SQL Injection 취약점을 이용한 윈도우즈 웹서버 사고 사례.pdf

More documents

Recommendations

Info

KrCERT-IN-2005-014 http://www.krcert.or.kr SQL Injection 취약점을 이용한 악성 코드 전파 사례 cert@krcert.or.kr ________________________________________________________________________________________ [표 2] 7월 3일 웹 로그 - 확장 저장 프로시저(Extended Stored Procedure)를 이용한 내부 명령어 실행 MS-SQL에서 제공되고 있는 xp_cmdshell 프로시저를 이용해 시스템 내부 명령어를 실행한 로그가 확인되었다. 6월 26일을 시작으로 7월 21일까지 수차례에 걸쳐 xp_cmdshell 프로시저를 이용, 해킹에 이용하기 위한 프로그램들을 설치하였다. 다음 내용은 echo 명령을 통해 ll.asp라는 페이지를 생성한 로그로 실제 피해 시스템에서는 ll.asp가 남아있지 않아 로그 파일을 통해 재구성한 결과, ll.asp는 form을 통해 피해 시스템에 파일을 생성하기 위한 asp 페이지로 확인되었다. [표 3] echo를 이용한 악성페이지(ll.asp) 생성 로그 __________________________________________________________________________________________ KISC 인터넷침해사고대응지원센터 - 4 -
KrCERT-IN-2005-014 http://www.krcert.or.kr SQL Injection 취약점을 이용한 악성 코드 전파 사례 cert@krcert.or.kr ________________________________________________________________________________________ [그림 1] echo 명령을 이용해 생성된 악성 페이지(ll.asp) 해커는 생성한 ll.asp 이외에도 echo 명령을 이용해 외부에서 파일을 가져오기 위한 vbs 스크 립트 파일을 생성한 후, cscript 명령을 이용해 악성 프로그램을 다운로드 한 것으로 확인되었는데, 이런 방법은 최근의 중국과 관련된 해킹사고에서도 자주 확인되고 있다. 이외에도 웹 로그 상에는 tftp를 이용해 외부의 사이트에서 악성 프로그램을 다운로드한 로그도 같이 확인되고 있다. [표 4] cscript를 이용한 악성 프로그램 다운로드 __________________________________________________________________________________________ KISC 인터넷침해사고대응지원센터 - 5 -
Page 1 and 2: KrCERT-IN-2005-014 http://www.krcer
Page 3: KrCERT-IN-2005-014 http://www.krcer
Page 7 and 8: KrCERT-IN-2005-014 http://www.krcer
Page 9: KrCERT-IN-2005-014 http://www.krcer

SQL Injection 취약점을 이용한 윈도우즈 웹서버 사고 사례.pdf

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?