Distributed Reflection Denial of Service (분산 반사 서비스 거부 공격)
특징
출발지 IP를 위조(Source IP Spoofing)
공격자는 IP를 공격 대상으로 Spoofing, 대량의 공격 요청을 반사 대상(서버 등)에 보냄
→ IP를 기반으로 공격을 방어하거나 공격자 역추적이 어려움
다수의 정상 동작 서버에 공격 트래픽 발생시켜, 정상 트래픽과의 구분이 어려움
공격 트래픽이 수백 Gbps 이상의 대규모로 발생하여, 탐지 하더라도 방어하기 어려움
UDP 기반 증폭 공격
DNS
개념
Domain Name System, 호스트와 도메인 이름과 아이피 주소와의 변환을 수행할 수 있도록 만들어진 주소 변환 프로토콜
사용 포트
53/UDP port, CVE-2006-0987
원리
DNS 레코드 값을 서버에 재귀적인 방식으로 질의를 하여 찾을 수 있음 DNS 서버에 dig 명령을 이용해 ANY 타입의 쿼리로 질의를 보냄(취약한 서버 찾기) DNS 서버는 질의를 받은 도메인과 관련된 모든 타입의 레코드 정보를 보내줌(대량의 응답) * dig 명령: DNS 질의응답이 정상적으로 이루어지는지를 확인 점검하는 경우에 주로 사용
기존 DNS 프로토콜: 512byte로 사이즈 제한 확장 버전인 EDNS: 4096byte까지 전송이 가능하여 더 큰 증폭 효과를 만들 수 있음
찾는 방법
DNS 서버에 dig 명령을 이용해 ANY 타입의 쿼리를 보내 취약한 서버 찾음
NTP
개념
Network Time Protocol, 가장 오래된 인터넷 프로토콜, 네트워크를 통해 컴퓨터 간 시간 동기화를 위한 네트워크 프로토콜
사용 포트
123/UDP port, CVE-2013-5211
원리
NTP 프로토콜에 '몬리스트(monlist)'라는 명령어를 보냄 'monlist'라는 명령으로 요청받으면, 최근에 해당 서버에 접속한 최대 600개의 호스트들에 대한 최신 정보를 응답으로 보내줌 기본 monlist 요청은 8byte로 가능, 수백~수천 배의 응답
찾는 방법
nmap 등의 스캐닝 툴
예시
프랑스에서 초당 400Gbps 규모의 DDoS 공격 탐지(2014년 2월 13일) NTP 프로토콜을 이용한 증폭 공격 사례 대량의 정보를 요청하는 명령 전송하여 대량의 응답 받음
해결 방안
NTP 서버가 취약한 버전일 경우 NTP-4.2.7p26 이상 버전으로 업그레이드
SSDP
개념
Simple Service Discovery Protocol, UPnP(Universal Plug and Play) 프로토콜에서 근거리 혹은 인터넷에 연결된 디바이스를 찾는데 사용되는 프로토콜
사용 포트
1900/UDP port
원리
SSDP를 이용해 네트워크 서버나 정적인 호스트 설정 없이 디바이스 탐지가 가능(like DHCP, DNS) M-Search 메서드를 이용하여 멀티캐스트 방식으로 로컬 네트워크에 연결된 디바이스 조회 가능 응답 패킷에는 다양한 정보 포함(e.g. 헤더, 배너정보 OS, UUID 정보) 40byte 정도의 M-Search 요청에 대해 서버는 평균적으로 30배 이상의 크기를 갖는 응답을 보내줌
찾는 방법
UDP 1900번 포트로 SSDP M-Search 패킷으로 인터넷 스캐닝하여 서버 찾음
SNMP
개념
Simple Network Management Protocol, 네트워크 디바이스를 관리하는 목적으로 만들어진 프로토콜, 네트워크 구성/성능/장비/보안관리가 가능 기존: 네트워크 디바이스의 모니터링은 ICMP와 같은 프로토콜을 사용 신규: 네트워크가 복잡해짐에 따라 더 효율적으로 네트워크 디바이스를 관리하기 위함 대량의 트래픽을 유발하는 명령 전송하여 대량의 응답 받음
사용 포트
161/UDP port
원리
장비 관리에 접근제어는 SNMP 패킷의 community 필드의 값으로, 보통 public과 같은 값으로 세팅 GetBulkRequest 명령을 이용 테이블에 있는 객체데이터를 요청하는 GetBulkRequest 명령을 반복적으로 수행 70byte의 GetBulkRequest 요청으로 최대 수만 byte의 응답을 받음
찾는 방법
community 값을 public으로 SNMP 패킷을 생성하여 스캐닝하여 증폭 공격에 이용 가능한 서버 찾음
Chargen
개념
Character Generator Protocol, 클라이언트의 요청에 대해 랜덤한 개수(0-512)의 문자열을 응답으로 보내주는 프로토콜
사용 포트
19/UDP port (네트워크 연결에 대한 디버깅, 대역폭 테스팅 등에 사용)
원리
60byte의 요청 패킷에 대해 랜덤한(74~1472bytes) 크기의 응답을 보내줌 (수백 배 정도의 증폭 효과)
찾는 방법
nmap 등의 스캐닝 툴
Others
NetBios
PC의 이름 등록(name registration)과 resolution을 수행하는 프로토콜의 디버깅을 위한 nbtstat 명령 이용
약 3배 정도의 증폭 효과
QOTD
Quote Of The Day, CharGen 프로토콜과 거의 유사한 형태
17/UDP port
TCP SYN Flooding
공격자가 IP를 목표물로 설정
반사 서버로 Syn 요청
반사 서버는 목표물에게 SYN+ACK 보냄
일정 시간 이후 목표물이 SYN+ANK 재전송(TCP 연결 특성상)
P2P
프로토콜별 증폭 공격이 가능한 이유, 공격 기법
공격자는 보통 네트워크 스캐너를 이용하여 증폭 공격에 이용할 취약 서버 리스트를 확보
(e.g. 디바이스 검색엔진 Shodan 이용)
과정
증폭 공격에 대한 공격 대상이 네트워크에 존재하는 경우
공격에 사용되는 서버가 네트워크에 존재하는 경우
공격자가 네트워크에 존재하는 경우
보안 대책
ISP에서 IP Spoofing 패킷 진입 불가(Ingress Filtering) 설정
네트워크 보안 장비(e.g. 방화벽)에서 동일 IP에 대해 일정 요청 이상은 차단하도록 설정
NTP의 경우 monlist 기능 비활성화(ntpdc -c monlist (NTP server add))
Proactive Attack Prevention
사전에 DRDoS 증폭 공격을 방어하는 방법
1) IP spoofing을 원천적으로 막는 안티스푸핑(Anti spoofing) 기법 적용
목차 1. 더 빠르고 쾌적한 공공와이파이가 온다! (220708) 2. 2022년 국가연구개발 우수성과 100선 선정 추진 (220711) 3. 가상융합경제 안전한 성장을 위해 보안업계 맞손 (220714) 4. 무인기 기반의 안전한 데이터 수집을 위한 클러스터 헤드 선출 보안 기술 동향 (220713) 4. 2022년 상반기 KISA 사이버 위협 동향 보고서 (220715)
랩서스(Lapsus$): 가장 활발하게 활동한 랜섬웨어 갱단, 2021년 12월 브라질 보건부 해킹을 시작으로 올해 마이크로소프트, 엔비디아, 옥타(Okta) 등 글로벌 보안 전문기업 해킹
블랙캣(BlackCat): 2022년 상반기 새로 모습을 드러낸 랜섬웨어 갱단
+ 콘티(Conti), 락빗(Lockbit), ...
국내외 사이버 위협 동향
1. 세계 주요 기업 Lapsus$ 공격으로 인해 피해 발생
세계 주요 기업 Lapsus$ 공격으로 인해 피해 발생Lapsus$의 주요 공격 방식
2. 러시아-우크라이나 하이브리드 전쟁, 또 하나의 전쟁터가 된 사이버 공간
3. 사이버 공격 하는 북한, 사이버 공격 받는 북한
북한 연계 피싱 공격 지속: 2월, 국내 군사 연구 및 동북아 평화 협회인 것처럼 위장해 외교·안보·국방분야 전문가를 겨냥해 프로필을 보내달라면서 프로필 양식 문서로 위장한 MS 워드 악성 파일을 첨부한 피싱 메일 발송
4. 여전히 기업 비즈니스의 큰 위협인 랜섬웨어
5. 블록체인 브리지, 해킹으로 대규모 가상자산 피해 잇따라 발생
블록체인 브리지에서 사고가 나는 이유: 복잡한 요구사항을 처리하고, 많은 가상자산을 보유해 주요 공격 대상이 됨
다양한 가상자산을 처리하는 크로스체인 DeFi에서 브리지를 많이 사용
6. 비밀번호 해킹과 피싱으로 피해가 계속되는 NFT
7. 클레이튼 기반 DeFi KLAYswap, 해킹으로 약 22억 원 피해
국내 대형 DeFi 중 하나인 클레이스왑(KLAYswap)에 대한 공격은 BGP 하이재킹 이용
8. 공격 대상을 정부로 넓혀가는 러시아 사이버범죄 집단 - Conti, Lockbit2.0, Killnet
취약점 동향
1. 오픈소스 보안 라이브러리 잠재적 위협 - OpenSSL 취약점
2014년 4월 OpenSSL 라이브러리에 HeartBleed 취약점 발견
2022년 3월 OpenSSL 내 BN_mod_sqrt() 함수에서 연산시 무한루프가 발생하는 서비스 거부 취약점(CVE-2022-0778) 발견
2022년 5월 OpenSSL 내 명령 주입 취약점(CVE-2022-1292), 인증 오류 취약점(CVE-2022-1343), 비밀번호 오류 취약점(CVE-2022-1434), 서비스 거부 취약점(CVE-2022-1473) 발표
2. 방심이 불러온 취약점의 부활 - 사파리 취약점
특정 버전 이하의 소프트웨어를 사용하는 이용자 단말에서 악의적으로 제작된 웹 컨텐츠를 처리하면 임의의 코드를 실행할 수 있으며, 권한을 탈취하고 정보를 유출할 수 있음
대응방법: Zero-day 공격에 노출되어 있어, 보안패치 및 업데이트 발표시 최신 버전으로 적용
* macOS Monterey 12.2.1, iOS 15.3.1 and iPadOS 15.3.1, Safari 15.3(v. 16612.4.9.1.8 and 15612.4.9.1.8)
3. 협업의 도구의 숨은 위협 - 아틀라시안 컨플루언스 취약점
End-Point에 사용자가 계정을 만들어 가입하도록 허용되어 있는 경우 관리자가 아닌 사용자 또는 인증되지 않은 사용자가 컨플루언스 또는 데이터센터 인스턴스에서 html 필드를 대상으로 임의의 코드 실행을 통해 원격 명령어의 실행을 통한 이용자에 대한 2차 공격 및 등록된 자료의 유출이 가능함
공격자가 제공한 URI가 네임스페이스로 변환되어 OGNL 표현식 평가로 이어져 공격자가 임의의 명령어를 수행할 수 있음
* Atlassian: 소프트웨어 개발 및 협업 도구
[참고] Log4j 위협 대응 보고서 v1.0
21년 12월, 全 세계를 공포로 몰아넣을 만한 심각한 취약점 공격 기법이 Github에 공개되었다. 당시 공개된 공격 기법은 Log4j라는 오픈소스 프로그램이 가지고 있는 취약점을 악용하는 것이었다.
yum: Yellowdog Updater Modified, rpm 기반의 시스템을 위한 자동 업데이트 및 패키지 설치/삭제 도구
Command 'yum' not found, did you mean: / See 'snap info <snapname>' for additional versions.
root@ubuntu:/home/sehee# yum help
Command 'yum' not found, did you mean:
command 'gum' from snap gum (0.12.0) command 'sum' from deb coreutils (8.30-3ubuntu2) command 'zum' from deb perforate (1.2-5.1) command 'uum' from deb freewnn-jserver (1.1.1~a021+cvs20130302-7build1) command 'num' from deb quickcal (2.4-1)
See 'snap info <snapname>' for additional versions.
ubuntu nginx에 yum 설치가 되어 있지 않기 때문에 생긴 오류
E: Unable to locate package yum
root@ubuntu:/etc/apt# sudo apt-get install yum
Reading package lists... Done Building dependency tree Reading state information... Done E: Unable to locate package yum
deb http://archive.ubuntu.com/ubuntu bionic main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu bionic-security main restricted universe multiverse
deb http://archive.ubuntu.com/ubuntu bionic-updates main restricted universe multiverse
업데이트 후 확인
sudo apt-get update
root@ubuntu:/etc/apt# sudo apt-get install yum
E: Could not get lock /var/lib/dpkg/lock-frontend. It is held by process 5628 (unattended-upgr) N: Be aware that removing the lock file is not a solution and may break your system. E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it?
sudo killall apt apt-get
# 진행 중인 파일이 없다면
sudo rm /var/lib/apt/lists/lock
sudo rm /var/cache/apt/archives/lock
sudo rm /var/lib/dpkg/lock*
sudo dpkg --configure -a
개요 * Easy_CrackMe.exe 실습 리뷰 및 Easy_KeygenMe.exe 파일 실습 1. 디스어셈블리 상세 기능 - 스택 프레임 및 함수 호출 규약의 이해 - 동적 디버깅 사용 및 코드 실행 - 데이터 타입과 데이터 구조 - 기본 데이터/코드 변환 2. 스택/힙 할당 배열 및 구조체 접근
Byte 단위로 각각 스택에 넣어줌, 사용자가 입력한 문자열을 첫번째 글자부터 순서대로 Byte 단위로 레지스터에 넣음
CMP
esi가 3 이상이면 0으로 초기화
XOR
두 입력 신호가 서로 같으면 0, 다르면 1, 동일한 두 값 → 초기화
MOVZX
소스의 내용을 목적지로 복사, 목적지의 나머지 부분을 0 padding
(목적지에 32bit register → 소스에 16bit register)
MOVSX
소스의 내용을 목적지로 복사, 목적지의 나머지 부분을 소스의 맨 처음 bit로 채움
(목적지에 32bit register → 소스에 16bit register)
loc_40107E: pseudocode
2. 알고리즘 분석
1) v3이 v8의 strlen이 클 때 까지 반복하고, i가 3 이상이면 0으로 초기화
2) sprintf를 통해 Buffer에 생성된 serial 저장
3) "%s%02X"를 통해 기존 Buffer 내용과 v8 포인터 입력값을 한글자씩 가져옴
4) xor 연산을 한 값을 sprintf 함수를 통해 serial이 저장되는 Buffer에 저장
5) serial을 계산하여 scanf로 입력받은 후, strcmp 함수로 동일한지 비교
- if 0일 때 거짓, 0이 아닐 때 참으로 동작하므로, strcmp 내 0일 경우(문자열이 같을 경우) Correct 출력
v6에는 16 → 16 = 0x10
v7[i - 1]가 될 수 있는 값은, v7[0], v7[1], v7[2]의 반복
qmemcpy: sizeof(v7)만큼 " 0" 영역의 값을 v7로 복사
첫번째 인자(v7): 복사받을 메모리를 가리킴
두번째 인자(" 0"): 복사할 메모리를 가리킴
세번째 인자(sizeof(v7)): 복사할 데이터(값)의 길이(바이트 단위)
16진수이므로 두자리씩 끊어서 총 8자리
3. XOR(⊕) 연산의 결합법칙
^: XOR 연산자
p
q
p ⊕ q
(p ⊕ q) ⊕ q
T
T
F
T
T
F
T
T
F
T
T
F
F
F
F
F
(p ⊕ q) ⊕ q ≡ p ⊕ (q ⊕ q) ≡ p ⊕ F ≡ p
0x5b^0x10
0x13^0x20
0x49^0x30
0x77^0x10
0x13^0x20
0x5E^0x30
0x7D^0x10
0x13^0x20
4. 소스코드 작성(pseudo code 기반)
# sol1
serial = [0x5B, 0x13, 0x49, 0x77, 0x13, 0x5E, 0x7D, 0x13]
xor = [0x10, 0x20, 0x30]
ans = []
i_xor = 0
for i_ser in range(len(serial)):
if i_xor >= 3:
i_xor = 0
ans.append(serial[i_ser]^xor[i_xor])
i_xor += 1
print(chr(ans[i_ser]), end='')
# sol2
serial = [0x5B, 0x13, 0x49, 0x77, 0x13, 0x5E, 0x7D, 0x13]
xor = [0x10, 0x20, 0x30]
ans = []
for i in range(len(serial)):
ans.append(serial[i]^xor[i%3])
print(chr(ans[i]), end='')
