리눅스 분류
웹 해킹을 통한 PHPBB 웜(Shell Bot)유포 시스템 분석 보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 5,086 조회
- 0 추천
-
목록
본문
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
웹 해킹을 통한 PHPBB 웜(Shell Bot)
유포 시스템 분석 보고서
2005. 4. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여
주시기 바랍니다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
목 차
1. 개요 ………………………………………………………1
2. 피해 시스템 서버 정보 ………………………………1
3. 시스템 피해 분석 ………………………………………1
4. 결론 ……………………………………………………14
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 1 -
1. 개 요
o 인터넷침해사고대응지원센터는 2005년 4월 국내의 시스템이 작년 말부터 나온
PHPBB 취약성을 이용하는 PHPBB웜(Shell Bot) 유포 중간 서버로 사용되고
있다는 신고를 받아 해당 시스템에서 관련 웜 파일 삭제 및 조치를 취하였다.
o 공격자는 국내에서 많이 사용하는 제로보드를 사용을 하고 있었으며 이 취약
점을 이용하여 시스템의 슈퍼 사용자 권한을 획득후 웜 전파을 위한 관련 파
일을 업로드 하여 Shell Bot 전파 경유지 및 불법 프로그램 유포 용도로 사
용을 하였다.
2. 피해 시스템 서버 정보
o 용도 : 웹 호스팅 시스템
o 운영체계 : Linux (RedHat 9.0)
o Kernel 버전 : 2.4.20
o 게시판 : 제로보드
o PHP : 4.2.2
3. 피해 시스템 분석
1) 사고 개요
o OO 기업은 1대의 서버에 여러 업체의 홈페이지를 동시에 웹 호스팅하고 있
었다. 따라서 1개의 홈페이지가 취약성이 존재하는 웹 게시판을 사용하여, 이
취약점을 이용한 해킹후 피해 시스템의 슈퍼 사용자 권한을 획득후 침입자가
직접 제작한 웜을 전파하는 경유지로 사용하였다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 2 -
※ PHPBB 취약점을 이용한 웜 전파 파일
※ 웜 전파 파일-1 (취약 사이트 검색 및 전파)
2) Shell Bot 유포
o 침입자는 웜 전파 파일을 이용하여 취약한 사이트에 대하여 검색사이트를 이
용하여 검색후 취약성을 이용하여 취약한 시스템에 경유지 서버로부터 불법
프로그램 유포를 위한 BOT 파일을 다운로드 하도록 하였다. BOT 파일은 취
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 3 -
약한 시스템이 다운로드후에 특정 IRC (Internet Relay Chat)서버로 접속후
특정 Channel에 접속하여 침입자의 제어 및 조정을 받도록 설계 되어 있다.
※ 불법 프로그램 유포를 위한 BOT 소스중 일부
3) 피해 시스템 해킹 원인 분석
o 침입 경로
침입자는 피해시스템의 제로보드 취약점을 이용하여 피해 시스템의 사용자
권한을 획득한 것으로 추정된다. 정확한 경로는 당시의 시스템 로그 파일이
존재 하지 않아, 구체적인 파악은 불가능 하다.
2004년말부터 국내의 많은 웹사이트를 변조한 국가중에 상당수가 브라질 해
커들에 의하여 변조가 되었으며 당시 이러한 변조에 사용하는 취약점이 제
로보드의 취약점을 이용하였다. 또한 피해시스템은 PHPBB는 사용하지 않고
있었으며, 취약한 제로보드를 사용하고 있었다.
피해 시스템의 경우 최소 2차례의 해킹을 당한 것으로 판명된다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 4 -
① 1월경에 proxy라는 사용자의 홈디렉토리에는 불법 유포를 위한 DCC Bot
이 설치되어 운영중이였다.
② 4월경에는 broked라는 사용자의 ID가 생성되어 있었다.
※ 2개의 사용자 ID는 같은 침입자에 의하여 생성된걸로 추정됨
※ 원격에서 피해시스템에 제로보드 취약점을 이용한 원격 명령 실행
※ 침입자에 의하여 생성된 사용자 ID
o 불법 프로그램 유포를 위한 DCC Bot 설치 운영
침입자는 불법 프로그램 유포를 위한 DCC Bot을 침입자가 생성한 사용자
ID의 홈 디렉토리에 설치 운영을 하고 있었다.
이러한 유형의 DCC Bot은 특정 IRC 서버에 접속하여 불법 프로그램 유포를
하는 Channel에 접속하여 해당 Channel에 접속하는 사용자들에게 불법 프
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 5 -
로그램 유포용으로 사용된다. 이와 같은 형태는 대부분의 불법 프로그램 유
포의 형태에서 많이 사용되는 방법 중의 하나이다.
※ 침입자가 설치한 불법 프로그램 유포 DCC Bot
침입자는 proxy라는 디렉토리에 불법으로 유포할 동영상 파일을 저장해두고
있었다.
※ 유포에 사용된 불법 동영상 파일들
특정 IRC 서버에 접속하여 침입자가 정해놓은 Channel에 join 하도록 설정
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 6 -
※ DCC Bot 설정 파일
아래와 같은 DCC Bot은 IRC Channel에서 불법 프로그램을 유포함
※ 실제 시스템에 설치된 DCC Bot이 IRC에 접속하여 유포하는 예제
실제 DCC Bot이 피해 시스템에 저장된 불법 프로그램 유포 로그는 아래와
같다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 7 -
o 슈퍼 사용자 권한 획득
침입자는 웹 서비스 사용자 권한을 획득한후에 시스템의 취약점을 이용하여
수퍼 사용자 권한을 획득한것을 판단된다.
파일명 MD5SUM 비고
w00t dc1f1ead50be0d1c06f7b667ddb8de8f Local Exploit
피해 시스템의 /tmp 디렉토리에는 w00t라는 공격 도구가 설치되어 있었으
며, 공격자는 이를 이용하여 수퍼 사용자 권한을 획득 한 것으로 판단된다.
※ /tmp에 설치된 w00t 파일
※ 공격자는 Local 취약점을 공격하는 프로그램을 이용하여 수퍼 사용자 권
한을 필요시 획득 한 것으로 판단된다.
o PHPBB 취약성을 이용한 웜(Shell Bot) 전파 숙주사이트 사용
침입자는 피해시스템에 PHPBB의 취약성을 사용하여 다른 시스템에 웜을 전파
하도록 피해 시스템을 사용 하였다.
피해 시스템에서 호스팅되는 특정 Web Site에 PHPBB 관련 웜 전파 파일을
upload 한 후에 취약성이 존재하는 시스템에 추가적으로 감염을 시도하도록
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 8 -
설계된 웜 이다.
파일명 md5sum 비고
linuxday.txt 7e911580df6c8824aa88fd6fac3079a2 전파용
linuxday2.txt 6e5f1b670cc17f41790d1a6743c3fdd8 전파용
linuxdaybot.txt a9373797a4d42ac6a74d67b2ba97ba82 Shell Bot
주요 관련 파일들의 특성은 기존의 PHPBB 전파 특성과 유사하다. 검색 사이
트를 이용하여 취약한 응용프로그램 게시판을 사용하는 사이트 검색, 공격
방법 등은 유사하나, 이번의 경우 웜(Shell Bot) 유포와 더불어 국내 시스템을
이러한 웜의 숙주 서버로 사용하였다는 것이 특징이다. 특히 많은 단순 해커
들이 홈페이지를 변조하는 것과 달리, 홈페이지 변조를 하지 않고 어떠한 악
의적인 목적을 가지고 사용하였다는 것이 특징이다. 단순히 웹 페이지 변조
보다는 이와 같은 형태의 침해사고가 더욱 위험하며 깊은 관심이 필요하다.
피해 시스템이 해킹을 당한지 몇 달이 지나서 정확한 피해 규모는 확인할
수가 없지만은, 시스템에 저장된 관련 로그 파일은 3월 27일부터 해당 웜
(Shell Bot)을 다른 취약한 시스템이 해당 피해 시스템으로부터 전달 받는 것
을 확인 할 수 있었다.
기본적인 동작 원리는 다음과 같다.
① 침입자는 숙주서버를 해킹하여 전파를 위한 파일 설치
② 침입자는 전파를 위한 linuxday2.txt 실행하여 특정 검색 사이트로부터 해
당 응용프로그램을 사용하는 사이트 목록 검색
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 9 -
※ Google 사이트를 이용하여 특정 응용프로그램이 사용하는 사이트 검색
③ 검색사이트는 프로그램의 질의에 대한 결과 값 전달
④ 숙주서버는 전달받은 응용프로그램 사용 사이트에 대하여 취약성 여부 파단
※ 저장한 검색 목록을 가지고 취약성 여부 판단
※ 검색된 사이트의 취약성 여부 파단 로그
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 10 -
⑤ 취약한 사이트는 추가적으로 숙주 서버로부터 웜 (Shell Bot) 파일 다운로드후 실행
※ 공격 실행 사이트 및 성공 저장 로그
※ 웜에 감염된 시스템이 웜 (Shell Bot) 관련 파일을 숙주 서버로부터 다운로드
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 11 -
※ 취약한 사이트에 대한 공격이 성고하면은 linuxbot.txt를 다운받음. 실제 웜
(Shell Bot) 파일 일부
※ 또한 웜 (Shell Bot)을 다운받은 시스템은 특정 IRC 서버에 접속하도록 되어
있음. 이와 같은 경우는 대부분 불법 프로그램 유포 또는 타 사이트 공격용
으로 이용함
※ 웜 (Shell Bot) 파일의 공격 부분 일부
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 12 -
※ DCC를 이용한 불법 프로그램 유포 부분
⑥ 취약점에 감염된 시스템은 특정 IRC 서버에 접속한다.
※ 이번 웜(Shell Bot)은 합법적인 IRC Server를 사용하였으며, 해당 IRC 서버의
관리자에 의하여 웜에 감염된 시스템이 접속하는 Channel을 사용하지 못하
도록 조치를 취하였다.
o 기타 공격 사고 분석
침입자는 특정 프로세스 및 네트워크 상태를 시스템 관리자가 탐지 하지 못
하도록 일반적인 Linux 해킹에 많이 사용되는 Rootkit을 설치하였다.
※ rc.sysinit 파일에 Backdoor 를 자동으로 시작하도록 설정
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 13 -
※ 백도어로 설치한 SSH 설정 파일 및 관련 Host Key를 /lib/security/.config
디렉토리에 설치
※ 백도어로 사용된 SSH 설정 파일
Rootkit에 의하여 특정 프로세서 및 네트워크 관련 정보를 숨김
※ /usr/include/file.h 및 /usr/include/hosts.h 파일을 참조
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 14 -
※ 특정 프로세서, 특정 IP, 백도어 사용 포트 등에 대한 정보를 숨기도록 설정
o 침입자 추적 로그
피해 시스템이 해킹을 당한지 몇 개월이 되어서 정확한 침입자의 추적은 불
가능하지만은 분석 당시 존재한 시스템 로그를 가지고 침입자에 대한 추적
을 하였다. 특히 침입자가 생성한 2개의 사용자 ID 및 nobody 사용자의 접
속 로그 기록을 위주로 분석 함
※ 브라질의 특정 IP (201.24.54.188)에서 broked 및 nobody 권한으로 최근 접속을
시도한 로그
※ 브라질의 특정 IP (201.23.54.188) 및 IP (201.15.115.23)에서 해당 사용자 ID
를 자기고 피해 시스템에 접속한 로그
4. 결론
o 국내에는 많은 웹 호스팅 업체들이 존재하고 있으며, 상당수의 시스템들이
보안에 취약한걸 로 파악되고 있다. 이러한 이유는 최근에 급증한 웹페이지
변조, 국내의 많은 시스템들이 Botnet 명령/제어 서버로 이용, 악성 프로그
램 유포 사이트로 이용되고 있다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 15 -
o 이번 악성 프로그램 유포 사이트의 경우 웹 호스팅 시스템에 대한 주기적인
관리가 이루어 지지 않아서 몇 개월 동안 시스템이 해킹을 당하였어도 시스
템 관리자는 이를 탐지 하지 못하고 있었으므로, 시스템 관리자의 주기적인
시스템 모니터링 및 보안 패치 적용이 선행되어야 한다.
o 대부분의 많은 사람들이 눈에 보이는 웹페이지 변조를 위하여 노력을 하고
있지만은 탐지 되지 않은 더욱 많은 해킹 피해 시스템들이 국내에 존재하고
있으며, 이에 대한 탐지 및 대응이 필요하다고 할 수 있다.
o 특히 최근에는 국내의 시스템을 웜 전파용 중간 경유지 사용이나, Phishing
사이트 사용, 악성 Botnet 명령/제어 서버용 등으로 많이 사용되고 있다.
o 마지막으로 공개 소프트웨어의 취약점에 대한 대책이 필요하다고 할 수 있다.
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
웹 해킹을 통한 PHPBB 웜(Shell Bot)
유포 시스템 분석 보고서
2005. 4. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여
주시기 바랍니다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
목 차
1. 개요 ………………………………………………………1
2. 피해 시스템 서버 정보 ………………………………1
3. 시스템 피해 분석 ………………………………………1
4. 결론 ……………………………………………………14
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 1 -
1. 개 요
o 인터넷침해사고대응지원센터는 2005년 4월 국내의 시스템이 작년 말부터 나온
PHPBB 취약성을 이용하는 PHPBB웜(Shell Bot) 유포 중간 서버로 사용되고
있다는 신고를 받아 해당 시스템에서 관련 웜 파일 삭제 및 조치를 취하였다.
o 공격자는 국내에서 많이 사용하는 제로보드를 사용을 하고 있었으며 이 취약
점을 이용하여 시스템의 슈퍼 사용자 권한을 획득후 웜 전파을 위한 관련 파
일을 업로드 하여 Shell Bot 전파 경유지 및 불법 프로그램 유포 용도로 사
용을 하였다.
2. 피해 시스템 서버 정보
o 용도 : 웹 호스팅 시스템
o 운영체계 : Linux (RedHat 9.0)
o Kernel 버전 : 2.4.20
o 게시판 : 제로보드
o PHP : 4.2.2
3. 피해 시스템 분석
1) 사고 개요
o OO 기업은 1대의 서버에 여러 업체의 홈페이지를 동시에 웹 호스팅하고 있
었다. 따라서 1개의 홈페이지가 취약성이 존재하는 웹 게시판을 사용하여, 이
취약점을 이용한 해킹후 피해 시스템의 슈퍼 사용자 권한을 획득후 침입자가
직접 제작한 웜을 전파하는 경유지로 사용하였다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 2 -
※ PHPBB 취약점을 이용한 웜 전파 파일
※ 웜 전파 파일-1 (취약 사이트 검색 및 전파)
2) Shell Bot 유포
o 침입자는 웜 전파 파일을 이용하여 취약한 사이트에 대하여 검색사이트를 이
용하여 검색후 취약성을 이용하여 취약한 시스템에 경유지 서버로부터 불법
프로그램 유포를 위한 BOT 파일을 다운로드 하도록 하였다. BOT 파일은 취
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 3 -
약한 시스템이 다운로드후에 특정 IRC (Internet Relay Chat)서버로 접속후
특정 Channel에 접속하여 침입자의 제어 및 조정을 받도록 설계 되어 있다.
※ 불법 프로그램 유포를 위한 BOT 소스중 일부
3) 피해 시스템 해킹 원인 분석
o 침입 경로
침입자는 피해시스템의 제로보드 취약점을 이용하여 피해 시스템의 사용자
권한을 획득한 것으로 추정된다. 정확한 경로는 당시의 시스템 로그 파일이
존재 하지 않아, 구체적인 파악은 불가능 하다.
2004년말부터 국내의 많은 웹사이트를 변조한 국가중에 상당수가 브라질 해
커들에 의하여 변조가 되었으며 당시 이러한 변조에 사용하는 취약점이 제
로보드의 취약점을 이용하였다. 또한 피해시스템은 PHPBB는 사용하지 않고
있었으며, 취약한 제로보드를 사용하고 있었다.
피해 시스템의 경우 최소 2차례의 해킹을 당한 것으로 판명된다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 4 -
① 1월경에 proxy라는 사용자의 홈디렉토리에는 불법 유포를 위한 DCC Bot
이 설치되어 운영중이였다.
② 4월경에는 broked라는 사용자의 ID가 생성되어 있었다.
※ 2개의 사용자 ID는 같은 침입자에 의하여 생성된걸로 추정됨
※ 원격에서 피해시스템에 제로보드 취약점을 이용한 원격 명령 실행
※ 침입자에 의하여 생성된 사용자 ID
o 불법 프로그램 유포를 위한 DCC Bot 설치 운영
침입자는 불법 프로그램 유포를 위한 DCC Bot을 침입자가 생성한 사용자
ID의 홈 디렉토리에 설치 운영을 하고 있었다.
이러한 유형의 DCC Bot은 특정 IRC 서버에 접속하여 불법 프로그램 유포를
하는 Channel에 접속하여 해당 Channel에 접속하는 사용자들에게 불법 프
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 5 -
로그램 유포용으로 사용된다. 이와 같은 형태는 대부분의 불법 프로그램 유
포의 형태에서 많이 사용되는 방법 중의 하나이다.
※ 침입자가 설치한 불법 프로그램 유포 DCC Bot
침입자는 proxy라는 디렉토리에 불법으로 유포할 동영상 파일을 저장해두고
있었다.
※ 유포에 사용된 불법 동영상 파일들
특정 IRC 서버에 접속하여 침입자가 정해놓은 Channel에 join 하도록 설정
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 6 -
※ DCC Bot 설정 파일
아래와 같은 DCC Bot은 IRC Channel에서 불법 프로그램을 유포함
※ 실제 시스템에 설치된 DCC Bot이 IRC에 접속하여 유포하는 예제
실제 DCC Bot이 피해 시스템에 저장된 불법 프로그램 유포 로그는 아래와
같다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 7 -
o 슈퍼 사용자 권한 획득
침입자는 웹 서비스 사용자 권한을 획득한후에 시스템의 취약점을 이용하여
수퍼 사용자 권한을 획득한것을 판단된다.
파일명 MD5SUM 비고
w00t dc1f1ead50be0d1c06f7b667ddb8de8f Local Exploit
피해 시스템의 /tmp 디렉토리에는 w00t라는 공격 도구가 설치되어 있었으
며, 공격자는 이를 이용하여 수퍼 사용자 권한을 획득 한 것으로 판단된다.
※ /tmp에 설치된 w00t 파일
※ 공격자는 Local 취약점을 공격하는 프로그램을 이용하여 수퍼 사용자 권
한을 필요시 획득 한 것으로 판단된다.
o PHPBB 취약성을 이용한 웜(Shell Bot) 전파 숙주사이트 사용
침입자는 피해시스템에 PHPBB의 취약성을 사용하여 다른 시스템에 웜을 전파
하도록 피해 시스템을 사용 하였다.
피해 시스템에서 호스팅되는 특정 Web Site에 PHPBB 관련 웜 전파 파일을
upload 한 후에 취약성이 존재하는 시스템에 추가적으로 감염을 시도하도록
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 8 -
설계된 웜 이다.
파일명 md5sum 비고
linuxday.txt 7e911580df6c8824aa88fd6fac3079a2 전파용
linuxday2.txt 6e5f1b670cc17f41790d1a6743c3fdd8 전파용
linuxdaybot.txt a9373797a4d42ac6a74d67b2ba97ba82 Shell Bot
주요 관련 파일들의 특성은 기존의 PHPBB 전파 특성과 유사하다. 검색 사이
트를 이용하여 취약한 응용프로그램 게시판을 사용하는 사이트 검색, 공격
방법 등은 유사하나, 이번의 경우 웜(Shell Bot) 유포와 더불어 국내 시스템을
이러한 웜의 숙주 서버로 사용하였다는 것이 특징이다. 특히 많은 단순 해커
들이 홈페이지를 변조하는 것과 달리, 홈페이지 변조를 하지 않고 어떠한 악
의적인 목적을 가지고 사용하였다는 것이 특징이다. 단순히 웹 페이지 변조
보다는 이와 같은 형태의 침해사고가 더욱 위험하며 깊은 관심이 필요하다.
피해 시스템이 해킹을 당한지 몇 달이 지나서 정확한 피해 규모는 확인할
수가 없지만은, 시스템에 저장된 관련 로그 파일은 3월 27일부터 해당 웜
(Shell Bot)을 다른 취약한 시스템이 해당 피해 시스템으로부터 전달 받는 것
을 확인 할 수 있었다.
기본적인 동작 원리는 다음과 같다.
① 침입자는 숙주서버를 해킹하여 전파를 위한 파일 설치
② 침입자는 전파를 위한 linuxday2.txt 실행하여 특정 검색 사이트로부터 해
당 응용프로그램을 사용하는 사이트 목록 검색
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 9 -
※ Google 사이트를 이용하여 특정 응용프로그램이 사용하는 사이트 검색
③ 검색사이트는 프로그램의 질의에 대한 결과 값 전달
④ 숙주서버는 전달받은 응용프로그램 사용 사이트에 대하여 취약성 여부 파단
※ 저장한 검색 목록을 가지고 취약성 여부 판단
※ 검색된 사이트의 취약성 여부 파단 로그
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 10 -
⑤ 취약한 사이트는 추가적으로 숙주 서버로부터 웜 (Shell Bot) 파일 다운로드후 실행
※ 공격 실행 사이트 및 성공 저장 로그
※ 웜에 감염된 시스템이 웜 (Shell Bot) 관련 파일을 숙주 서버로부터 다운로드
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 11 -
※ 취약한 사이트에 대한 공격이 성고하면은 linuxbot.txt를 다운받음. 실제 웜
(Shell Bot) 파일 일부
※ 또한 웜 (Shell Bot)을 다운받은 시스템은 특정 IRC 서버에 접속하도록 되어
있음. 이와 같은 경우는 대부분 불법 프로그램 유포 또는 타 사이트 공격용
으로 이용함
※ 웜 (Shell Bot) 파일의 공격 부분 일부
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 12 -
※ DCC를 이용한 불법 프로그램 유포 부분
⑥ 취약점에 감염된 시스템은 특정 IRC 서버에 접속한다.
※ 이번 웜(Shell Bot)은 합법적인 IRC Server를 사용하였으며, 해당 IRC 서버의
관리자에 의하여 웜에 감염된 시스템이 접속하는 Channel을 사용하지 못하
도록 조치를 취하였다.
o 기타 공격 사고 분석
침입자는 특정 프로세스 및 네트워크 상태를 시스템 관리자가 탐지 하지 못
하도록 일반적인 Linux 해킹에 많이 사용되는 Rootkit을 설치하였다.
※ rc.sysinit 파일에 Backdoor 를 자동으로 시작하도록 설정
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 13 -
※ 백도어로 설치한 SSH 설정 파일 및 관련 Host Key를 /lib/security/.config
디렉토리에 설치
※ 백도어로 사용된 SSH 설정 파일
Rootkit에 의하여 특정 프로세서 및 네트워크 관련 정보를 숨김
※ /usr/include/file.h 및 /usr/include/hosts.h 파일을 참조
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 14 -
※ 특정 프로세서, 특정 IP, 백도어 사용 포트 등에 대한 정보를 숨기도록 설정
o 침입자 추적 로그
피해 시스템이 해킹을 당한지 몇 개월이 되어서 정확한 침입자의 추적은 불
가능하지만은 분석 당시 존재한 시스템 로그를 가지고 침입자에 대한 추적
을 하였다. 특히 침입자가 생성한 2개의 사용자 ID 및 nobody 사용자의 접
속 로그 기록을 위주로 분석 함
※ 브라질의 특정 IP (201.24.54.188)에서 broked 및 nobody 권한으로 최근 접속을
시도한 로그
※ 브라질의 특정 IP (201.23.54.188) 및 IP (201.15.115.23)에서 해당 사용자 ID
를 자기고 피해 시스템에 접속한 로그
4. 결론
o 국내에는 많은 웹 호스팅 업체들이 존재하고 있으며, 상당수의 시스템들이
보안에 취약한걸 로 파악되고 있다. 이러한 이유는 최근에 급증한 웹페이지
변조, 국내의 많은 시스템들이 Botnet 명령/제어 서버로 이용, 악성 프로그
램 유포 사이트로 이용되고 있다.
http://www.krcert.or.kr
웹해킹을 통한 PHPBB 웜(Shell Bot) 유포 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 15 -
o 이번 악성 프로그램 유포 사이트의 경우 웹 호스팅 시스템에 대한 주기적인
관리가 이루어 지지 않아서 몇 개월 동안 시스템이 해킹을 당하였어도 시스
템 관리자는 이를 탐지 하지 못하고 있었으므로, 시스템 관리자의 주기적인
시스템 모니터링 및 보안 패치 적용이 선행되어야 한다.
o 대부분의 많은 사람들이 눈에 보이는 웹페이지 변조를 위하여 노력을 하고
있지만은 탐지 되지 않은 더욱 많은 해킹 피해 시스템들이 국내에 존재하고
있으며, 이에 대한 탐지 및 대응이 필요하다고 할 수 있다.
o 특히 최근에는 국내의 시스템을 웜 전파용 중간 경유지 사용이나, Phishing
사이트 사용, 악성 Botnet 명령/제어 서버용 등으로 많이 사용되고 있다.
o 마지막으로 공개 소프트웨어의 취약점에 대한 대책이 필요하다고 할 수 있다.
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
