웹 해킹 침해사고 및 대응

웹 해킹 침해사고 및 대응

 

홈페이지 변조

è  홈페이지 메인 화면 등을 변조하는 공격으로 디페이스 공격으로도 불린다.

è  공격자는 웹서버를 해킹하여 본래의 목적과 관련이 없는 내용으로 웹 콘텐츠를 변조한다

 

WebDAV 취약점 예방법

1.     불필요한 경우 WebDAV 서비스 중지

2.     운영체제 및 IIS 버전 업그레이드

3.     Httpex.dii 파일의 Everyone 권한 삭제

4.     홈 디렉토리 메뉴의 쓰기 권한 삭제

 

l  파일 업로드 취약점은 홈페이지 게시판에 허용된 파일외 서버 사이드 스크립트 파일 (PHP , JSP, ASP 등)이 업로드가 가능한 경우 공격자는 웹서버에서 스크립트를 실행시켜 임의의 파일을 업로드 하여 웹 콘텐츠를 변조할 수 있다.

파일 업로드 취약점 예방법

è  오픈소스 게시판 보안

è  파일 업로드 제한 ( 확장자 , 쓰기권한 , 첨부파일 기능 등 )

è  업로드 파일에 대한 실행권한 제거

è  업로드 파일 저장 시 파일명 변경

 

WebDAV : Web-Based-Distributed-Authoring and Versioning ( 웹 기반 분산형 저작 및 버전관리 ) 의 약자로써 웹을 통해서 웹서버에 파일을 관리(목록 조회 , 수정 , 삭제 이동 등)할 수 있는 확장된 HTTP 프로토콜을 말한다.

1.     최초의 웹 서버인 httpd , 그리고 웹브라우저 편집기인 월드 와이드 웹

2.     팀 버너스리가 만듬

3.     웹 사이트를 보여줄 뿐아니라 , 읽기 + 쓰기 가능

4.     HTTP 확장 버전

5.     웹 서버를 하나의 저장소로 변모시킨다.

6.     예를 들면 google_drive가 이런 경우에 해당한다 / 윈도우의 공유폴더처럼 웹을 쓸 수 있다

7.     로컬 네트워크인지 , OS가 무엇인지 등의 제약이 없다 .

8.     웹에 접속 가능하다면 어디서든 , 어떤 기기로든 WebDAV로 웹 서버를 로컬 디스크처럼 이용할 수 있다.

 

악성코드 유포

1.     공격자는 악성코드 유포시 홈페이지를 많이 이용하며 , 불특정 다수를 대상으로 무분별하게 악성코드를 유포한다

2.     공격자가 최초로 취약한 홈페이지를 해킹 하여 악성 스크립트를 삽입하고 해당 홈페이지에 접속한 사용자들을 대상으로 악성코드에 감염시킨다.

 

홈페이지를 통한 악성코드 유포 공격의 개요도

 

1.     공격자는 사용자들이 인지하지 못한 채 악성코드를 감염시키기 위해 사용자 PC에 설치된 프로그램의 취약점을 악용한다.

2.     보통 문서편집기 , 자바 , 플래시 플레이어 , 브라우저 등 프로그램의 복합적인 취약점을 이용하여 악성 스크립트를 실행시켜 악성코드에 감염시킨다.

3.     최근에는 랜섬웨어 ( 파일 암호화 ) 유포 공격이 증가

è  랜섬웨어란 무엇인가 .

ㄱ.   랜섬웨어는 홈페이지 사용자 PC의 중요 파일들을 암호화하여 피해를 입히지만 , 최근에는 웹서버 자체를 감염시켜 홈페이지 서비스를 중단시킨다.

 

홈페이지 보안

 

1.     홈페이지 해킹 시 공격자는 보안이 취약한 게시판을 많이 이용한다.

2.     홈페이지 게시판과 관련된 보안 취약점은 대표적으로 파일 업로드 취약점 , XSS , SQL 인젝션이 있으며 , 공격자들은 이러한 취약점을 이용해 홈페이지를 해킹한다

3.     파일 업로드 취약점은 게시판 첨부파일 기능을 이용해 허가되지 않은 파일들을 웹서버로 업로드 할 수 있는 취약점이다

Ex) 허가 되지 않은 파일 확장자 : php , jsp , asp ,cgi , py , in , pl 등

 

   

   

    파일업로드 취약점

 

1.     게시판에 php , jsp , asp , cgi, js , pv 과 같은 확장자가 첨부파일로 등록이 된다면 , 파일 업로드 취약점이 있다고 볼 수 있다.

2.     파일 업로드 취약점은 업로드 파일에 대한 필터링과 파일 업로드 디렉토리에 대한 실행 권한 제한으로 조치가 가능하다 .

 

 

파일업로드 취약점을 이용한 웹셀 업로드 (공격자)

1.     파일 업로드 취약점이 존재하는 게시판을 통해 웹셀 파일을 업로드한다.

2.     업로드한 웹셀 파일을 호출한다 ( 웹서버 )

3.     웹셀을 이용하여 홈페이지를 변조 , 자료 유출 등 공격 수행

 

웹셀

 

1.     웹셀은 공격자가 원격에서 웹서버에 접근할 수 있는 통로 역할을 하는데 , 정상적인 웹서비스(80번포트)를 이용하기 때문에 방화벽으로도 차단되지 않는다 .

2.     홈페이지 개발 언어(Server Side Script)로 제작되며 파일 업로드 , 파일 다운로드 , 명령어 실행 등 목적에 따라 다양한 기능을 수행한다.

3.     웹셀 업로드를 예방하기 위해서는 파일 업로드 취약점에 대한 보안조치가 진행되어야 하고  웹 방화벽 ( Web Application Firewall ) , 웹셀 탐지 도구와 같은 보안 제품을 도입하여 웹셀을 탐지할 수 있다 .  

 

공개 웹 방화벽 설치

1.     웹 방화벽 ( Web Appliction Firewall , WAF ) 은 홈페이지 서비스를 위한 전용 보안 솔루션으로 SQL 인젝션 , XSS 등과 같은 웹 공격을 탐지하고 차단할 수 있다.

2.     모드시큐리티 , 웹나이트