bash의 "Shellshock"취약점이 공개 된 이후이 취약점을 이용하는 공격이 많이 관측되는 것은이 블로그에서도 이미 전하고 있습니다. 트렌드 마이크로는 전세계에서 발생하는 Shellshock 취약점을 노리는 공격의 관측을 계속하고 있습니다 만, 그 중에서 일본에있는 기기를 노리는 것도 확인되었습니다.
트렌드 마이크로의 일본의 위협 분석 기관인 지역 트렌드 연구소 (RTL)는 어떤 공격이 일본에서 수행되고 있는지를 파악하기 위해, Shellshock 취약점 공격의 상세한 분석을 실시했습니다. 관측 된 공격은 공개 서버 Shellshock 취약점을 공격하고 특정 악성 사이트에서 4 종류의 악성 프로그램을 다운로드 할 알았습니다. 취약점 공격에서 실행되는 쉘 명령은 불법 사이트에서 로컬 / tmp에 잘못된 쉘 스크립트를 다운로드하십시오. 잘못된 쉘 스크립트 같은 불법 사이트에서 다음의 4 종류의 악성 프로그램을 차례 차례로 다운로드 실행합니다.
- PERL_KAITEN.A
- ELF_KAITEN.A
- OSX_KAITEN.A
- BKDR_PERLBOT.SMO
Linux / UNIX, Mac OSX로 감염 대상이되는 OS가 다른 악성 프로그램을 차례로 다운로드하고 실행하는 그 행동에서 특정 장비를 사전에 잘 아는에서 수행되는 공격이 아닌 Shellshock 취약점 영향을받는 모든 기기를 공격하려고하고있는 것으로 추측 할 수 있습니다. 또한 명령 (지령)을 주기적으로 실행시키기 위해 사용되는 crontab 명령은 이러한 악성 프로그램을 1 주일에 한 번 다시 실행할 일정을 등록합니다.
이러한 악성 프로그램은 백도어 기능을 가진 동시에 다른 시스템에 DDoS 공격을 수행하는 기능을 가지고 있으며, 공격자가 취약점을 가진 서버를 원격 조작 DDoS 공격의 발판으로 이용하려고 의도가 보입니다. 침입하는 악성 프로그램은 다르지만, DDoS 공격의 발판 목적은 본 블로그에서 기보 해외에서 확인 된 다른 공격과 일치합니다. 또한 일본에 대한 공격 조사에서 확인 된 공격 패킷이 Web 서버와 같은 공개 서버가 아닌 네트워크에 연결된 하드 디스크 인 NAS (Network Attached Storage)에 착탄하고 사례를 확인하고 있습니다 . bash는 Linux에서 표준 명령 셸이기 때문에, 예를 들어 IoE (Internet of everything) 단말기와 같은 Linux를 기반으로 한 다양한 기기에도 위험이 있다는 점을주의 환기하여 왔습니다. 현재 해당 NAS에서 악성 프로그램이 성공적으로 실행되었는지 여부는 확인되지 않지만 Linux 기반 임베디드 공격 확인할 수 있었다 특징적인 사례라고 할 수 있습니다. 지금까지도주의 환기되고 있습니다 만, 임베디드에 Linux를 채용하고있는 기기에 대해서도 영향이있는 경우에는 수정이 필요합니다.
트렌드 마이크로의 클라우드 형 보안 기초이다 " Trend Micro Smart Protection Network "의 통계 데이터에서 이번에 확인 된 악성 프로그램을 다운로드 인 부정 사이트에는 130 건 이상의 액세스가 확인되었습니다. 이러한 액세스가 Shellshock 취약점에 대한 공격에 의한 것인지 단정 할 수 없지만, 일본의 IP 주소에서 액세스가 전체 액세스의 30 %를 넘어 가장 많은 것으로부터, 일본을 주요 대상으로하는 공격 할 수 있습니다.
이와 같이 인터넷에서 액세스 할 수있는 환경에 대해서는 Shellshock 취약점 스캔 및 연속 공격이 언제 와도 이상하지 않은 상황이라고 할 수 있습니다. 공개 서버, 특히 CGI 환경을 사용하여 Web 서버 나 SSH를 사용할 수있는 공개 서버는 우선적으로 대책을 진행하는 것을 권장합니다. 또한 NAS 등 Linux 임베디드 기기에 대해서도 취약점의 영향을 받는지 여부의 정보를 확인하고 수정 할 수없는 경우에는 일시적 으로라도 인터넷에서 액세스 할 수 없도록해야 할 것입니다.
■ 트렌드 마이크로의 대책
이번 공격에서 확인 된 악성 프로그램은 SPN의 기능인 " 파일 평판 (FRS) "기술은 이미 감지 대응을하고 있습니다.
트렌드 마이크로의 NAS 용 임베디드 솔루션 " Trend Micro NAS Security」를 도입 한 NAS는 FRS 기술에 의한 바이러스 검색 기능에서 악성 프로그램의 침입을 보호합니다.
악성 프로그램의 다운로드 사이트 등 이번 공격과 관련된 악성 사이트 내용은 " Web 평판 (WRS) "기술은 Web 사이트에 대한 액세스를 차단합니다.
트렌드 마이크로의 서버를위한 종합 보안 제품 " Trend Micro Deep Security (트렌드 마이크로 딥 보안)"를 이용 사용자가"DSRU14-028 "에 업데이트 다음 필터를 적용하여"Shellshock "취약점에 대한 공격 에서 서버를 보호 할 수 있습니다.
- 1006256-GNU Bash Remote Code Execution Vulnerability
마찬가지로 가정에서 IoE 장치를 보호 새로운 보안 기술 " Trend Micro Smart Home Network」에서도 「Shellshock "취약점에 대한 공격으로부터 보호 할 수 있습니다.
" Deep Discovery Inspector」에서는 다음의 규칙을 공개하고,이를 통해 "Shellshock"취약점을 이용한 공격을 탐지 할 수 있습니다.
- 1618-Shellshock HTTP REQUEST
또한 Web 사이트 변조 대책으로 "Trend Micro Deep Security"의 변경 모니터링 및 보안 로그 모니터링 기능을 활용하여 변조 피해를 조기에 가시화하고 신속한 대응에 연결할 수 있습니다.
"Shellshock"대한 자세한 내용은 " 보안 블로그 "및" Shellshock 특설 페이지」도 참조하십시오.
'Security_News > 해외보안소식' 카테고리의 다른 글
| NAS 장치대상 쉘쇽 배쉬 취약점 공격 중 (0) | 2014.10.04 |
|---|---|
| FBI, 악성코드 분석가 포털 개발 (0) | 2014.10.04 |
| Twitter를 악용 한 사례 연구 Part 1 (0) | 2014.10.02 |
| "Shellshock": 어떻게 피해를 초래 하는가? (0) | 2014.10.02 |
| iOS8 MAC Randomization – Analyzed! (0) | 2014.10.02 |