Home > Security

Masscan ·£¼¶¿þ¾î, DB ¼­¹ö Ÿ±ê ¹«ÀÛÀ§ ´ëÀÔ °ø°Ý ÅëÇØ °¨¿° È®»ê

ÀÔ·Â : 2022-10-10 15:02
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
KISA, ¡®Masscan ·£¼¶¿þ¾î ħÇØ»ç°í ±â¼úº¸°í¼­¡¯ ¹ßÇ¥
6¿ù¸» ù °¨¿° »ç·Ê ¹ß»ý ÀÌÈÄ 7¿ù ±âÁ¡À¸·Î ±Þ¼Óµµ·Î È®»ê Áß
·£¼¶¿þ¾î ½ÇÇà ÈÄ °ø°Ý¿¡ »ç¿ëÇÑ Á¤º¸¼öÁý µµ±¸ ½º½º·Î »èÁ¦ÇÏ´Â ±³¹¦ÇÔµµ º¸¿©


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] µ¥ÀÌÅͺ£À̽º(DB) ¼­¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â µ¥ÀÌÅÍ Å»Ãë µî ÇØÅ· »ç°í°¡ ºó¹øÇÏ°Ô ¹ß»ýÇß´Ù. ¿©±â¿¡ ÃÖ±Ù¿¡´Â ¾ÏȣȭÆó µîÀå°ú ´ÙÅ©À¥ ¹× ¼­ºñ½ºÇü ·£¼¶¿þ¾î(RaaS)ÀÇ À¯ÇàÀ¸·Î ´Ù¾çÇÑ DB¼­¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â ·£¼¶¿þ¾î(Globeimposter, mallox, 520, 360 µî) °ø°Ýµµ ±ÞÁõÇÏ°í ÀÖ´Ù.

ƯÈ÷, Áö³­ 6¿ù ¸», ±¹³»¿¡¼­ óÀ½ °¨¿°»ç·Ê°¡ ¹ß»ýÇÑ Masscan ·£¼¶¿þ¾î´Â 7¿ùÀ» ±âÁ¡À¸·Î ±Þ¼ÓÈ÷ È®»êµÇ°í ÀÖ´Ù. ÀÌ¿Í °ü·Ã Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA)Àº Masscan ·£¼¶¿þ¾î ±â¼úº¸°í¼­¸¦ ¹ßÇ¥Çß´Ù.

[À̹ÌÁö=utoimage]


KISA¿¡ µû¸£¸é, DB ¼­¹ö¸¦ ´ë»óÀ¸·Î ÇÑ ·£¼¶¿þ¾î·Î´Â ¡âGlobeimposter ¡âmallox ¡â520 ¡â360 µîÀÌ ÀÖÀ¸¸ç, Áö³­ÇغÎÅÍ ¿ÃÇØ »ó¹Ý±â±îÁö´Â ±×Áß¿¡¼­µµ Globeimposter ·£¼¶¿þ¾î°¡ °¡Àå ¸¹ÀÌ ¹ß°ßÇß´Ù. Globeimposter ·£¼¶¿þ¾îÀÇ °æ¿ì DB ¹«ÀÛÀ§ ´ëÀÔ °ø°Ý»Ó¸¸ ¾Æ´Ï¶ó ¿ø°Ý µ¥½ºÅ©ÅéÀÌ ¿­·Á ÀÖ´Â ¼­¹ö¸¦ ´ë»óÀ¸·Î ¹«ÀÛÀ§ ´ëÀÔ °ø°ÝÀ» ÅëÇØ Ä§ÅõÇϱ⵵ ÇßÀ¸¸ç, ¿ÃÇØ ÃÊ¿¡´Â ºñ½ÁÇÑ °ø°Ý ¹æ½ÄÀ¸·Î mallox, 360 ·£¼¶¿þ¾î°¡ ¹ß°ßµÆ´Ù.

¡ãMasscan ·£¼¶¿þ¾î °¨¿°È­¸é[À̹ÌÁö=KISA]


Masscan ·£¼¶¿þ¾î´Â ´Ù¸¥ DB Ÿ±ê ·£¼¶¿þ¾î¿Í ¸¶Âù°¡Áö·Î ¿ÜºÎ¿¡ °ø°³µÅ ÀÖ´Â DB¿¡ ¹«ÀÛÀ§ ´ëÀÔ °ø°ÝÀ» ÅëÇØ Ä§ÅõÇØ ·£¼¶¿þ¾î¸¦ À¯Æ÷ÇÏ°í ÀÖ´Ù. Masscan ·£¼¶¿þ¾î´Â Áö³­ 7¿ù¿¡ 10°Ç, 8¿ù¿¡´Â 18°Ç, 9¿ù¿¡´Â 9°ÇÀ¸·Î ²ÙÁØÈ÷ ½Å°í °Ç¼ö°¡ ´Ã¾î³ª°í ÀÖ´Ù.

Masscan ·£¼¶¿þ¾îÀÇ °¨¿°µÈ ÆÄÀÏÀº È®ÀåÀÚ°¡ masscan-{´ë¹®ÀÚ ÇÑ ±ÛÀÚ}-{GUID 8ÀÚ¸®}·Î º¯°æµÈ´Ù. ·£¼¶¿þ¾î ¹× È®ÀåÀÚ¸¦ ÅëÇØ ºÐ¼®ÇÑ °á°ú, ÇöÀç ¹öÀü 3(F, R, G ¹öÀü µî)±îÁö ³ª¿Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

°ø°ÝÀÚ´Â ¿ÜºÎ¿¡ ³ëÃâµÈ ±â¾÷ÀÇ µ¥ÀÌÅͺ£À̽º(MS-SQL, 1433 Æ÷Æ®) ¼­¹ö¸¦ ½ºÄµÇØ °ø°Ý ´ë»óÀ» ã´Â´Ù. Ãß°¡ÀûÀ¸·Î Shodan, Criminal IP µî OSINT(Open Source Intelligence)¸¦ ÅëÇØ Á¤º¸¸¦ ¼öÁýÇÑ´Ù. OSINTÀÇ ´ëÇ¥ÀûÀÎ »çÀÌÆ® ¼î´Ü(Shodan)À» È°¿ëÇÑ Á¤º¸¼öÁý °Ç¼ö´Â 2019³â Á߹ݺÎÅÍ ±Þ°ÝÇÏ°Ô ´Ã¾î³ª°í ÀÖ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.

¡ãMasscan ·£¼¶¿þ¾î °ø°Ý ¹æ½Ä[À̹ÌÁö=KISA]


Masscan ·£¼¶¿þ¾î °¨¿° Ãʱ⿡´Â Ÿ±êµÈ µ¥ÀÌÅͺ£À̽º ¼­¹ö¿¡ ºê·çÆ®Æ÷½Ì °ø°ÝÀÌ °¨ÇàµÈ´Ù. ±× ÀÌÈÄ sa °èÁ¤°ú admin, administrator, administrators µî°ú °°ÀÌ ERP ¼­¹ö¿¡¼­ »ç¿ëÇÏ´Â °ü¸®ÀÚ °èÁ¤ µî ÀÚÁÖ »ç¿ëÇÏ´Â °èÁ¤À» Ÿ±êÀ¸·Î ºê·çÆ®Æ÷½Ì °ø°ÝÀ» ÇØ °èÁ¤Á¤º¸¸¦ ¼öÁýÇÑ´Ù.

¼öÁýµÈ µ¥ÀÌÅͺ£À̽º °èÁ¤Á¤º¸¸¦ ÀÌ¿ëÇؼ­ xp_cmdshellÀ» È°¼ºÈ­ÇÏ´Â Äõ¸®¸¦ º¸³½´Ù. ±× ÀÌÈÄ xp_cmdshellÀ» È°¼ºÈ­½ÃŲ ÈÄ, xp_cmdshellÀ» ÅëÇØ ½ºÅ©¸³Æ® ÆÄÀÏÀ» »ý¼ºÇϰųª ÆÄ¿ö¼ÐÀ» ½ÇÇà½ÃŲ´Ù. xp_cmdshellÀ» ÅëÇØ ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®¸¦ »ç¿ëÇÏ´Â ÁÖ ¸ñÀûÀº °ø°ÝÀÚ°¡ »ç¿ëÇÒ °èÁ¤À» »ý¼ºÇϰųª ¾Ç¼ºµµ±¸¸¦ ´Ù¿î·ÎµåÇÏ´Â µ¥ ÀÖ´Ù. ÁÖ·Î ´Ù¿î·Îµå ¹Þ´Â ¾Ç¼ºµµ±¸·Î´Â ¿ø°ÝÁ¢¼Ó ÇÁ·Î±×·¥(anydesk) ¹× °èÁ¤Å»Ãë µµ±¸(mimikatz), ³×Æ®¿öÅ© ½ºÄµ µµ±¸ µîÀÌ´Ù.

¡ãShodanÀ» È°¿ëÇÑ Á¤º¸¼öÁý(±¹³» MS-SQL ÇöȲ)[À̹ÌÁö=KISA]


°ø°ÝÀÚ´Â xp_cmdshell ¶Ç´Â ÆÄ¿ö¼ÐÀ» ÀÌ¿ëÇØ ¿ø°ÝÁ¢¼Ó ÇÁ·Î±×·¥(anydesk)À» ¼³Ä¡ÇÏ°í °ø°ÝÀÚ PC¿¡ ¿ø°ÝÁ¢¼ÓÀ» ÇÑ´Ù. anydeskÀÇ °æ¿ì CLI ȯ°æ¿¡¼­ ¸í·É¾î·Î ¼³Ä¡ ¹× Æнº¿öµå¸¦ ¼³Á¤ÇÒ ¼ö ÀÖ´Ù.

°ø°ÝÀÚ´Â °èÁ¤Á¤º¸¸¦ ȹµæÇϱâ À§ÇØ °èÁ¤Å»Ãë µµ±¸(mimikatz, NLBrute)¸¦ »ç¿ëÇØ °èÁ¤Á¤º¸¸¦ ¼öÁýÇÑ´Ù. °ø°ÝÀÚ´Â °èÁ¤¼öÁý µµ±¸·Î °ü¸®ÀÚ °èÁ¤À» ȹµæÇØ °ü¸®ÀÚ °èÁ¤À¸·Î ·Î±×ÀΠȤÀº ¿ø°ÝÁ¢¼ÓÇØ À©µµ¿ì µðÆæ´õ ¹× ¹é½ÅÀ» ÁßÁö½ÃÅ°°í, ¸ð´ÏÅ͸µ µµ±¸¸¦ ÀÌ¿ëÇØ ÇÁ·Î¼¼½º È®ÀÎ ÈÄ Á¾·á½ÃŲ´Ù. °ø°ÝÀÚ´Â °ü¸®ÀÚ °èÁ¤À¸·Î Á¢¼ÓÇÑ ÈÄ, ¹æÈ­º®¿¡¼­ÀÇ Â÷´ÜÀ» ¸·±â À§ÇØ ¿ø°ÝÁ¢¼Ó(netsh)À» Çã¿ëÇÑ´Ù. ÀÌÈÄ °ø°ÝÀÚ´Â ³»ºÎ À̵¿À» À§ÇØ ³×Æ®¿öÅ© ½ºÄµ µµ±¸ ¹× SQL ÅøÀ» »ç¿ëÇØ ³×Æ®¿öÅ© Á¤º¸¸¦ ¼öÁýÇÑ´Ù.

¡ã°ø°ÝÀÚ°¡ »ç¿ëÇÏ´Â ·£¼¶¿þ¾î µµ±¸µé[À̹ÌÁö=KISA]


°ø°ÝÀÚ´Â ÀÌÀü¿¡ ¼öÁýÇÑ Á¤º¸¸¦ ÀÌ¿ë, ´Ù¸¥ ¼­¹ö·Î ¿ø°ÝÁ¢¼ÓÇØ ³»ºÎ À̵¿ÇÑ´Ù. ³»ºÎ À̵¿À» ÇÒ ¶§´Â À§¿¡¼­ »ç¿ëÇÑ RDP Á¤º¸¼öÁý µµ±¸ ¹× ³×Æ®¿öÅ© ½ºÄµ µµ±¸¸¦ ÅëÇØ Ãß°¡ ¼­¹ö¸¦ ãÀ¸¸ç, °¡Àå ¸¹Àº Á¤º¸¸¦ º¸À¯ÇÏ°í ÀÖ´Â ¼­¹ö¸¦ °ÅÁ¡À¸·Î »ï¾Æ ·£¼¶¿þ¾î °ø°ÝÁغñ¸¦ ÇÑ´Ù. À̶§ ´ëü·Î ¹é¾÷ ¼­¹ö°¡ ¸ðµç ¼­¹ö¿Í ¿¬°áµÇ´Â ¼­¹ö¶ó °ø°ÝÀÚ°¡ °ÅÁ¡À¸·Î ¸¹ÀÌ ¼±ÅÃÇÑ´Ù.

°ø°ÝÀÚ´Â °ÅÁ¡ ¼­¹ö¸¦ ÅëÇØ ´Ù¸¥ ¼­¹ö¿¡ Á¢¼ÓÇÏ°í ·£¼¶¿þ¾î¸¦ ½ÇÇàÇÑ´Ù. Masscan ·£¼¶¿þ¾îÀÇ °æ¿ì RunExe.exe ÆÄÀÏ°ú EnCrypt.exe ÆÄÀÏÀ» »ç¿ëÇÑ´Ù. RunExe.exeÀÇ °æ¿ì VSS(VolumShadowCopy Service)¸¦ »èÁ¦ÇÏ°í µð·ºÅ͸®³» exe ÆÄÀÏÀ» ½ÇÇà½ÃŲ´Ù. RunExe.exe¸¦ ÅëÇØ ½ÇÁ¦ ÆÄÀÏÀ» ¾ÏȣȭÇÏ´Â EnCrypt.exeÀÌ ½ÇÇàµÅ ÆÄÀÏÀ» ¾Ïȣȭ½ÃŲ´Ù. ·£¼¶¿þ¾î¿¡ °¨¿°µÈ ÈÄ, °¢ Æú´õ¿¡´Â ¾Æ·¡¿Í °°Àº ·£¼¶³ëÆ®(RECOVERY INFORMATION !!!.txt)°¡ »ý¼ºµÈ´Ù.

¡ãMasscan ·£¼¶¿þ¾î°¡ ³²±ä ·£¼¶³ëÆ®[À̹ÌÁö=KISA]


°ø°ÝÀÚ´Â ·£¼¶¿þ¾î¸¦ ½ÇÇà½ÃÅ°°í °ø°Ý ÈçÀûÀ» Áö¿ì±â À§Çؼ­ À̺¥Æ®·Î±×(Security, System)¿Í ÇÔ²² °ø°Ý¿¡ »ç¿ëÇÑ Á¤º¸¼öÁý µµ±¸¸¦ »èÁ¦ÇÑ´Ù. À̹ۿ¡µµ °ø°Ý °èÁ¤°ú ¾Ç¼ºÄÚµå, À̺¥Æ®·Î±× µî °ø°Ý ÈçÀûÀ» ¸ðµÎ Áö¿î µÚ ¼­¹ö¸¦ ÀçºÎÆýÃŲ ÈÄ ¿ø°ÝÁ¢¼ÓÀ» ÇØÁ¦ÇÑ´Ù.

Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÃøÀº Masscan ·£¼¶¿þ¾î¿¡ ´ëÀÀÇϱâ À§Çؼ­´Â ¿ÜºÎÁ¢¼Ó °ü¸® °­È­, °èÁ¤°ü¸® °­È­, ¹é¾÷°ü¸® °­È­ µî°ú ÇÔ²² ÃֽŠ¿î¿µÃ¼Á¦ ¾÷±×·¹ÀÌµå ¹× ÃֽŠÆÐÄ¡ Àû¿ë, ¹é½Å ¼³Ä¡¿Í ·£¼¶¿þ¾î Â÷´Ü ±â´É È°¼ºÈ­ µîÀÌ ÇÊ¿äÇÏ´Ù°í ¼³¸íÇß´Ù.
[±è¿µ¸í ±âÀÚ(sw@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)