2011.11.29
안녕하세요. 안랩인입니다. 2011년 8월, 웹 서비스를 제공하고 있는 한 업체가 자사의 서버에서 스팸 메일을 대량 발송하는 사건이 일어났다며, 안철수연구소 A-FIRST(AhnLab Forensic & Incident Response Service Team)에 분석을 의뢰했습니다. 이 업체는 자사의 서버가 스팸 메일을 발송하고 있다는 사실도 스스로 인지한 것이 아니라, 스팸 메일을 수신한 포털 사이트 메일 사용자들이 항의해서 알게 됐습니다. [그림 1]은 해당 업체가 받은 경고 메일입니다.
[그림 1] 스팸 메일 발송 경고문
이 사례는 공격자가 웹쉘 업로드를 통해 웹 서버를 해킹한 경우입니다. 각 단계에서 공격자가 수행한 내용을 자세하게 살펴보겠습니다.
[그림 2] 공격 구조도
공격의 시작
침해당한 대부분의 웹 서버들은 파일 업로드 취약점을 갖고 있습니다. 이 취약점을 이용해 웹쉘 파일을 업로드하는 것이 공격자가 서버의 제어권을 획득하는 가장 쉬운 방법입니다. 이 방법은 다른 취약점들에 비해 보안 장비를 사용해 방어하기 어렵고, 보안성에 적합하지 않은 게시판 코드 구현이 많아 주로 사용됩니다.
[그림 3] 웹쉘 접근 화면
공격자는 웹쉘 파일을 업로드한 후에 해당 웹 서버에서 명령어를 실행시킬 수도 있고, 추가 공격에 사용될 여러 파일들을 올릴 수도 있습니다. 공격자가 웹쉘 파일 업로드 및 실행에 성공하면, 웹 서비스를 운영 중인 계정의 권한을 획득하게 됩니다. 이때 사용되는 계정은, 시스템마다 다르지만, 루트(root) 권한이 아니라 대부분 노바디(nobody) 권한입니다. 따라서 웹쉘을 사용해 처음으로 업로드하는 파일은 공격자의 권한을 루트로 높여야 하므로 시스템의 취약점을 공격할 수 있는 취약점 공격 코드(exploit)인 경우가 많습니다. <Ahn>
* 더 자세한 내용은 안랩홈페이지 를 참고해 주세요.
'AhnLab 보안in' 카테고리의 다른 글
2012년 버전으로 위장한 허위 클라우드 백신 (0) | 2020.04.13 |
---|---|
신용 카드 한도 초과 안내 메일로 위장한 악성코드 유포 (0) | 2020.04.13 |
배너광고는 악성코드를 싣고 (0) | 2020.04.13 |
동의없이 설치되는 불필요한 프로그램들 (0) | 2020.04.13 |
니트로 보안 위협의 대상이 된 화학업체들 (0) | 2020.04.13 |