최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

http://www.bnm.me.gov.ar

http://www.trabajo.gov.ar

http://www.cedem.gov.ar

http://www.sanmartin.gov.ar

http://www.jusmisiones.gov.ar

http://www.apostoles.gov.ar

http://www.cordoba.gov.ar

http://www.santafecultura.gov.ar

http://www.mocoreta.gov.ar

http://www.lasheras.gov.ar

http://www.dipes.catamarca.gov.ar

http://www2.berisso.gba.gov.ar

(이하 생략)


해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

 

재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

 

공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    "The Pirate Bay"라는 단어를 아시는 분이라면 비트토런트(BitTorrent)라는 프로그램에 매우 익숙해져 있다고 볼 수 있습니다. ^^;

    "The Pirate Bay"는 BitTorrent 파일(시드)을 연동, 추적하는 웹사이트로 최대 최대 규모를 가지고 있습니다. 트래픽 기준으로 알렉사에서 현재 97위를 유지할 정도로 엄청난 사이트입니다.

    하여튼, 아르헨티나로 알려진 해커 그룹이 "The Pirate Bay" 웹사이트의 사용자 데이터베이스에 접근하고, 관리자 인터페이스까지도 장악한 것으로 알려졌습니다. 공격을 위해 사용된 취약점은 바로 SQL 인젝션 취약점입니다.

    누출된 데이터는 사용자 이름, MD5로 암호화된 비밀번호, 이메일 주소, IP 주소 정보 등이 포함되어 있습니다.


    <화면 1. 해킹하는 일련의 과정을 보여 주는 동영상>

    공격자는 Ch Russó 라는 이름을 가진 해커로, 부에노스 아이레스에 있는 악성코드 연구가라고 주장하였다고 합니다. 그에 따르면, 아르헨티나에는 모의 공격을 연구하는 모임이 있으며 그 모임의 회원이라고 합니다.


    큰 사이트, 공신력있는 웹사이트라 하더라도 웹 취약점에 안전할 수는 없다는 사실을 다시 한번 느낄 수 있습니다. 보다 안전한 소스 코딩을 통해 SQL 인젝션 및 XSS 취약점을 해결해야만 보다 안전하게 운영할 수 있을 것입니다.

    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      전세계적으로 단일 규모로는 거의 수위에 이를 정도로 막강했던 Kraken 봇넷은 작년에 사라졌다고 알려져 있습니다. Kraken 봇넷은 전성기 시절에는 약 60만대 이상의 봇을 보유했던 기록을 가지고 있습니다. 이 봇넷에 대한 자세한 사항은 아래 링크를 참고하십시오.


      지난 4월부터 Kraken의 후예로 여겨지는 새로운 봇넷이 출현하기 시작했으며 약 31만여 대가 감염된 것으로 추산되고 있습니다. 이 수치는 Kraken 봇넷의 전성기 시절의 50% 이상의 규모입니다.

      Kraken 봇넷은 초기부터 스팸을 발송하는 데 주목적이 있었으며, 한 대의 봇이 하루에 약 60만 통의 스팸을 발송합니다.

      외국의 보안 웹사이트에서는 이렇게 봇넷이 새롭게 창궐하는 이유를 다음과 같이 말하고 있습니다.

      1. 돈을 벌 목적. 스팸은 가장 손쉽게 돈을 벌 수 있는 수단입니다. 따라서, 불법적인 약품이나 기타 제품을 판매함으로써 수익을 얻습니다.

      2. 안티바이러스 제품의 기술적 한계. 안티바이러스(컴퓨터 백신)은 매우 빠르게 변종을 출현하는 악성 프로그램에 대한 대응력이 여전히 부족한 것이 현실입니다.

      3. 손쉬운 전파(감염) 기술. 스팸 메일, 제로데이, 웹사이트의 취약점, 브라우저의 취약점 등과 같이 다양한 그리고 대규모로 배포할 수 있는 기술적인 우위에 있어 손쉽게 전파가 가능합니다.

      올해 그동안 숨죽이고 있던 봇넷이 하나 둘 출현하고 있습니다. DDoS 공격에만 염두에 두고 있다가 더 큰 문제에 봉착할 가능성이 매우 높으므로, 이에 대한 대비책도 필요합니다.

      참고자료:

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        본 자료를 통해 국내외 사이트를 접속하는 경우에는 실정법의 위반이 될 수 있으므로, 사설 네트워크와 같이 별도로 분리된 네트워크에서만 실험적으로 이용하시기 바랍니다. 이 자료를 이용해 문제가 발생하는 경우에는 당사자가 책임져야 하며, 본 블로그에게는 아무런 책임 없다는 점을 알립니다.


        최근 국내 보안 뉴스 중에 가장 뜨거운 부분이 바로 DDoS(서비스 거부 공격)입니다. DDoS로 인해 많은 피해가 있었지만, 앞으로도 많은 피해가 더 있을 거라는 예상이 다수 의견입니다.

        하여튼, DDoS를 이용하여 돈벌이를 하고자 하는 범죄 집단이 외국에서 창궐하고 있으며, 이 중에서 가장 대담하게 활동하고 있는 DDoSeR [디도서 라고 읽습니다] 를 소개하고자 합니다.


        2010년 6월 말 현재 DDoSeR의 최신 버전은 V3.62로 알려지고 있으며, 위의 화면과 같이 사용하기 편리한 인터페이스를 제공하기 때문에 우리가 보통 얘기하는 '스크립트 키드'가 다루기에는 적당하다는 장점(!)을 가지고 있습니다.

        DDoSeR의 주요 기능은 다음과 같습니다.

        1. PC 정보 수집
             * WAN IP 주소, 국가(국기로 표시), OS 버전

        2. DDoS 공격 유형
             * UDP, SSYN

        DDoS 공격에 대한 참조 정보:


        3. 명령
             * 다운로드, 업데이트, 설치 제거, 파이어폭스 비밀번호 찾기


        DDoSeR 프로그램은 유료이며, 홈페이지는 아래와 같습니다. 홈페이지에서는 제품에 대한 스크린샷 뿐만 아니라 무선, 라우터 등의 다른 해킹 방법에 대한 자료도 제공하고 있습니다.



        이걸로 끝이 아닙니다. 동영상 사이트로 유명한 유튜브(YouTube)에는 제품에 대한 상세한 설명 동영상이 둥둥 떠다니고 있습니다.

         
        <주: DDoSeR는 유료 제품인데, 크랙을 하여 공짜로 DDoS 공격을 유포할 수 있도록 소개된 동영상입니다>



        <주: 최신 버전인 DDoSeR 4에 대한 소개 자료입니다>


        DDoSeR에 대해 자세한 설명을 공개하고 싶지만, 실정법 상 그리고 이를 악용하는 나쁜 사람들이 있어 간략하게만 정리했습니다.

        외국에는 DDoSer와 같은 DDOS 관련 툴이 꽤 많이 공개되어 있으며, 이를 통해 다양한 나쁜 짓들이 행해지고 있습니다.

        또한, 약간의 프로그래밍 실력만 있다면 이러한 정보를 기반으로 자신만의 고유한 봇넷을 구축하는 것도 가능한 만큼, 이러한 부분에 대한 국가적인 대비책이 필요하다고 생각됩니다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          1. Favicon of http://2-up.tistory.com BlogIcon HyunJun_K 2010.06.29 17:35  댓글주소  수정/삭제  댓글쓰기

            헛.. 위험한 자료네요.ㅋ
            저런 툴이 음지에서 판매가 되고 있다는건 알앗지만, 이렇게 공개 되어 있다니 실로 놀랍네요.ㅎ

            이 글을 보고 악용하는 사람이 없었으면 합니다.

          2. 2010.07.05 18:22  댓글주소  수정/삭제  댓글쓰기

            비밀댓글입니다

            • Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.07.05 23:47 신고  댓글주소  수정/삭제

              자료를 원하시면, 정확히 누구인지 밝혀 주시기 바랍니다.

              또한, 어떤 자료가 필요한지도.

              대학교 연구실/연구소 라고 해서 어떤 자신감이 있으신지

              는 몰라도. 이러한 방식의 요청은 좀 어렵네요.

          3. eh3337 2011.10.30 13:51  댓글주소  수정/삭제  댓글쓰기

            DDoSeR라는게 존재한다니...흥미롭네요
            레포트로 DDoS 공격 툴에 대해서 작성중인데
            공격 툴의 예로 좀 쓰고싶어요
            캡쳐본과 문스랩님이쓰신 내용들 좀 참고할께요ㅎㅎ

          4. ㄹㄹㄹㄹ 2012.06.28 18:45  댓글주소  수정/삭제  댓글쓰기

            악용하려는의지는없고 한번해보고싶어서그런데 사설네트워크? 어디다가해야하죠?

          최근 보안 기업으로 유명한 Imperva에서 SQL Injection 공격 중 하나의 Blindfolded SQL 인젝션 공격의 동영상을 유튜브에 공개했습니다.




          Blindfolded SQL Injection은 SQL 서버와 같이 데이터베이스 서버에서 질의(Query)를 하나하나 집어 넣어 시연하면서 오류가 발생하는 상태를 보아 가면서 오류가 없도록 해가면서 공격해 가는 기법입니다.

          이에 대한 자세한 정보는 아래 링크를 참고하십시오.

          http://ttongfly.net/zbxe/?document_srl=42603
          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            지난 번에 MS08-067 취약점을 이용하여 패치되지 않은 컴퓨터를 공격하는 자료를 소개하였습니다.

            이제 이러한 취약점을 가진 컴퓨터를 자동으로 찾아 주는 스캐너 프로그램까지 등장했습니다

            프로그램 실행 화면은 다음과 같습니다.

             

            찾은 이후에는 바로 공격을 수행할 수 있습니다.

            출처: http://www.namipan.com/d/45ed8fe04484ab12c0f583489c57541652b5d79abdfb0d00


            주의: 바이러스가 포함되어 있을 수 있습니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              1. 2008.11.07 18:18  댓글주소  수정/삭제  댓글쓰기

                비밀댓글입니다

              아직 공식적으로 언급된 사항은 아니지만, 일부 언론에서 언급되는 상황이라 간단히 정리합니다.

              38살 먹은 피어지어지오 잠브리니(Piergiorgio Vambrini)라는 해커는 애플의 개짓(Gadget)을 무력화할 수 있는 방법이 있다고 주장합니다. 이 사람은 애플 사에 입사하지 못한 경력을 가지고 있으며 어떤 이유인지는 몰라도 아이폰, 아이팟, 맥 컴퓨터 수백만대를 종료할 수 있는 취약점을 발견했다고 주장했으며 이를 자세하게 밝혔습니다.

              그는 인터넷 비디오에 바이러스를 삽입하여 아이폰을 크래시할 수 있고 전화기를 자동으로 재부팅시킬 수 있다고 합니다. 보안 전문가들은 원격지에서 애플 제품을 종료할 수 있는 바이러스라고 확신합니다.

              그는 이러한 사항을 애플에 제공하였으며 애플 사는 패치를 개발하는 중이라고 합니다.

              PS: 아무리 날고 기는 애플도 원한이 있는 사람(!)한테는 못 견디나 봅니다. @.@;
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                1. Favicon of http://hummingbird.tistory.com BlogIcon 벌새 2008.11.07 01:50  댓글주소  수정/삭제  댓글쓰기

                  컴퓨터 종료가 안되는 사람들에게는 좋겠어요.ㅎㅎ

                이번 달의 화두는 바로 MS08-067입니다. 인터넷 상에 PoC 공개되었습니다. 현재 국내로 취약점을 이용하여 다양한 공격이 이루어지고 있으며 아래 자료를 통해 Server 서비스가 공격을 받는 상세한 자료를 보실 있습니다.

                http://www.ntfaq.co.kr/4286

                또한, 최근 중국에서 이러한 코드를 이용하여 원격지(패치가 안된) 접속하는 자료가 소개되었습니다.

                익스플로잇 코드의 이름은 MS0867.exe 파일이며 이는 인터넷 상에서 손쉽게 구할 있으므로 생략합니다.

                공격 방식은 도스창(cmd) 열고 입력합니다.

                C:\경로\MS08067.exe <공격 서버 IP>

                만약 패치가 되어 있는 경우에는 아래와 같이 나타납니다.

                공격에 성공할 경우 netstat -na 명령어로 확인하여 있습니다.

                이제 텔넷 명령어로 개방된 포트로 접속하면 프롬프트가 나타납니다.

                아래와 같이 사용자를 추가하고 로컬 사용자 그룹에서 보면 사용자가 추가된 모습을 있습니다.

                 

                감사합니다.

                출처: http://bbs.cnhacknet.com/thread-3315-1-2.html

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요



                  Web Analytics Blogs Directory