본문 바로가기
AhnLab 보안in

[안철수연구소 ASEC리포트 8월] 허니넷 네트워크 모니터링 시스템 현황

by 보안세상 2020. 4. 5.

2008.09.19

 

지난 8월 한 달 동안 네트워크 모니터링 시스템으로부터 탐지된 상위 Top 5 보안위협들은 다음과 같다. 익스플로잇 공격이 주를 이루었던 7월과 달리, 데이터베이스의 관리자 권한을 얻어내기 위한 패스워드 대입 시도 탐지 회수가 3위로 랭크되었다.

순위 취약점 명 비율
1 MS05-027 Vulnerability in Server Message Block Vulnerability 70%
2 MS03-039 Microsoft SQL Server Vulnerability 9%
3 MS-SQL SA brute force login attempt 8%
4 MS04-11 Local Security Authority Subsystem Service(LSASS) Vulnerability 7%
5 MS03-026 Buffer Overrun In RPC Interface Vulnerability 6%

네트워크 공격 취약점 순위


상위 5개의 공격 모두 공개된지 3년 이상 지났지만 아직도 많은 수의 호스트가 이와 같은 취약점의 공격대상이 되고 있다. 이는 여전히 취약점이 패치가 되지 않은 시스템이 많다는 것을 의미하며, 이와 같은 공격 위협을 방어하기 위해서는 시스템의 올바른 패치가 필요하다.

다음으로 주요 탐지 포트들을 통한 동향을 살펴보면, 지난달에 이어 NetBIOS와 관련한 TCP/445, TCP/139, TCP/135 포트가 상위 랭크를 차지하였으며 해당 취약점은 MS03-026, MS04-011, MS06-040과 같다. 특이한 점은 80포트를 이용한 트래픽이 엄청 나게 증가한 것으로 악성코드 감염 후 재차 다른 악성코드의 전송을 요청하는 다운로더에 의한 것으로 추정된다. SQL 취약점이 사용하는 TCP/1433 포트는 큰 수치로 3위에 랭크 되었으며, 또한 악성코드를 다운로드하기 위해 이용되는 TFTP 서비스로 인하여 UDP/69 포트에 대한 트래픽이 주요 공격 포트에 랭크 되었다.
 

공격에 이용된 포트 별 분포



공격 발생지 별 국가현황을 살펴보면, 한국은 여전히 1위를 차지하고 미국이 3위에서 2위로 한단계 올라섰다. 한국은 많은 공격을 받고 악성코드에 감염 되면서, 재차 공격을 시도하고 그로 인해 공격 발생지 국가에서 상위를 차지하는 것으로 추정된다. 중국이 14위로 10위권 내에 랭크 되지 못하였고 11위에서 14위로 순위가 내려갔으나, 주의 깊게 지켜 보아야 할 국가일 것이다.

공격 국가별 순위 및 비율



DNS 의 Cache Poisoning 취약점에 따른 네트워크 현황

다음 그래프는 7월 24일 공격 코드가 공개된 DNS 캐시 오염에 관한 위협 정도를 알아보기 위해 지난 한 달간 UDP/53번 포트의 트래픽양을 조사한 것이다. 갑자기 트래픽양이 증가한 날이 있었지만 양의 증가형태가 지속적이지는 않다. 따라서 이러한 증가가 공격의 형태라고는 단정하기 어렵다. 하지만 이 취약점은 DNS를 이용하기 때문에 이러한 큰 파장을 일으킬 수 있고 따라서 항상 동향에 주목해야 한다.

DNS 포트 트래픽