 프로세서를

   죽이더라도 바로 다시 실행될 수 있도록 설정.

                   마찬가지로 스케쥴에도 지워도 지워도 자꾸 등록되도록 설정 후 winlogon.exe 파일에 해당 dll파일을

                   Injection 하여 로그온을 수행할 시 ID/Pass가 탈취 될 수 있도록 설정.

 

- 이후 공격자는 Reverse Tunnel을 이용하여 Terminal 접속을 하게되고 터미널 접속 후 여러 웹쉘을 곳곳에 올리고

         쓰지 않는 웹소스에 한줄백도어를 삽입. 해당 웹쉘 및 한줄백도어가 있는 소스파일은 Admin 권한의

         계정은 해당 파일을 찾을 수도 볼 수도 없도록 계정권한을 Administrator 그룹에 대해서는 모든 행위 거부

         및 user 계정에서만 실행/수정 할 수 있도록 변경.

 

 

 


   - install.bat 파일 내용을 확인한 결과 함께 생성된 Hookmsgina.dll 을 %systemroot%system32wminotify.dll

       으로 복사한 다음 On.reg 파일 내용을 레지스트리에 등록시킴

 

   - On.reg 파일 내용을 확인한 결과 아래의 레지스트리에 wminotify.dll을 등록시킴

   - Process Explorer 를 통해 wminotify.dll 이 winlogon.exe에 인젝션된 것을 확인함

 

    

 

이번 침해사고의 경우 기술적인 문제보다는 관리자의 마인드 부족으로 인한 침해사고가 발생한

경우임..

  

      학교내에선 위와 같은 공격에 대하여 경험하기 힘들것으로 생각되며 안이한 관리자가 제일 무섭다는

      사실을 개발자를 하던..관리자를 하던..머리속에서 기억해두시면 되겠습니다.

 

      흠...머 회사에서도 불량사원이라 엥간하면 이런거 안할려 하는데 간만에 허를 찔린 침해분석건이기에

      한번 캐스퍼에 올려보네요.. Server 시스템들의 경우 xp와는 틀리게 파일에 대하여 각각 계정별 권한을

      줄수 있는데 해당 파일의 권한을 administrator에 대하여는 모두 거부...user계정에서만 허용으로 해놓으면

      admin은 그 파일의 내용을 확인 할 수 없기에 어드민계정을 user 그룹에도 추가하는것이 분석시 도움.

 

 

위 내용은 업무시간에 띵가띵가 하면서 작성을 대충 한것이라 다른쪽에는 이러한 내용이 나가지 않도록 주의해주세요~

 

 

  

번호 제목 글쓴이 날짜 조회 수
306 [국제해킹대회&보안컨퍼런스]CODE GATE 2009를 소개합니다 김보형 2009.03.12 1487
» 흠...불량 회장 간만에 들릅니다. [4] file 황성현 2009.03.03 1823
304 이런건 어떻게 할까? [4] 바이쭌 2009.02.28 1478
303 KISA 2009년도 대학정보보호동아리 지원사업에 선정 되었습니다. [2] darktoil 2009.02.19 1540
302 즐겨찾기 관리도구 - foxmarks [1] 바이쭌 2009.02.17 1580
301 국내 웹게시판 취약점 및 패치 내용 바이쭌 2009.02.12 1633
300 나눔고딕 코딩 폰트 [1] 바이쭌 2009.02.07 1829
299 MS Office에서 pdf 파일 만드는 추가기능 [1] 바이쭌 2009.01.19 5066
298 2009/01/03 12시 ~ 2009/01/04 24시 Padocon 대회 [2] file whoareyou 2009.01.05 2516
297 96학번 대공 선배 결혼식! [4] file 재야 2008.12.19 2651
296 제로데이보다 중요한 것 [2] 바이쭌 2008.12.07 2302
295 레벨 정리 실시! [6] 바이쭌 2008.12.05 2424
294 Powerful burning laser pointer [1] 바이쭌 2008.11.27 2439
293 2008 국제과학 축전 자원봉사자 모집 경남자원봉사센터 2008.11.26 2217
292 악성 봇 감염 여부 확인... [1] 바이쭌 2008.11.05 1735
291 휴대폰으로 웹서버를..... [1] 바이쭌 2008.11.05 1697
290 김재선배 축하드려요~~ㅎㅎㅎㅎㅎ [2] 은냉이 2008.11.04 1651
289 행님 완전 축하.!! 그런의미에서............... [1] darktoil 2008.11.04 1603
288 [취업자리 급함] 취업하고 싶은 사람 ~ 이 글을 읽어보시고 내일까지 연락 부탁함..ㅡㅡ; 옥영훈 2008.11.03 1752
287 행님 삼성 입사 진심으로 축하드립니다 [1] 라스 2008.11.03 1752
위로