[IT 알아보기]/보안 이슈

[EhostIDC] IoT 기기를 대상으로 한 IoT 리퍼(Reaper), 루프(roop) 봇넷 주의

이호스트ICT 2017. 10. 27. 14:28

안녕하세요 이호스트데이터센터 입니다 

최근 다양한 침해시도 및 사고가 빈번히 발생하고 있습니다.

해당 메일을 수신한 전산 담당자께서는 아래 내용 확인하시어 피해를 입는 사례가 없도록 관리하시기 바랍니다

 

□ 개요

 o 최근 국내를 타깃으로 마이랜섬(Magniber, 매그니베르) 랜섬웨어의 유포로 피해가 발생하고 있어 주의 필요

 o 공격자는 웹사이트의 광고 사이트에 악성코드를 심어 랜섬웨어를 유포하는 멀버타이징 방식을 사용하며, 컴퓨터의 파일을

    암호화한 후 해독키를 제공하는 대가로 금전을 요구

 

□ 주요내용

 o 최근에 발견된 신규 랜섬웨어이인 마이랜섬은 국내 사용자들을 타깃으로 제작

 o 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 이용하여 광고 사이트에 악성코드를 심어 유포하는 멀버타이징

    (Malvertising) 방식 이용

    ※ 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit) : 컴퓨터에 설치된 익스플로러(IE), 자바(JAVA), 플래시(Flash)

        내에 있는 취약점을 악용해 다른 악성코드를 설치하도록 하는 도구

    ※ 멀버타이징(Malvertising) : 악성코드(Malware)와 광고(Advertising)의 합성어로 광고 서버를 해킹하여 악성코드를

        유포하는 공격기법

 o 특히, 파일 암호화 전 사용자의 PC가 한국어 환경인지 확인(한국어 윈도우 운영체제 여부 검사)한 후, hwp 문서를 비롯한

    800여개 이상의 파일을 암호화함

 

□ 대응방안

 o 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용

 o 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행

 o 출처가 불분명한 메일 또는 링크의 실행 주의

 o 중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리

 o 이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고 등

    ※ 보호나라 홈페이지 – 상담 및 신고 - 해킹사고

 

-------------------------------------------------------------------------------------------------------------------------------------------

□ 개요
 o IoT
기기를 대상으로 한 IoT 리퍼(Reaper), IoT 루프(roop) 봇넷이 국외에서 발견
 o IoT
리퍼루프 감염 시 DDoS 공격에 악용될 수 있어 사용자 주의가 필요함
 
□ 설명
 o IoT
리퍼, 루프 악성코드는 관리자 인증 우회 및 원격 코드 실행 취약점 등을 악용하여 IoT 단말 (IP 카메라, 라우터 등)을 감염시킴
 o
악성코드에 감염된 IoT기기는 명령지 서버에 감염 단말기 정보(Mac주소, 제품정보, 버전 등)를 전송하고 추가 악성코드를 다운로드
 o
이후, 명령지 서버에 따라 DDoS 공격을 수행 및 취약한 단말 스캔 결과 전송
   
100여 개(중국 94, 미국 5, 러시아 1)의 오픈 DNS IP가 포함
 
□ 영향을 받는 IoT 기기
 o
아래 참고사이트를 확인하여 제조사별 상세 정보 확인
 o D-LINK
    - D-LINK 850L
원격코드실행 취약점 [1]
    - DIR-600/300
원격코드실행 취약점 [2]
 o Goahead
    -
원격코드실행 취약점 [3]
 o JAWS
    -
웹 인증 우회 취약점 [4]
 o Netgear
    - ReadyNAS
원격코드실행 취약점 [5]
    - DGN
원격코드실행 취약점 [6]
 o Vacron
    -
원격코드실행 취약점 [7]
 o Linksys
    -
원격코드실행 취약점 [8]
 o AVTECH
    -
인증정보노출 및 원격코드실행 취약점[9]
 o TP-Link
    -
디렉터리 인증 우회 취약점[10]
 o MikroTik
    -
인증우회 및 서비스 거부 취약점[11]
 o Synology
    -
원격코드실행 취약점[12]
 
□ 해결 방안
 o
해당 제품 사용자는 제조사 홈페이지를 확인하여 최신 펌웨어 업데이트 확인 및 설치
 o
가능한 경우 IoT 기기를 인터넷에 직접 연결하지 않고 사용 권고
 o IoT
기기의 초기 관리자 패스워드를 안전하게 변경하여 사용
 o
영향 받는 IoT 기기의 맥주소는 http://macaddress.webwat.ch/ 사이트를 통해 검색하여 탐지 및 대응

□ 기타 문의사항
 o
한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[
참고사이트]
 [1] https://blogs.securiteam.com/index.php/archives/3364
 [2] http://www.s3cur1ty.de/m1adv2013-003
 [3] https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
 [4] https://www.pentestpartners.com/blog/pwning-cctv-cameras/
 [5] https://blogs.securiteam.com/index.php/archives/3409
 [6] http://seclists.org/bugtraq/2013/Jun/8
 [7] https://blogs.securiteam.com/index.php/archives/3445
 [8] http://www.s3cur1ty.de/m1adv2013-004
 [9] https://github.com/Trietptm-on-Security/AVTECH
 [10] http://www.s3cur1ty.de/m1adv2013-011
 [11] http://seclists.org/fulldisclosure/2015/Mar/49
 [12] http://www.kb.cert.org/vuls/id/615910

 

 --------------------------------------------------------------------------------------------------------------------------------------

 이호스트데이터센터 Security & Mangement 서비스 소개

 

1. 백업(Backup)

보안 사고는 예방이 최선의 방법이지만 공격을 100% 방어할 수 있는 솔루션은 현재 존재하지 않습니다.

때문에 최소한의 장치로 OS 부터 어플리케이션, 데이터 영역을 주기적으로 백업하여 보안 사고 발생시 최신 데이터로

복원하는 것이 최선입니다. EhostIDC에서는 상용 백업 솔루션 Acronis 를 도입하여 피해 데이터를 최소한의 시간으로 복구할 수 있도록

지원합니다. 최소한의 비용으로 합리적인 서비스를 제공해 드립니다.

백업 용량 100G 제공 : 30,000(VAT 별도)

 

2. 서버 자원 모니터링(Monitoring)

이호스트데이터센터에서 제공하는 모니터링 서비스는 2가지로 구분됩니다.

SMS(System Monitoring Service)

APM(Application process Monitoring)

SMS system 관리만으로 서비스 운영 파악이 충분히 가능한 경우 적용하시면 됩니다.

CPU, HDD/SSD, Memory, Server log, Network와 더불어 DB Application 모니터링을 제공하며

각각의 server가 개별적인 업무, 독립적인 구성이 되어 있는 서비스에 적합합니다.

APM은 시간의 흐름에 따라 실시간 web-instance 추적을 통해 특정 시점 단계를 추적할 수 있습니다.

SMS 보다 구체적인 모니터링이 제공됩니다.

이호스트데이터센터를 통해 합리적인 가격으로 SMS APM을 이용하시어 안정적으로 IT 인프라를 운영하시기 바랍니다.

SMS : 19,000(VAT 별도)/Server

APM : 30,000(VAT 별도)/Core

 

3. 보안관제

랜섬웨어 등 새로운 유형의 공격을 비롯하여, SQL Injection · XSS 스트립팅과 같은 전통적인 보안 취약점을 이용한 공격이

지속적으로 발생하고 있습니다.

네트워크의 기본 구조인 L3, L2 스위치에서 서버 Zone으로 트래픽이 발생하고 있다면

침해사고 발생시 어떤 경로에서 어떤 원인을 통해 사고가 발생했는지 알 수 없습니다.

이호스트에서는 Web firewall, IPS 방화벽, 차세대 방화벽을 별도로 제공하며,

더불어 해당 장비를 통한 보안관제 서비스를 제공하고 있습니다.

보안관제 서비스 제공 방식은 초기 보안장비 구축 시 공격에 대한 탐지 기간 제공 후

유효한 공격에 대해 차단 모드를 적용합니다.

 

서비스 관련하여 궁금하신 사항이나 정확한 서비스 컨설팅을 원하시면

메일(request@ehostidc.co.kr)이나 전화 (070-7600-5512)로 연락 바랍니다.

감사합니다.

 

이호스트데이터센터 드림