Boris's Lab

최근 편리함과 효율성을 앞세워 CCTV 에 랜기능을 탑재하고 있습니다. 이미 보편화되어 그 수가 무시할 수 없는 수준인데, 이를 악용해 DDoS 공격에 활용하고 있다고 합니다. 일반 PC처럼 OS가 탑재되어 있기 때문인데, 특히 리눅스 계열의 CCTV 900대 정도에서 DDoS 신호가 발생하는 것을 감지하였고, 실제 CCTV를 분석해본 결과 탤넷이나 SSH 기능이 활성화 되어있어 원격에서 조종할 수가 있었다고 합니다. 

초기 설정을 그대로 사용하는 행동이나 쉬운 비밀번호로 설정하는 행동이 이런 결과를 초래할 수 있다고 하는데, 실제로 CCTV 뿐만 아니라 NAS에서도 일부 패킷이 감지되었다고 합니다. 추측하기로는 무작위 대입법을 이용했을 것이라고 하네요. 

사실 이러한 문제는 과거에서 부터 계속 언급되어왔던 부분입니다. 앞으로 이러한 형태에 IoT 가전이 많이 증가할텐데, 기기마다 별도의 초기 비밀번호를 부여(현 통신사 공유기 정책)한다거나 자동 업데이트 기능 탑재 등의 보안 대책을 수립에 대해 진지하게 고민해 보아야 할 시점이 아닌가 싶습니다. 여기에는 무엇보다도 제조사나 유통사의 지속적인 지원이 바탕이 되어야 겠지요.

[IT World] CCTV 카메라도 DDoS 공격에 이용…기본값 설정 사용이 허점 - http://mcaf.ee/7bo9d8

비교적 강력한 암호화 기술로 알려진 SHA-1이 더 이상 안전하지 않은 것 같습니다. 일반적으로 강력한 암호화 기술들은 해시값을 가지고 있어도 실제 평문을 알아내기 위해서는 브루트 포싱 방식을 사용해야 하며, 찾았다고 해도 충돌에 의해 실제 평문이 아니라 다른 평문값이 나올 수 있는 특징이 있습니다.

특히나, 평문을 찾아내기 위해서는 소요되는 시간이 너무나 오래 걸려 사실상 복호화가 불가능하다고 알고 있었습니다. 

하지만, 연구자들은 해시값 자체를 키 값으로 사용하는 기존 서명시스템에서는 기존의 평문이 어떻든, 동일한 해시값을 갖는 또 다른 평문을 찾아내기만 하면 도용이 충분히 가능하다는 것을 이용하였습니다. 

여기다가 아마존의 클라우드 컴퓨팅과 비트코인 채굴에나 쓰일법한 고속 연산이 가능한 그래픽카드까지 활용해 평문을 찾아내기 위한 시간을 획기적으로 단축하였습니다. 기술이 발전하면서 기존의 예상했던 교체 예상시기를 훨씬 앞당겼다고 하네요. 

범죄자 입장에서는 서명 도용을 통해 상당한 돈을 벌 수 있다는 점으로 볼 때 추후 악용될 가능성이 매우 높습니다. 

다행히 SHA-2, 3에는 해당되지 않는다고 하니 기존의 교체 권고기간을 앞당겨 서서히 교체해 나가야 겠습니다. 

[보안뉴스] 각종 인증서 기본이 되는 SHA-1에 충돌 공격 비상 - http://mcaf.ee/urc2h7

XE 1.7.3.2의 LFI(Local File Inclusion)에 사용된 기술 입니다. (참고 : http://webhackerkhuti.blogspot.kr/2013/10/xe-1732-lfi.html)

PNG의 IDAT 부분에 웹셀코드를 삽입한 뒤, 나중에 PHP 형식으로 로드하면 웹쉘로 사용할 수 있습니다. 

정상적인 사진파일처럼 인식하기 때문에 이미지 라이브러리에서도 에러없이 사용 가능합니다.

웹쉘 코드를 이미지 코드속에 숨기고 싶을 때 참고하시기 바랍니다. 

원본 : https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/

Encoding Web Shells in PNG IDAT chunks.pdf