2015.09.16

"시스코 라우터가 탈취 당했다, 다른 라우터도 위험한 건 마찬가지"...파이어아이

Tim Greene | Network World
공격자들이 결국 시스코 라우터들을 성공적으로 감염시켰다. 파이어아이는 "공격자들이 해당 라우터가 서브하고 있는 네트워크 상의 다른 서버와 데이터를 해킹하기 위한 수단을 확보하기 위해 지속적으로 공격한 결과"라고 전했다.

파이어아이에 따르면, SNY풀 노크(SYNful Knock) 공격은 인도, 멕시코, 필리핀, 우크라이나에 있는 14개 시스코 라우터 내 펌웨어 버전들을 성공적으로 바꿔치기했다.

이를 통해 공격자는 해당 기기들에 대한 완전한 접속권한을 갖게 되는데, 연구원들은 해킹당한 서버들이 더 다양한 장소나 다른 브랜드의 라우터에서도 나타날 것으로 예상했다.

SYN풀 노크는 향후 공격에 맞춤화하기 위해 소프트웨어 모듈을 다운로드하는데, 시스코 1841, 2811, 그리고 3825 라우터에서 발견됐다.

파이어아이는 블로그에서 "이는 처음에 라우터에 물리적인 접속을 하거나 유효한 비밀번호를 요구하게 되는 점을 악용한 것인데, 이는 소프트웨어 취약점을 악용한 것이 아니다"고 전했다.

파이어아이는 "그러나 이 공격은 특정 벤더와는 상관없는 일이다. 이는 어떤 제조업체가 만든 라우터라도 효과적이라는 것을 의미한다. 이런 공격 방법은 매우 실제적이어서 널리 퍼질 것이 명백하다"고 예상했다.

이 공격은 아마도 기본 비밀번호를 바꾸지 않은, 유효한 신원 인증을 사용해 접속 권한을 획득하는 것으로 시작한다. 그런 뒤 이 라우터의 IOS 운영체제를 수정한 임플란트(implants)을 설치한다.

이 임플란트는 공격자들에게 향후 악용을 위해 현재 해킹한 서버들에 접속할 수 있는 대체 수단을 제공한다.

시스코 블로그에서는 라우터 안전 수단을 권고한다.
- 시스코의 가이드를 사용하고 있는 확실한 기기들만 사용하라.
- 네트워크 모니터링를 통해 기기들의 완전성을 모니터링하라.
- 운영 절차를 보장하기 위한 기기들을 위한 기준치를 확고히 하라.
- 이 기준치로부터 벗어나는 것에 대해 분석하라.


파이어아이는 "SYN풀 노크는 최초 진입시 백도어에서 신원인증의 수단인 비표준 패킷을 사용하기 때문에 탐지하는 것이 어려울 수 있다"고 말했다.

이 백도어는 매우 은밀하게 거점을 확보함으로써 공격자에게 다른 호스트들과 아주 중요한 데이터를 해킹하고 전파하기 위한 충분한 기능을 제공한다.

시스코는 이 공격들을 인지하고 이 공격들을 탐지하고 완화시키는 방안에 대해 권고했다.

시스코는 한 블로그에서 "SYN풀 노크는 지속적인 악성코드 형태로, 공격자에게
기기에 영향을 미치게 하는 제어권 탈취를 허용케 하고, 시스코 IOS 소프트웨어 이미지를 수정해 해킹한다"고 설명했다.

파이어아이는 "이 소프트웨어는 자체 존재를 숨기기 위해 제대로 디자인됐다"고 말했다.

파이어아이는 "이미지 크기를 변하는 걸 막기 위해 자체 실행할 수 있는 코드를 갖고 여러 적법한 IOS 기능들을 덮어쓰기한다. 이 공격자들은 라우터의 기존 기능성을 면밀히 조사해 라우터에 아무런 문제 없이 덮어쓰기 할 수 있는 기능을 발견할 것이다"고 말했다. editor@itworld.co.kr


2015.09.16

"시스코 라우터가 탈취 당했다, 다른 라우터도 위험한 건 마찬가지"...파이어아이

Tim Greene | Network World
공격자들이 결국 시스코 라우터들을 성공적으로 감염시켰다. 파이어아이는 "공격자들이 해당 라우터가 서브하고 있는 네트워크 상의 다른 서버와 데이터를 해킹하기 위한 수단을 확보하기 위해 지속적으로 공격한 결과"라고 전했다.

파이어아이에 따르면, SNY풀 노크(SYNful Knock) 공격은 인도, 멕시코, 필리핀, 우크라이나에 있는 14개 시스코 라우터 내 펌웨어 버전들을 성공적으로 바꿔치기했다.

이를 통해 공격자는 해당 기기들에 대한 완전한 접속권한을 갖게 되는데, 연구원들은 해킹당한 서버들이 더 다양한 장소나 다른 브랜드의 라우터에서도 나타날 것으로 예상했다.

SYN풀 노크는 향후 공격에 맞춤화하기 위해 소프트웨어 모듈을 다운로드하는데, 시스코 1841, 2811, 그리고 3825 라우터에서 발견됐다.

파이어아이는 블로그에서 "이는 처음에 라우터에 물리적인 접속을 하거나 유효한 비밀번호를 요구하게 되는 점을 악용한 것인데, 이는 소프트웨어 취약점을 악용한 것이 아니다"고 전했다.

파이어아이는 "그러나 이 공격은 특정 벤더와는 상관없는 일이다. 이는 어떤 제조업체가 만든 라우터라도 효과적이라는 것을 의미한다. 이런 공격 방법은 매우 실제적이어서 널리 퍼질 것이 명백하다"고 예상했다.

이 공격은 아마도 기본 비밀번호를 바꾸지 않은, 유효한 신원 인증을 사용해 접속 권한을 획득하는 것으로 시작한다. 그런 뒤 이 라우터의 IOS 운영체제를 수정한 임플란트(implants)을 설치한다.

이 임플란트는 공격자들에게 향후 악용을 위해 현재 해킹한 서버들에 접속할 수 있는 대체 수단을 제공한다.

시스코 블로그에서는 라우터 안전 수단을 권고한다.
- 시스코의 가이드를 사용하고 있는 확실한 기기들만 사용하라.
- 네트워크 모니터링를 통해 기기들의 완전성을 모니터링하라.
- 운영 절차를 보장하기 위한 기기들을 위한 기준치를 확고히 하라.
- 이 기준치로부터 벗어나는 것에 대해 분석하라.


파이어아이는 "SYN풀 노크는 최초 진입시 백도어에서 신원인증의 수단인 비표준 패킷을 사용하기 때문에 탐지하는 것이 어려울 수 있다"고 말했다.

이 백도어는 매우 은밀하게 거점을 확보함으로써 공격자에게 다른 호스트들과 아주 중요한 데이터를 해킹하고 전파하기 위한 충분한 기능을 제공한다.

시스코는 이 공격들을 인지하고 이 공격들을 탐지하고 완화시키는 방안에 대해 권고했다.

시스코는 한 블로그에서 "SYN풀 노크는 지속적인 악성코드 형태로, 공격자에게
기기에 영향을 미치게 하는 제어권 탈취를 허용케 하고, 시스코 IOS 소프트웨어 이미지를 수정해 해킹한다"고 설명했다.

파이어아이는 "이 소프트웨어는 자체 존재를 숨기기 위해 제대로 디자인됐다"고 말했다.

파이어아이는 "이미지 크기를 변하는 걸 막기 위해 자체 실행할 수 있는 코드를 갖고 여러 적법한 IOS 기능들을 덮어쓰기한다. 이 공격자들은 라우터의 기존 기능성을 면밀히 조사해 라우터에 아무런 문제 없이 덮어쓰기 할 수 있는 기능을 발견할 것이다"고 말했다. editor@itworld.co.kr


X