소개글

사례위주로 보는 해킹사고사례 분석입니다.
그림과 함께 사건개요, 분석, 대응요령을 서술하고있습니다.

목차

1. 국내은행 홈페이지 모방 피싱 유사사고 분석

2. ○○대학 웹서버SQL Injection취약점을 이용한 악성프로그램 유포 경유지 악용사고 분석

3. ○○시청 웜(Rbot) 감염분석

4. 자료 출저

본문내용

가. 로그분석을 통한 SQL Injection 공격분석
사고일자 부근의 웹 로그를 분석한 결과 로그 기록에서 SQL Injection 공격시 발생하는 특수문자열인 ‘xp_cmdshell’, ‘declare’, ‘xp_regread’, ‘insert’, ‘create’, ‘drop’ 과 SQL Injection의 자동화 공격도구에서 발생하는 키워드 comd_list, t_jiaozhu, X_8452 등 공격흔적이 다수 발견되었다.
공격자는 ○○대학 웹서버의 SQL-Injection 취약페이지(xxx_view.aspx)에 idn 변수의SQL Injection 취약점을 악용하였고 net localgroup Administrators 123/add 명령과 net localgroup Administrators admin$/add을 수행하여 administrators 그룹에123계1정과 admin$계정을 추가하였다.

나. DB 테이블 검색
자동화된 SQL Injection 취약점 공격 도구들은 시스템의 내부 자료 유출을 위해 시스템의 데이터베이스를 임시저장소로 이용하는 경우가 많다.
[그림3]과같이 MS-SQL의 [엔터프라이즈 관리자에 DB테이블의 무결성 여부를 확인하였는데 MS-SQL 서버에 정보 유출용 임시테이블인 D99_CMD가 2007년6월21일에 생성되었음을 확인 할 수 있었다.
다. IFRAME을 이용한 악성코드 삽입
일반적으로 악성IFRAME일 경우 홈페이지에 접속하는 사용자가 악성코드를 다운로드 받도록 하기위해 [그림4]와 같이 IFRAME의 가로와 세로크기를 0으로 하여 사용자가 인지하지 못하도록 한다.
그러나 본 사고에서는 ○○대학 홈페이지에 악성URL을 삽입하기 위해 [그림5]와 같이 가로50이고 세로가0인 IFRAME을 삽입하였다. 이는 악성IFRAME 탐지를 위해 사용되는 ‘width=0 height=0’ 패턴검색을 회피하기 위한 것으로 추정된다.

참고 자료

nis 국가정보원 국가사이버안전센터
http://www.ncsc.go.kr/