728x90
- 최근 공격자들은 개개인의 클라이언트에 대한 공격 위주에서 인터넷 기반 인프라(웹 호스팅 서버)에 직접
공격을 수행하려는 경향으로 변화
- 루트 계정을 얻기 위해 웹 호스팅 서버에 로그인 인증 정보를 탈취하는 트로이목마 감염
※ 인터넷 기반 인프라는 ‘웹 호스팅 서버’, ‘네임서버’, ‘데이터 센터’를 의미함
※ CISCO社에서 발표한 ‘2014 CISCO Annual Security Report’ 43 ~ 47p 「Fractures in a Fragile
Ecosystem」 분석 내용
주요내용
- 웹 호스팅 기반 인터넷 인프라에 대한 직접적인 공격 경향이 증가하는 이유
- 단말, 단일 웹서버에 대한 공격보다 웹 호스팅 서버에 대해 직접 공격을 수행하는 것이 더욱 효과적임
※ 웹 호스팅 서버 안에 여러 개의 홈페이지들이 동시에 운영되는 경우가 많음
※ 악성코드 유포지 → 여러 개의 운영 홈페이지 동시 감염 → 각 홈페이지별 접속 클라이언트 수 만큼
공격(감염)대상은 기하급수적으로 불어남(Many-to-many Relationship)
- 웹 호스팅 서버의 성능 요소(전력, 대역폭, 지속적인 구동시간 등)을 활용할 수 있어 연쇄적으로 더 많은
수의 접속 클라이언트에 대한 공격이 가능해짐
- 접속 클라이언트의 사용자는 현재 이용 서비스에 대해 의심하지 않고 신뢰하는 경향이 있으므로 관련
공격 및 보안취약성이 발생할 확률이 높음
%20%EC%A0%84%EB%9E%B5.bmp)
< 공격자 → 호스팅 서버 → 클라이언트, 운영 홈페이지 공격(악성코드 감염) 전략 >
- 웹 호스팅 기반 인터넷 인프라 공격 사례
- 전 세계 2만 여대의 아파치 HTTP 웹서버가 DarkLeech 악성코드 감염 및 관련 공격 발생
․DarkLeech 악성코드는 SSH 데몬(Secure Shell Demon)의 백도어를 통해 서버 오작동 유도 코드를
설치하는 방식으로 가장 감염율이 높은 서버 악성코드 임
※ HTTP 서버 오작동 iframe을 원격에서 SSH 백도어를 통해 실시간으로 주입함
- 이외에 Linux/CDorked 악성코드 감염 및 관련 공격 발생
․DarkLeed와의 차이점은 Linux/CDorked 악성코드는 메모리상에서 상주하며 동작하기 때문에 감염된
서버에 추가 악성모듈을 실행하지 않으면서도 HTTPD 바이너리 변경 가능
․Linux/CDorked는 아파치 외에도 ‘Lighttpd’ 및 ‘Nginx’ 웹 서버 플랫홈도 공격 대상임
.bmp)
< 2013년 DarkLeech 감염 현황 (CISCO社) >
[출처]
1. https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2014_ASR.pdf, 43page
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 안드로이드의 키스토어, 스택기반의 오버플로우 취약점 발견 (0) | 2014.07.10 |
|---|---|
| 개인의 실수에 따른 브루트 포스 RDP 공격 주의 (0) | 2014.07.10 |
| NSA, 일반인의 데이터 수집하여 보유해 (0) | 2014.07.09 |
| 오라클, 윈도 XP용 자바 업데이트 (0) | 2014.07.09 |
| Botnet Advancements – The latest trends in botnet activities (0) | 2014.07.07 |