Cyber Security Issue 8월동향 ë³´ê³ ì„œ.pdf

○ 감염된 Apache 웹 서버는 해커가 보낸 특별한 HTTP GET 요청에 의해 연결 및 명령을수행하도록 유도할 수 있으며 분석결과 총 23가지의 명령 존재※ ‘DU’, ‘ST’, ‘T1’, ‘L1’, ‘D1’, ‘L2’, ‘D2’, ‘L3’, ‘D3’, ‘L4’, ‘D4’, ‘L5’, ‘D5’, ‘L6’, ‘D6’, ‘L7’, ‘D7’, ‘L8’, ‘D8’,‘L9’, ‘D9’, ‘LA’, ‘DA’.○ ESET 보안업체에서는 모니터링 결과 수백대의 웹 서버가 해당 백도어에 의해 장악된것으로 이로 인해 수천명 이상의 접속자가 악의적인 사이트로 유도된 것으로 분석○ 암호화된 HTTP 요청과 숨김 기능으로 인해 탐지가 어려운 점을 감안하여 ESET에서는 공유 메모리상에서 해커에 의해 전송된 설정파일을 덤프할 수 있는 도구를 배포 중 [출처 2][출처]※ 수신된 설정파일은 메모리상에 저장되어 있어 C&C 추적과 서버 포렌식으로 탐지 어려움1. http://www.computerweekly.com/news/2240182904/Hackers-open-malware-backdoor-in-Apachewebservers2.http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-servesblackhole/▣ 개요아버네트웍스, CMS 웹사이트를 공격하는 FORT DISCO 봇넷발견○ 아버네트웍스는 CMS를 사용하는 웹사이트를 타겟으로 공격하는 Fort Disco 봇넷에 의해 788개의 CMS 웹서버 해킹 및 2만 5천 여대의 PC가 감염 되었다고 발표함 (8.7)※ CMS(Content Management System) : 게시판, 블로그 등과 같은 웹사이트를 제작할 수 있는 설치형 패키지 프로그램▣ 주요 내용○ 아버네트웍스 SERT(Security Engineering & Response Team)는 2013 3월 말부터 현재까지 Fort Disco 봇넷을 분석한 결과, C&C 6개 및 감염된 윈도우 PC 2,500대를 확인○ 봇넷의 악성코드 PE 파일 속성 필드에 남아있는 File Description에 ‘Fort Disco MildFore Mend Beeps’ 이라는 문구가 확인 되어 ‘Fort Disco’ 봇넷이라 명명II. 인터넷 보안 동향○ Joomla, WordPress, Datalife 엔진이 설치된 6,000여개의 웹서버 대한 관리자의 아이디/패스워드 추측 공격을 시도함- 세 개의 CMS가 공격 대상이며, 각각의 URL 경로는 아래과 같음공격 대상 CMS명JoomlaWordPressDatalife Engine공격 URL 경로/administrator/index.php/wp-login.php/admin.php※ Joomla : PHP로 작성된 오픈 소스 콘텐츠 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능※ WordPress : 세계 최대의 오픈 소스 콘텐츠 관리 시스템으로, HTML, PHP 코드를 수정하지 않고 웹 환경에서 다양한 테마 설치하여 쉽게 사용할수 있음※ Datalife Engine: 러시아에서 인기 있는 자바 기반의 콘텐츠 관리시스템- 공격 대상 및 아이디/패스워드 리스트 6,000여개를 CMS 별로 분류한 결과, Joomla가 54.9% 가장많았으며, WordPress가 41.1%, Datalife Enge이 4%로 나타남22 월간 「Cyber Security Issue」 8월 동향 II. 인터넷 보안 동향 23