Download - 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)
![Page 1: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/1.jpg)
![Page 2: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/2.jpg)
![Page 3: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/3.jpg)
1
![Page 4: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/4.jpg)
가상 사설망(Virtual private network, VPN)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망
인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달(출처 : wikipeida)
(구성) IPsec, SSL, L2TP, L2TPv3, PPTP
![Page 5: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/5.jpg)
Windows는 단순한 설정을 통하여 VPN 서비스 기본지원 - PPTP(1723 port) - L2TP(1701 port)
![Page 6: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/6.jpg)
Windows는 단순한 설정을 통하여 VPN 서비스 기본지원 - PPTP(1723 port) - L2TP(1701 port)
간단한 윈도우 설정만 하면, 누구나 쉽게 해당 서비스 사용가능
![Page 7: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/7.jpg)
OO 업체 서버에서 정보 유출 사고 발생 (SQL injection 공격으로 정보 유출 후 웹셸 등 업로드)
![Page 8: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/8.jpg)
공격지 파악 중 국내 서버가 확인됨
114.XX.XX.XX(KR)
SQL 인젝션을 통한 정보 유출
OO 서버
59.XX.XX.XX(CN) 103.XX.XX.XX(HK)
(2014-03-16)
![Page 9: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/9.jpg)
공격지인 국내 서버(114.XXX.XXX.XXX) 분석 중 VPN설정과 외부 RADIUS 인증서버가 존재하는 것을 확인
![Page 10: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/10.jpg)
해당 서버의 VPN에서 외부로 다양한 커넥션이 맺어지는 것을 확인 가능
![Page 11: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/11.jpg)
③ SQL 인젝션을 통한 개인정보 유출
OO 서버
two.xx33.info (222.73.26.131,CN)
one.xx33.info (112.123.169.108,CN)
< VPN 인증서버(radious)>
① VPN을 이용하여 접속
② 공격자 인증 XX 업체 DB서버 (114.XX.XX.XX)
④기타 다른 공격
![Page 12: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/12.jpg)
7일간 VPN을 이용한 네트워크 트래픽 분석
![Page 13: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/13.jpg)
VPN에 접속한 외부 IP(Source)
![Page 14: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/14.jpg)
VPN에 을 통하여 접속한 IP(Destination)
![Page 15: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/15.jpg)
(참고) 국내 해킹된 서버의 VPN 서버 임대 게시물
![Page 16: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/16.jpg)
220.95.XXX.XXX 211.218.XXX.XXX 218.145.XXX.XXX
A 사 B 사 C사 D사 E 사
…
VPN 서버 VPN 서버 VPN 서버
![Page 17: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/17.jpg)
• 문제점
– 중소업체에서 관리하는 서버가 해킹경유지로 악용됨
– 관리자가 모르게 중국에서 국내 온라인게임을 하는 창구로 악용됨
• 대응전략
- 운영하는 서버가 PPTP나 L2TP 서비스가 활성화 되어 있는지 확인
- 네트워크 및 CPU의 점유율이 과도하게 높은지 확인
![Page 18: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/18.jpg)
• 문제점
– 중소업체에서 관리하는 서버가 해킹경유지로 악용됨
– 관리자가 모르게 중국에서 국내 온라인게임을 하는 창구로 악용됨
• 대응전략
- 운영하는 서버가 PPTP나 L2TP 서비스가 활성화 되어 있는지 확인
- 네트워크 및 CPU의 점유율이 과도하게 높은지 확인
- VPN 서비스 제거 & KISA에 기술지원 요청
![Page 19: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/19.jpg)
2
![Page 20: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/20.jpg)
DNS 스푸핑은 컴퓨터 해킹 공격기법 중 하나로 도메인 네임 시스템에서 전달되는 IP 주소를 변조하거나 도메인 네임 시스템의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법 (출처 : wikipeida)
![Page 21: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/21.jpg)
DNS 스푸핑은 컴퓨터 해킹 공격기법중 하나로 도메인 네임 시스템에서 전달되는 IP 주소를 변조하거나 도메인 네임 시스템의 서버를 장악하여 사용자가 의도하지 않은 주소로 접속하게 만드는 공격방법 (출처 : wikipeida)
![Page 22: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/22.jpg)
1. 장악
2. Host 파일 변조
![Page 23: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/23.jpg)
공유기의 DNS 변조
![Page 24: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/24.jpg)
대형 포탈 사이트 접속시 금융 인증절차 요청
![Page 25: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/25.jpg)
악성코드 예방을 위하여 예방용 보안 앱(S.S Checker) 설치 요청
![Page 26: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/26.jpg)
DNS 변조
정상적인 DNS 사용
![Page 27: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/27.jpg)
1. 원격접속을 이용한 DNS 조작 해당 공유기는 디폴트로 외부 원격지에서 설정 정보를 변경할 수 있게 설정됨 공격자는 8888포트로 접속 되는 IP를 스캔해 공유기로 침투한 것으로 추정
![Page 28: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/28.jpg)
변조
웹 접속
2. CSRF 취약점을 이용한 공유기 DNS 변조 중국 해커 커뮤니티 사이트에 CSRF 취약점을 이용하여 공유기 변조하는 방법이 공개되어 있음
![Page 29: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/29.jpg)
1. 백신사에 긴급 업데이트 요청 및 공격자의 DNS 서버 26개 IP 긴급차단 - 공격자 DNS에 질의한 피해 IP 81,625개에 대해 각 기관 조치 요청(4.30, 5.15)
2. 공유기 취약점 이용 악성 앱 설치 및 공유기 보안 설정 사용자 주의권고 - 언론보도(4.27), - 보안 설정 권고 보안공지(4.28) 3. 공유기 제조사에 패치 개발 요청(4.29) * 내용 : 초기 관리자 페이지 접속 시 패스워드 입력 유도, 원격 관리 기능 해제 * 대상 : WeVo, 다보링크, 애니게이트, 유니콘, axler, LGU+, SK브로드밴드 등
![Page 30: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/30.jpg)
• 대응전략
- 외부 접속 차단 설정
- 관리자 계정 및 패스워드 설정
** WIFI 패스워드와 다름
![Page 31: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/31.jpg)
• 보안사고의 인정
![Page 32: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/32.jpg)
• 보안사고의 인정
- 사고는 항상 발생할 수 있는 것을 인정
![Page 33: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/33.jpg)
• 골든 타임에 대한 대응
- 변조된 파일, 웹셸, 악성 코드 등 소유자 정보, 생성 시간 등 확인 - 웹 로그/시스템 로그 등 관련 로그 주기적 백업
![Page 34: 14 06-20 정보공유세미나(vpn 및 공유기 해킹 사례)](https://reader031.vdocuments.site/reader031/viewer/2022012307/5564b9dcd8b42a98268b551c/html5/thumbnails/34.jpg)