온라인 침입자가 Red hat, Fedora project를 습격하다 Robert Lemos, SecurityFocus 2008-08-22
모르는 침입자가 Red Hat과 Fedora project Linux firm을 사용하는 몇몇 컴퓨터의 보안을 뚫어 관리자들로 하여금 시스템을 지난 한주간 오프라인으로 두게 만들었다고 Fedora와 Redhat은 밝혔다.
가장 놀랄만한 것은 페도라 프로젝트가 사용된 시스템으로 하여금 자동으로 end user의 시스템에 S/W package를 업데이트 하도록 영향을 미쳤다는 것이다. 또한 이 습격은 Fedora project의 DB와 Proxy server들, 그리고 hosted system과 연결된 네트워크에도 영향을 미쳤다. Red Hat을 이용하는 더 적은 수의 서버들이 이 습격에 영향을 받았다고 Fedora Project는 자신들의 공표에 밝혔다.
하지만, 습격 소식이 이렇게 큼에도 불구하고, Fedora project는 공격자가 package의 서명된 키를 얻지는 못했다고 항변했다. 그 암호 마스터키는 공격자가 악성 소프트웨어를 Fedora 사용자들의 시스템에 업데이트 프로세스를 통해 끼워 넣는데 필요한 것이다.
"우리가 조사해 본 바에 의하면, 우리는 침입자가 키 서명을 통해 Fedora package를 안전하게 하는데 이용했던 패스워드 문구를 얻지 못했다고 확신할 수 있다"라고 Red Hat의 Fedora Project Leader인 Paul Frields는 금요일에 있었던 발표를 통해 말했다. "우리의 조사 결과에 의하면, 패스워드 문구는 시스템에 침입이 있었던 시점에는 사용되었던 적이 없고, Fedora 서버의 어느 곳에도 패스워드 문구가 저장되어 있지 않았다"라고 또한 말했다.
Fedora Project는 리눅스 OS인 Red Hat의 무료 버전의 개발과 배포를 관리해왔다. Fedora 개발자들에 의해 만들어진 Software는 Red Hat Enterprise Linux를 포함한 상업적인 버전의 리눅스와 비상업적인 버전의 리눅스의 다양한 여러가지 방향을 찾았다.
비록 Fedora Project가 침입자가 서명 키가 침해당했다는데에 아무런 증거가 없다고 했다 하더라도, 회사는 새로운 키를 생성하고 배포하기로 결정을 했다. 또한 Fedora Project 관리자들은 또한 소프트웨어 컴포넌트들의 모음들에 대한 다양한 체크를 수행했고, 그 결과 트로이 목마가 소프트웨어에 들어가 져 있다고 의심될만한 그 어떤 것도 발견된 바가 없다고 Fields씨는 말했다.
침입자가 Red Hat 시스템에 제한적인 영향을 줬을 뿐이라고 하더라도, 그들은 잠재적으로 위험할 수 있는 OpenSSH패키지들의 여러가지 다른 서명된 버전을 만들었을 수는 있다고 회사 측은 말했다.
((중략))
이어지는 뒷 이야기가 궁금하신 분은 아래의 링크를 클릭하세요. http://www.securityfocus.com/news/11532/1
Carly님의 덧붙이기 : 기사 내용이 너무 길어서 뒷 내용은 생략했는데 뒷 내용에서 중요한 부분들에 대해서만 언급을 하자면, 다음과 같은 이야기들이 있었다. 최근 들어서 open source os들에 대한 침해 사고가 잦은 것 같은데, (8월말에 우분투 서버 역시 8대 중 5대가 침해되었다고 한다.) 또 internet에서 S/W 업데이트 시스템을 이용하는 경우, 도리어 이것이 문제가 되어 다양한 방법을 통해 악성 코드가 심길 수도 있게 된 위험도 생긴 것이다. (Man-in-the-middle-attack 이라거나, 아니면 자동 패치 시스템을 가장한 백도어같은 것) 여러 대의 서버를 운용하는 경우 일일이 수동으로 패치하는 것이 정말로 귀찮은 일이지만, 그렇다고 자동으로 패치 하는 것 또한 위험할 수 있으니, 결국 관리자들이 계속해서 신경을 쓸 수 밖에는 없다.
최근 보안 뉴스를 보다 보니, 최근 리눅스 시스템에서 탈취된 SSH Key를 이용하여 시스템 권한을 얻고, 커널에 "phalanx2"라는 루트킷을 통해 root 권한을 획득하는 공격이 있었던 것 같다. 이것은 한 시스템을 뚫어 거기에서 SSH Key들을 얻은 후, 그것을 이용하여 공격된 사이트를 통해 다른 시스템들에 대해서도 연쇄 공격을 하는 방식이라고 한다.
이 "phalanx2" 루트킷은 2005년에 나왔던 "phalanx" 커널 루트킷에 변형으로, 파일 및 소켓 숨김, tty sniffer, tty connect-back backdoor에, boot에 자동 injection되는 타입으로, 감염되면 다음과 같은 방법으로 확인을 해 볼 수 있다.
-"etc/khubd.p2" 디렉토리가 ls로 보이지 않지만, "cd /etc/khubd.p2" 명령어를 통해 해당 디렉토리에 들어갈 수 있다. (이 경로는 달라질 수도 있다.) - "dev/shm" 디렉토리에 파일들이 들어 있을 수 있다. - 즉, hidden process를 탐지 한다거나 "/etc/" 하위 reference count와 실제 ls시 보이는 디렉토리 수를 비교해보는 방법.
US CERT에서는 SSH Key가 패스워드 없이 자동 프로세스의 하나로 사용되지는 않는지 체크해 보고 , 키에 꼭 패스워드를 넣어 키가 탈취되어도 위험을 줄일 수 있도록 하라고 권고 했고,
또한, US CERT에서는 자신의 리눅스 시스템이 이미 탈취되었다고 확인이 되었을 경우에는, - key-based SSH authentication은 바로 끄도록 하며, - 해당 탈취된 시스템에서의 모든 SSH Key를 감사, 확인하고, - 모든 key 소유자에게 그들의 키가 탈취되었을 수 있다는 알림을 주라고
권고 했다.
생각해 보면, 원격에서 쉽게 관리를 잘 하기 위해 자동으로 무언가 스크립트를 보내거나 할 때, 패스워드를 입력해 넣기가 귀찮으니 패스워드 문구 없이 ssh 연결을 이용하는 경우가 많은데, 이런 경우에 문제가 생길 수 있는 소지가 생기는 것 같다. 하지만 뭐 대부분 보안에 대해서 어느 정도 인식이 있다고 하면, 패스워드 문구를 넣어 공개키를 보호한 채로 쓰고 있을 테니.. 그렇게까지 큰 문제는 없지 않을까 하는 추측. 무엇보다 만약 어떤 곳에서 패스워드 문구 없이 전 서버들을 관리하는 리눅스 시스템이 있다고 하면, 그 서버를 통해 전 서버가 다 뚫릴 수 있는 위험이 있다는 것. 특별히 그 서버가 외부와의 연결이(대부분 되어 있을 테지) 되어 있는 경우라면, 그 서버에 잔존해 남아 있는 취약점은 없는지, 모든 보안 패치가 다 되었는지 필히 체크해야 할 것이다.
Websense에서 중국 Netcom의 DNS cache poisoning을 알렸다. Posted by Ryan Naraine @ 12:43 pm
중국의 가장 큰 ISP중 하나의 DNS 서버가 exploit을 배포하는 악성 사이트로 리다이렉트 시키는 형태로 감염되었다.
Websense security lab의 경고에 따르면, DNS poisoning 공격은 중국 Netcom(CNC)사용자들에게 영향을 끼치고 있으며, RealNetworks의 RealPlayer와 Adobe Flash Player, Microsoft Snapshot viewer의 알려진 취약점을 이용하여 exploit을 실행시키는 악성 iframe을 이용하고 있다.
사용자가 domain name을 잘못 입력했을 때, 때때로 그들의 ISP에 의해서 광고들이 들어가져 있는 특정 웹 사이트로 연결된다. 이것이 전형적인 IPS를 위한 추가적인 수입의 원천이다. CNC의 경우에는, 이 유명한 ISP의 고객들이 공격자 수중에 있는 웹 사이트로 연결된다.
Websense는 잠재적으로 잘못 입력될 수 있는 URL의 nlsookup 화면을 제공했다. 첫번째 것은 영향이 없는 Name server를 보여주며, 반면 두번째 것은 감염된 Name server를 보여준다.
정상적인 Name server : 감염된 Name server : 정상적인 DNS 서버에 쿼리를 날린 사용자는 안전한 사이트로 연결이 되긴 하지만, 만일 감염된 DNS 서버로 쿼리를 날린다면, 브라우저는 악의적인 iFrame 코드가 삽입된 공격자의 사이트로 리다이렉트 시키게 된다.
원문 : Websense reports China Netcom DNS cache poisoning by ZDNet's Ryan Naraine -- The DNS server of one of China’s largest ISPs has been poisoned to redirect typos to a malicious site rigged with drive-by exploits. According to a warning from Websense Security Labs, the DNS poisoning attacks are affecting customers of China Netcom (CNC) and are using a malicious iFrame to launch exploits for known vulnerabilities in RealNetworks’ [...]
Carly's additional comment : 요즘 중국에 베이징 올림픽 때문에 외신 기자들이 엄청나게 많을 것이고, 그 사람들 분명 호텔에서 CNC 혹은 CT 네트워크를 쓰고 있을 텐데 잘못하면 많은 외국인들 노트북에 중국산 백도어 심기고, Zombie가 되어 전 세계로 흩어질 수도 있겠다는 생각과 더불어.. 중국, 진짜 무섭다는 생각이 다시 한번 들었다.
해당 social network site들에 씌여진 메세지들과 덧글들은 다음의 것을 포함하고 있다 :
→ Paris Hilton Tosses Dwarf On The Street → Examiners Caught Downloading Grades From The Internet → Hello; You must see it!!! LOL. My friend catched you on hidden cam → Is it really celebrity? Funny Moments and many others.
이 메시지들과 덧글들은 가짜 유튜부와 비슷한 사이트로 링크가 걸려져 있고, 그 링크를 클릭하면 또다른 유투부 짝퉁 사이트로 리다이렉트되면서 Adobe Flash player의 최신 버전을 다운로드 하라는 아래와 같은 메시지가 나타난다. 하지만, 최신 버전의 플래쉬 플레이어 대신에, codesetup.exe라 불리는 파일이 피해 컴퓨터에 다운로드 되게 되며, 이 파일 역시 network worm의 일종이다. Kaspersky는 이미 그 보안 부서에서 미리 이 위협들을 탐지했으며, 시그니쳐에 이 데이터 베이스를 2008년 7월 31일자로 추가했다고 말했다.
플래쉬 플레이어 다운로드라는 사회공학적인 유인 방법의 사용이 매우 흥미롭다. 대부분의 경우 악의적인 해커들은 속이는 코드들로 비디오 유혹물들을 이용하기는 했지만, 플래쉬 플레이어 다운로드는 웹 서핑 중 겪게 되는 일반적인 부분의 일종이기 때문에 사용자들이 이런 최신 버전에 대한 속임수에 넘어갔을 확률이 매우 높다고 할 수 있다.
일반적으로 만일 당신이 social netoworking site에 방문중이고, 윈도우 장비에 어떤 exe파일을 다운로드 받도록 하는 경고창이 나왔다고 하면, 당신의 PC를 모두 패치하고 최신의 anti-virus프로그램을 돌려보아야 한다.
The HTTP Trace method is generally used for debugging to invoke a remote application-layer loopback of the a request message. To use this method, a client can see what is being recieved at the other end of the request chain, test, and debug information, so an attacker can steal some information including cookies, and back-end server address, and also possibly website credentials.
[Checking method]
[Disabling method]
* IIS
- to use URLSCAN tool to deny HTTP Trace requests or to permit only some using methods to meet site policy.
- or, to check the following registry key on IIS 6.0.
- to use Apache mod_rewrite module to deny HTTP TRACE requests or to permit some using methods to meet site policy. In short, to add several mod_rewrite directives to the web server configuration file, at main scope as well as in everycontainer. Here is an example: In the httpd.conf file,
#disable Trace in the main RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] Before setting this configuration file, mod_rewrite must be active for these directives to be accepted.
해외에 취약점 수정 레포트를 작성하다가 보면, 취약점에 대한 설명 및 이에 대한 수정 권고사항을 영작해서 보내게 되는데, 작성을 위해서 영작 및 정리한 내용을 블로그에 올려놓는다.
중국의 가장 큰 ISP중 하나의 DNS 서버가 exploit을 배포하는 악성 사이트로 리다이렉트 시키는 형태로 감염되었다.
