꼰머의 보안공부

1. 개요

- 최근 고 언어 기반의 스캐너 고브루트포서(GoBruteforcer)라는 봇넷 멀웨어가 새롭게 발견

- FTP, MySQL, phpMyAdmin, Postgre 서비스를 제공하는 서버를 대상으로 함

- 스캔을 통해 열려 있는 포트들을 찾아내면, Bruteforce 통해 침투 후 IRC 봇 유포

2. 동작방식 [1]

- 특정 서비스(phpMyAdmin, MySQL, FTP, Postgres)를 제공하는 웹 서버를 대상으로 스캔 후 Bruteforce로 액세스 시도\

※ Postgres: 확장 가능성 및 표준 준수를 강조하는 객체-관계형 데이터베이스 관리 시스템

- Bruteforce를 위한 계정 정보 및 C2 서버와 통신을 위한 명령은 스캐너 내에 하드코딩 되어있음

① 80_phpMyAdmin, 21_FTP, 3306_MySQL, 5432_Postgres 포트가 열린 웹 서버를 스캔

② 해당 서버가 phpMyAdmin인지, 다른 서버인지 확인 후 Bruteforce 수행

③ 공격자가 제어하는 C2와 통신하기 위해 서버의 유형에따라 통신 수단이 다름

> phpMyAdmin: 피해 시스템에 IRC 봇 유포

IRC(Internet Relay Chat) 봇
- IRC(Internet Relay Chat) 실시간 채팅 프로토콜에서 작동하는 자동화된 소프트웨어 프로그램
- 일반적으로 프로그래밍 언어의 스크립트로 작성되며, 채팅방에서 입력된 명령어를 인식하고 해당 명령에 따라 프로그래밍 된 동작을 수행

> 타 서비스: 피해 시스템에 웹 쉘 업로드

2.1 네트워크 스캔

- 주어진 대상 IP 대역을 대상으로 phpMyAdmin, MySQL, FTP, Postgres 서비스 검색

2.1.1 phpMyAdmin 서비스

- 스캐너는 80 포트가 Open 되어있는지 확인

- 오픈된 포트를 찾은 경우 스캐너 내 하드코딩된 자격 증명 세트를 이용해 Bruteforce 수행

- 접속 성공 후 IRC 봇 배포 및 C2와 통신을 수행

> IRC 봇은 주기적인 실행을 위해 cron 등록

2.2.2 MySQL, Postgres 서비스

- 스캐너는 3306, 5432 포트가 Open 되어있는지 확인

- 오픈된 포트를 찾은 경우 서버 데이터베이스에 특정 사용자 계정으로 ping을 보냄

- 이후, PostResult 모듈을 호출해 C2 서버와 통신

2.2.3 FTP

- 스캐너는 21 포트가 Open 되어있는지 확인

- 오픈된 포트를 찾은 경우 Golang용 FTP 클라이언트 패키지의 goftp라이브러리를 사용하여 서버에 인증 시도

2.2 C2 통신

- 피해자 서버에 업로드한 웹쉘을 통해 통신을 수행

- 웹쉘에는 리버스 쉘, 바인드 쉘 기능과 패킷 제작 기능이 있음

3. 대응방안

① 모니터링 강화

② 침해지표 IoC 등을 보안장비에 적용

- 참고의 IoC를 참고하여 적용[1]

4. 참고

[1] https://unit42.paloaltonetworks.com/gobruteforcer-golang-botnet/
[2] https://www.boannews.com/media/view.asp?idx=115111&kind=1&search=title&find=GoBruteforcer
[3] https://www.youtube.com/watch?v=_HV3gzZLPWM

1. SIPVicious

- 공개된 인터넷 전화 시스템을 체크하는 스캐너로, 일종의 해킹 도구

- 인터넷상에 연결된 장비 중 인터넷 전화시스템만을 찾아내기 위한 도구

2. Tools

- Python으로 제작된 오픈소스로 5가지 기능이 존재

3. 대응

① 탐지 및 차단

- Rawdata를 확인해 보면 User-Agent 항목에 friendly-scanner가 명시됨

- 해당 항목을 탐지할 수 있도록 정책을 적용

...
sip:100@ ~~~~
Via:SIP/2.0/UDP ~~
From: "sipvicious"~
User-Agent: friendly-scanner
...

- 추가적으로 User-Agent에 다음 값들 또한 명시됨

② 포트 변경

- friendly-scanner는 포트 5060을 검색하므로 포트를 변경

③ 임계치

- 짧은 시간에 다수의 실패 로그가 확인될 경우 일시적 혹은 영구 차단

4. 참고

- https://github.com/EnableSecurity/sipvicious

- https://github.com/EnableSecurity/sipvicious/wiki

- https://blog.kolmisoft.com/sip-attack-friendly-scanner/

- https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=calmroad&logNo=100125510060

 1. Masscan 

- 대량 IP 포트 스캔할 수 있는 인터넷 규모의 포트 스캐너

- 6분 이내에 전체 인터넷을 스캔하여 단일 시스템에서 초당 천만 개의 패킷을 전송할 수 있음

- 과거에는 Nmap을 많이 사용했지만, 큰 범위를 스캔할 때는 속도가 느려져 요즘에는 Masscan을 사용

2. 설치 및 실행

- 다음 명령을 이용해 Masscan를 설치

$ sudo apt-get install gcc git libpcap-dev
$ git clone https://github.com/robertdavidgraham/masscan
$ cd masscan
$ make

- 설치 후 Masscan -h 명령을 통해 사용법을 알 수 있음

- Masscan 결과는 다음과 같음

- Masscan 스캐너를 사용하면 User-Agent 헤더에 Masscan이 명시됨

3. 대응

- robots.txt 파일에 Masscan에 대한 접근을 차단

- User-Agent 헤더에 Masscan으로 명시되기 때문에 해당 문자열을 탐지 가능한 패턴 적용 및 IP 차단

- 짧은 시간에 한 IP에서 포트정보만 변경하여 다수의 요청이 발생할 경우 포트스캔을 의심할 수 있음

 1. ZGrab

- ZMap 프로젝트의 일부

- ZMap과 연동하여 스캔을 수행하는 애플리케이션 계층의 오픈소스 도구

- HTTP, HTTPS, SSH, 텔넷, FTP, SMTP, POP3, IMAP, Modbus, BACNET, SiemensS7 및 TridiumFox를 지원

- TLS 연결을 수행하고 TCP/IP 4443에서 ZMap이 찾는 모든 호스트의 루트 HTTP 페이지를 수집 가능

ZMap
- 인터넷 전체 네트워크 조사를 위해 설계된 고속 단일 패킷 네트워크 스캐너
- 기가 비트로 연결된 컴퓨터에서 Zmap은 전체 공용 IPv4 주소 공간을 45분 이내에 검색할 수 있음
- 10gigE 연결 및 PF_RING으로 ZMap은 5분 만에 IPv4 주소 공간을 스캔할 수

2. 설치

- 다음 명령을 이용해 zgrab2를 설치

$ git clone https://github.com/zmap/zgrab2.git
$ cd zgrab2
$ make

- 설치 후 ./zgrab2 --help 명령을 통해 사용법을 알 수 있음

- zgrab 스캐너를 사용하면 User-Agent 헤더에 zgrab이 명시됨

3. 대응

- robots.txt 파일에 zgrab에 대한 접근을 차단

- User-Agent 헤더에 zgrab으로 명시되기 때문에 해당 문자열을 탐지 가능한 패턴 적용 및 IP 차단

- 짧은 시간에 한 IP에서 포트정보만 변경하여 다수의 요청이 발생할 경우 포트스캔을 의심할 수 있음