15th, July. Kaspersky as one of an famous Antivirus venders blocked BBC News site because BBC site was used to steal database like password, credit card information and so so, according to KitGuru.

http://www.kitguru.net/software/zardon/kaspersky-block-bbc-news-by-accident/

After being false positive, many people posted their forum and tweeted on twitter service. Kaspersky has immediately issued a signature update that should fix this false positive problem and prevent BBC site from being blocked in future.

But, assume that BBC site is to be vulnerable, What would you do?

You're right. BBC site is really vulnerable to SQL Injection attack. As you know, SQL Injection is technique that exploits a top-rated security vulnerability occuring in the database level of web application.


BBC site uses MySQL database and Perl scripts. And DB owner is ... ...

I will not proceed any more attacks.

Please email me(
moonslab@gmail.com), if you are security administrator of BBC site.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요

    시만텍, 소포스, 카스퍼스키와 같은 유명한 보안 기업에서는 일정한 기간 즉, 분기나 반기마다 보안 정책이나 뉴스, 트렌드에 대한 보고서를 정기적으로 발간합니다.

    최근 발간한 시만텍의 메시지랩스의 보고서에 따르면 악성 코드를 유포하는 사이트의 약 90%가 정상적인 웹사이트인 것으로 밝혀져 충격을 주고 있습니다.

    기존의 경향대로라면 해커들이 고유한 목적으로 사용하기 위해 도메인을 생성하고 이를 이용하여 악성코드를 다운로드하거나 공격하게 하는 일련의 행동을 보여왔습니다. 하지만, 이렇게 도메인은 생성하게 되는 경우에는 금방 탄로가 나게 되어 차단되는 단점이 있다고 볼 수 있습니다.

    하지만, 최근 월드컵 웹사이트의 해킹 건과 같이 정상적인 웹사이트에 악성코드를 유포하는 페이지나 스팸 메시지를 보여주는 페이지를 은밀하게 업로드하여 이용하는 행태가 더욱 증가하고 있습니다.

    이렇게 악성 코드를 유포하게끔 하기 위한 공격 방식은 XSS(Cross-site scripting), SQL 인젝션, FTP 정보 누출 등을 이용하는 것으로 알려지고 있습니다.

    이중 XSS와 SQL 인젝션은 웹 취약점의 가장 대표적인 사례로 손꼽이고 있으며, 아직까지도 제대로 해결되지 못하고 있습니다. 물론, 이 취약점들은 악성 코드를 대규모로 유포시키는 Mass SQL Injection 취약점을 포함하고 있습니다.

    FTP에 관련된 부분으로는 계정정보가 누출되거나, ACL을 제대로 관리하지 못하는 경우에 발생하는 것으로 예상됩니다.

    감사합니다.



    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus

      댓글을 달아 주세요

      1. Favicon of http://hoostory.kr BlogIcon hoo 2010.07.21 17:32  댓글주소  수정/삭제  댓글쓰기

        항상 주변에 있어 존재감을 느끼지 못하는 그런 것이 되지 않았나 싶을 정도로,, xss 와 sql-inject는 이슈가 되지 못하는 그런 이슈가 된것 같습니다.
        경각심을 일으키고, 곱씹어 볼 수 있는 내용이네요, 좋은 글이라 생각됩니다.

        잘보고 갑니다~

      2. Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.07.22 15:50 신고  댓글주소  수정/삭제  댓글쓰기

        댓글 감사합니다.

        저도 이거 떠든지 몇년째지만, 그대롭니다.

        맨날 그대로... 잃어버린 이거도 10년이 넘네요.

      최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

      이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


      해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

      http://www.bnm.me.gov.ar

      http://www.trabajo.gov.ar

      http://www.cedem.gov.ar

      http://www.sanmartin.gov.ar

      http://www.jusmisiones.gov.ar

      http://www.apostoles.gov.ar

      http://www.cordoba.gov.ar

      http://www.santafecultura.gov.ar

      http://www.mocoreta.gov.ar

      http://www.lasheras.gov.ar

      http://www.dipes.catamarca.gov.ar

      http://www2.berisso.gba.gov.ar

      (이하 생략)


      해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

       

      재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

       

      공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

      해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

      출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus

        댓글을 달아 주세요

        "The Pirate Bay"라는 단어를 아시는 분이라면 비트토런트(BitTorrent)라는 프로그램에 매우 익숙해져 있다고 볼 수 있습니다. ^^;

        "The Pirate Bay"는 BitTorrent 파일(시드)을 연동, 추적하는 웹사이트로 최대 최대 규모를 가지고 있습니다. 트래픽 기준으로 알렉사에서 현재 97위를 유지할 정도로 엄청난 사이트입니다.

        하여튼, 아르헨티나로 알려진 해커 그룹이 "The Pirate Bay" 웹사이트의 사용자 데이터베이스에 접근하고, 관리자 인터페이스까지도 장악한 것으로 알려졌습니다. 공격을 위해 사용된 취약점은 바로 SQL 인젝션 취약점입니다.

        누출된 데이터는 사용자 이름, MD5로 암호화된 비밀번호, 이메일 주소, IP 주소 정보 등이 포함되어 있습니다.


        <화면 1. 해킹하는 일련의 과정을 보여 주는 동영상>

        공격자는 Ch Russó 라는 이름을 가진 해커로, 부에노스 아이레스에 있는 악성코드 연구가라고 주장하였다고 합니다. 그에 따르면, 아르헨티나에는 모의 공격을 연구하는 모임이 있으며 그 모임의 회원이라고 합니다.


        큰 사이트, 공신력있는 웹사이트라 하더라도 웹 취약점에 안전할 수는 없다는 사실을 다시 한번 느낄 수 있습니다. 보다 안전한 소스 코딩을 통해 SQL 인젝션 및 XSS 취약점을 해결해야만 보다 안전하게 운영할 수 있을 것입니다.

        감사합니다.

        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus

          댓글을 달아 주세요

          최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

          외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

          현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.

          CL63AMGTART.RU
          HYPERVMSYS.RU
          ML63AMGSTART.RU

          이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


          현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

          한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

          SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

          위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

          위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

          이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

          위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
          <경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

          구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

          필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

          감사합니다.

          출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus

            댓글을 달아 주세요

            결론: 돈을 버는 수단일 뿐, 고객의 위한 목적은 아니다. 고객은 여전히 문제점에 직면해 있을 것이고, 해결이 요원하다.

            필자가, 서두에 결론을 내린 이유는 무엇인지 이제 하나씩 설명하고자 한다. 좀더 간단하게 설명하기 위해 플랫폼은 윈도우(서버군)로 한정한다.

            먼저 웹쉘이 무엇인지 알아 보자.

            웹쉘이란 공격자가 원격에서 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트 (asp, jsp, php, cgi) 파일이다. 이때 zip, jpg, doc와 같은 데이터 파일종류 이외에 악의적으로 제작된 스크립트 파일인 웹쉘을 업로드하여 웹 서버를 해킹하는 사고가 빈번히 발생하고 있다. 최근에는 파일 업로드뿐만 아니라 SQL Injection과 같은 웹 취약점을 공격한 후 지속적으로 피해시스템을 관리할 목적으로 웹쉘을 생성 한다.

            (출처: http://dolhead.springnote.com/pages/1813084 무단 발췌)

            즉, 웹쉘은 서버 상에 파일을 업로드하는 것으로 서버의 파일 시스템 입장에서 살펴 볼 때에는 단순히 파일이 생성 또는 변경되는 것으로 여겨진다.


            자, 그렇다면 이 웹셀을 탐지하기 위해서는 어떤 서비스 제품이 가장 적격일까?

            정답은 바로 안티바이러스(보통 백신)이다. 안티바이러스 제품에는 실시간으로 파일 시스템을 감시하는 실시간 보호(상주 보호) 기능을 제공한다. 안티바이러스에서 웹쉘의 패턴을 인식하여 이를 악성 프로그램(바이러스)라고 진단하여 처리(삭제 및 관리자에게 통보)하면 그만일 뿐이다.

            이러한 응용 방식에 대해서는 아래의 자료를 참고하도록 한다.

            바이러스 발견시 관리자에게 이메일 경고 전송
            http://www.avast.co.kr/625

            이러한 예로 국내 네이버카페에 최근에 올라온 웹셀 코드에 대한 어베스트! 안티바이러스 제품의 진단 화면이다.


            http://www.virustotal.com/analisis/d98aa10d5116d69f727dce093858e3b184fbedc0c13e8e5006343c49f45fcbf3-1275711219 (이 검사는 6월 5일 진행된 것으로, 최근에 진단 결과가 추가됐을 수도 있음)


            자, 지금까지 언급한 웹쉘 코드에 대한 해결책에 대해 정리해 보자.

            •  웹쉘의 진단 및 해결은 안티바이러스 수준에서 처리해야 한다.
            •  웹쉘은 소스이므로, 간단히 변조가 가능하다. 따라서 안티바이러스 수준에서 100% 처리한다는 것은 불가능하다.

            필자는 결론적으로 불가능하다고 앞서 언급했다. 그렇다면 어떻게 해야 보다 완벽하게 웹쉘을 차단할 수 있을까? 라는 의문을 가질 수 밖에 없다. 가장 먼저 고민해야 할 부분이 바로 웹쉘이 어떠한 방식으로 업로드되는지 원인인 침투 경로를 검토해 보자.


            <이 화면은 모 웹쉘탐지 솔루션의 제안서에서 무단 발췌하여 올렸으나, 해당 사의 요청으로 인해 삭제하였음.>
             

            자세히 살펴보면 결론이 딱 보인다.

            바로 소스 상의 문제를 해결하면 웹쉘의 문제점을 거의 대부분 해결할 수 있다. 즉,  웹 애플리케이션을 개발할 때에 보안에 염두를 둔 시큐어 코딩(Secure Coding)를 염두에 두고 애플리케이션을 개발해야 한다는 것이 필자의 결론이다.

            보안 관제 서비스. 좋은 상품이고 서비스이다. 하지만, 소스 상의 문제점에 대해서 등한시 하는 보안 관제 서비스는 하나마나한 상품임을 명심해야 할 것이다. 물론, 보안 관제 회사도 이러한 부분을 모르고 있지는 않다. 그렇지만 해결하려고 하지 않는다. 돈벌이 감이 떨어지는 것을 우려하는 것은 아닌지 모르겠다.

            PS: 악성 코드를 삽입하는 침투 경로에는 위에서 언급한 사항 이외에도 많으며, 예를 들면, 파일 시스템의 권한에서 부적절한 설정 등이 원인이 될 수 있다는 점을 알려 드립니다.


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              댓글을 달아 주세요

              1. 2010.06.22 19:26  댓글주소  수정/삭제  댓글쓰기

                비밀댓글입니다

              2. 읽은이 2010.06.27 09:19  댓글주소  수정/삭제  댓글쓰기

                결국 해킹당하지 말라는 얘기인것 같은데,웹쉘탐지에서 주제가 엉뚱하게 흐른것 같군요..

                • Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.07.05 13:03 신고  댓글주소  수정/삭제

                  웹쉘 자체의 원인을 해결해야 한다는 것이죠.

                  웹쉘은 그 자체로 계속 변형이 가능하기 때문에

                  이런 서비스는 사후 약방문 밖에 될 수 없는

                  것입니다.

              3. 다른이 2010.07.05 09:58  댓글주소  수정/삭제  댓글쓰기

                결론이 무엇인가요?
                백신과 시큐어코딩으로 해결해야 한다는 뜻인지요?

                백신은 웹쉘을 잘 찾지 못합니다. 잘 찾으면 웹쉘 고민할 필요도 없죠.

                시큐어코딩? 좋긴 하지만 현실적으로 아직 모든 사이트에 적용이
                어렵습니다.
                또한 시큐어코딩 이전에 개발된 사이트는 어떻게 하죠?
                건강관리를 잘 한다고 병에 안걸리라는 법은 없듯이 예방-탐지-조치는 항상 상호 보완적이어야 합니다.

                웹셀탐지 전용솔루션은 이러한 문제점때문에 어쩔 수 없이 나온
                대안입니다. 변경된 파일 중 의심스러운 패턴이 있으면 눈으로 보고 판단하자는 것입니다.

                이러한 문제점때문에 KISA에서도 전용탐지솔루션을 내 놓은 것이구요.
                참고로 전 웹쉘탐지솔루션 업체 관련자가 아닙니다!!!

                • Favicon of https://moonslab.tistory.com BlogIcon 문스랩닷컴 2010.07.05 13:09 신고  댓글주소  수정/삭제

                  백신이 웹쉘을 잘 찾지 못한다는 의견에는

                  약간 생각이 다릅니다.

                  물론, 글에서도 적었지만, 소스의 일부분만

                  약간만 수정하더라도 진단하지 못할 수 있습니다.

                  하지만, 이러한 부분은 웹쉘 솔루션에서도

                  마찬가지가 아닐까 싶습니다.

                  오히려, 웹쉘 자체를 찾아 내는 것보다

                  더 나은 방안을 찾아야 한다는 것이죠.

                  마지막으로, KISA에서도 이러한 솔루션을

                  만들었는데, 효과적이라고 생각하시는 지요?

                  인하대 인가 어디서도 유사한 방법의 프로그램을

                  개발한 것으로 기억하는데.

                  제 개인적인 생각으로는 그게 그겁니다..

                  PS: 해당 제품 관계자라시면 정확히 근본(!)을

                  밝혀 주시면 좋겠지요. 하지만, 관계 없습니다.

                  IT 보안 쪽에 관심을 가져 주셔서 제글을

                  읽고 댓글을 달아 주신 거로 믿겠습니다.

                  하여튼, 댓글 감사합니다. ^^;

              보호되어 있는 글입니다.
              내용을 보시려면 비밀번호를 입력하세요.

              네덜란드의 대중 교통 사용을 장려하는 웹사이트에서 심각한 웹 보안 문제가 있는 것으로 파악되어 사이트가 폐쇄되었습니다. 이 문제로 인해 약 16만 8천여 명의 개인 정보가 누출될 수도 있었다고 합니다.

              웹사이트에서는 OV 스마트카드 시스템을 이용하여 무료 탑승할 수 있는 쿠폰을 제공하였으며, 사이트에 가입한 회원들의 성명, 주소, 전화번호가 아무런 제한 없이 노출될 수 있었습니다.

              한편 이러한 취약점을 알린 해커는 ins3ct3d로 알려져 있으며, 실제로 sqlmap 공격 툴을 이용하여 공격하는 동영상을 함께 공개했습니다.


              (주: 하단의 화면 확대 버튼을 누르면 크게, 명확히 볼 수 있습니다)

              출처: http://webwereld.nl/nieuws/66012/ov-site-lekt-persoonlijke-data-168-000-reizigers.html
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                댓글을 달아 주세요

                최근 꽤 유명한 사이트를 방문하다가 구글이 위험한 사이트라고 알려 주는 경고 메시지를 보게 되었습니다.


                보통 이러한 메시지는 웹서버가 SQL Injection 공격으로 손상되어 나타나는 것으로 알고 있었습니다.

                하지만, 지난 주부터 시작된 새로운 해킹 방법은 바로 인터넷 광고를 집행하는 서버를 목표로 삼고 있는 것으로 보입니다.

                상업용 웹사이트에서는 광고를 유치하고 있으며, 이러한 광고는 웹사이트 자체에 삽입하는 것이 아니라 광고 회사에서 직접 관리하는 서버에서 처리하고 있습니다.

                따라서, 광고 서버가 해킹이 되는 경우에는 졸지에 웹사이트들이 악성코드를 유포하는 희생양이 될 수 있다는 것입니다.

                현재까지 광고 서버의 보안에 관해서 언급한 경우가 드문 것으로 알고 있습니다. 보다 충실한 대책이 없다면, 광고 회사가 오히려 손해 배상을 해야 할 수도 있을거 같습니다.




                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  댓글을 달아 주세요

                  레바논 계로 알려진 'ldahc'라는 이름을 사용하는 화이트 해커가 Editmax.com 사이트에 SQLi(SQL Injeciton) 취약점이 있다는 사실을 알려왔습니다. 이 취약점을 통해 제조사의 모든 관리자 정보를 추출할 수 있다고 합니다.

                  주: EDIMAX는 네트워크 장비를 생산하는 업체로 본사는 대만에 위치하고 있습니다. 이 업체는 대만에 본사가 있으며, 전세계적으로 다양한 사이트를 운영하고 있습니다.

                  그는 소프트피디아(Softpedia)로 이메일을 보내어 이러한 사실을 밝혔는데, Edimax 글로벌 사이트의 보안 문제점에 대한 상세한 정보를 밝혔다고 합니다. 이 정보에 따르면 취약한 URL 및 취약한 매개변수, 공격 가능한 코드의 유형과 함께 이를 증명할 수 있는 스크린샷도 포함하고 있습니다.


                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus

                    댓글을 달아 주세요



                    Web Analytics Blogs Directory