한동안 쿠키를 이용한 SQL injection이 유행하다가 최근에는 조금 잠잠해 진 듯 하드니 다시 최근에 유행하고 있습니다. 한동안의 공격이 쿠키를 이용한 SQL Injection이 DB의 내용을 변조하는데 주된 행동을 보였다면, 지금의 해킹은 다시 파일을 변조하는 유형을 사용합니다. 파일 변조이니까 다시 과거의 방법으로 막을 수 있지 않을까?라고 생각하실지 모르겠습니다만, 불행하게도 방법이 보다 효과적으로 바뀌었습니다.
일단 해킹에 성공하면 웹쉘을 심는 것 까지는 모두 동일합니다. 하지만, 이후에 파일 변조를 위해 웹사이트를 분석하고 이를 완전 자동화 할 수 있는 방안을 마련합니다. 해킹의 방법까지는 동일하나 그 이후의 과정이 보다 세밀하게 변경되고 보다 찾기는 어렵게 되어가고 있습니다.
과거의 해킹의 내용은 해킹 후 가끔 발견되는 웹쉘이 문제라고 이야기를 했지만, 최근의 해킹은 이 부분에서 보다 진보된 방식을 사용합니다. 조금 극단적인 예를 들면, IIS에서 C:또는 D:와 같은 드라이브를 가상 폴더로 매핑합니다. 여기까지는 윈도우 2000시절의 해킹과 별반 다르지 않습니다. 이런 해킹은 SQL Injection을 통해 파일 접근을 하고 관리자 계정을 탈취하고 백도어 성격으로 만든 것이니까요.
하지만, 이제부터가 문제입니다. 과거의 이런 가상 디렉터리 연결은 파일 브라우징을 쉽게 하기 위해 이뤄진 반면, 최근의 해킹은 자신들이 만든 웹쉘을 찾기 어렵게 만들고자 하는 방안으로 사용됩니다. 과거에 자주 사용했던 방법과 결합한 새로운 방식이지요. 마치 2003년도의 해킹 수법을 보는 듯 합니다.
|
2003년도 해킹에 대한 글 |
|
|
2003년도에 많이 발생했던 해킹들은 눈으로 찾기 어렵도록 꾸미기를 시작합니다. 파일의 위치는 휴지통 폴더에, 그리고 파일명은 매우 유명한 파일명으로, 확장자는 누구도 의심하지 않을꺼 같은 확장자로 꾸미기 작업을 진행하지요.
보통 이런 식으로 많이 쓰이던 확장자는 .jpg나 .gif였습니다만, 이제는 .cer이나 .pfx 같은 인증서 관련 확장자를 사용하기도 합니다. 이 인증서 관련 확장자는 세부 내용 검색에서는 제외되기 때문에 기존의 윈도우에서 제공되는 검색으로는 찾을 수 없습니다.
여기까지는 기존의 방법에서 약간의 변화라고 할 수 있을 것입니다. 하지만, 요즘 해킹의 진정한 문제는 파일 변조를 효과적으로 하기 위하여 현재 웹서버에 있는 파일들을 자동으로 검사하여 변조할 수 있는 ASP 파일이 어딘가 존재한다는 것이지요. 이런 자동화 된 수법은 기존의 모든 패치를 진행했고 웹쉘을 제거했다 하더라도 별도의 실행가능한 파일로 존재하는 것이기에 기존의 웹쉘을 제거하는 것 만으로 끝나지 않습니다.
대부분, 파일 변조가 일어나면 기존의 백업되어 있는 것으로 덮어씌웁니다만, 백업된 자료에도 이 자동 변조를 위한 asp파일이 심어져 있더군요.
웹쉘도 제거했고, 분명 부분을 다 봤는데도 불구하고 계속 같은 현상이 발생한다면, 이런 자동으로 동작할 수 있는 소스가 있는지 여부를 한번 확인해보는 것도 좋습니다. 이런 검사는 .asp나 .aspx를 가진 파일 뿐만 아니라 모든 파일을 대상으로 진행되어야 한다는 점이 조금 부담스럽긴 하지만 말이죠.
