반응형

토픽 스터디 / 정보보안 / XSS(Cross Site Scripting) 취약점 - 해킹

 

키워드 : XSS, 취약점, OWASP, CSRF, 자바스크립트, 쿠키

XSS(Cross Site Scripting) 취약점 개념

악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법입니다. 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취합니다. 

 

 

XSS(Cross Site Scripting) 공격 종류

1)반사형 XSS(지속적이지 않음)

공격자가 HTTP 요청에 악성 콘텐츠를 주입하면 그 결과가 사용자에게 "반사되는" 형태입니다. 물론 공격자가 자기 자신을 악용하고자 할 가능성은 별로 없지만 링크를 클릭하도록 피해자를 속이고 유인해 세션을 하이재킹할 수 있습니다.

출처 : 안랩

 

2)저장형 XSS(stored XSS, 지속형)

공격자가 웹 애플리케이션을 속여 웹 애플리케이션 데이터베이스에 악성코드를 저장하도록 하는 수법입니다. 서버에 저장된 악성 코드는 시스템 자체를 공격할 수 있고 웹 앱 사용자 상당수, 또는 전체에 악성 코드를 전송할 수도 있습니다.

출처 : 안랩

 

3)문서 객체 모델(document object model, DOM) 기반 XSS

웹 애플리케이션 서버 측이 아닌 클라이언트 측 코드를 공격하며 그 대상은 자바스크립트인 경우가 많고 피해자의 브라우저에서 악성코드를 실행합니다. 

출처 : 안랩

XSS(Cross Site Scripting) 공격 피해

1) 쿠키 정보/세션 ID 획득
웹 애플리케이션이 세션 ID를 쿠키에 포함하는 경우 XSS 공격을 통해, 클라이언트의 합법적인 세션 ID를 획득하여 불법적으로 정상 사용자로 가장할 수 있습니다.

2) 시스템 관리자 권한 획득
XSS 취약점을 이용하여 사용자 브라우저 취약점을 공격하여 PC를 완전히 통제할 수도 있습니다. 공격자는 XSS 취약점 있는 웹 서버에 다양한 악성 데이터를 포함시켜 놓은 후, 사용자의 브라우저가 악성 데이터를 실행하는 경우 자신의 브라우저 있는 제로데이 취약점 또는 패치되지 않은 취약점을 공격하는 공격 코드가 실행되면서 사용자 시스템을 완전히 통제할 수 있습니다. 

3) 악성코드 다운로드
XSS 공격은 사용자가 악성 스크립트가 있는 URL을 클릭하도록 유도하여 악성 프로그램을 다운로드 받는 사이트로 리다이렉트(redirect) 하거나, 트로이목마 프로그램을 다운로드하여 설치할 수 있습니다. 

 

XSS와 CSRF의 차이점

XSS 공격과 CSRF(Cross-site request forgery)는 피해자의 브라우저를 목표로 하는 비슷한 공격입니다. 가장 큰 차이점은 CSRF는 사용자의 인증된 세션을 악용하며(예를 들어, 은행 계좌 로그인), XSS는 인증된 세션이 없어도 공격 효과를 거둘 수 있다는 점입니다.

 

XSS(Cross Site Scripting) 취약점 예방

1)입출력 값 검증
사용자가 입력한 값에 대한 검증과 사용자가 입력한 값을 그대로 출력할 때 검증이 필요합니다. XSS Cheat Sheet 에 대한 필터 목록을 만들어 모든 Cheat Sheet에 대한 대응이 가능하도록 하여야 합니다. 

2) XSS 방어 라이브러리 , 브라우저 확장앱 사용
XSS를 막아주는 Anti XSS 라이브러리를 여러 회사에서 제공하는데 이 라이브러리를 사용하면 손쉽게 XSS를 방어할 수 있습니다. XSS 라이브러리를 사용하는 것은 서버 단에서 개발자가 추가하는 것이고, 사용자들이 각자 본인의 브라우저에서 악의적인 스크립트가 실행되지 않도록 방어하는 것이 중요합니다. 

 

3)웹 방화벽 사용
웹 방화벽은 웹 공격에 특화되어있기 때문에 XSS 공격을 방어하기 위함만이 아니라 각종 Injection 공격을 효과적으로 방어할 수 있습니다.

 

 

참고 문헌

나무위키 XSS

XSS(Cross-Site Scripting) 이란?

"공격자와 방어자 모두가 따기 쉬운 열매"…XSS 공격의 이해

KISA Report : 크로스사이트스크립팅(XSS) 공격종류 및 대응방법

반응형
반응형

토픽 스터디 / 정보보안 /워너크라이(WannaCry) 랜섬웨어 - 악성코드

 

주요 키워드 

랜섬웨어, 멀웨어툴, 서버 메시지 블록(SMB), 원격코드의 취약점

 

워너크라이(WannaCry)의 개념

Windows SMB 취약점을 악용해 유포되기 시작한 랜섬웨어입니다.워너크라이(WannaCry)랜섬웨어에 감염되면, 파일 확장자를 ".WNCRY”으로 변경하고, 랜섬머니로 300달러 이상 가치의 비트코인을 요구합니다.

 

워너크라이(WannaCry)의 원인

Microsoft Windows의 SMB 취약점을 통해 동일 네트워크상에서 급격히 감염이 이뤄지고 있습니다.

 

 

워너크라이(WannaCry)의 특징

윈도우 운영체제의 공유 프로토콜 SMBv1 원격코드의 실행 취약점을 악용해 PC와 서버로 전파되었습니다.
네트워크 웜(Network WORM) 기반 공격으로 인터넷 연결만으로도 감염되며, 파일명에 ‘.WNCRY’가 붙어 ‘파일명.jpg.WNCRY’와 같은 식으로 파일명을 변경합니다. 웜(WORM) 형태로 확산되는 새로운 랜섬웨어로 대부분의 컴퓨터에서 보안 업데이트가 자동으로 적용되지만, 일부 사용자와 기업에서는 패치 배포가 지연되거나 업데이트하지 않는 경우가 많은 점을 노렸습니다.

 

워너크라이(WannaCry)의 동작 원리

워너크라이 랜섬웨어는 MS17-010(Microsoft Windows SMB 서버용 보안 업데이트)을 설치하지 않은 버전을 감염킵니다. 이 취약점을 이용해 SMBv1 서버에 원격 코드를 실행해 mssecsvc 2.0이란 서비스를 만들고, 감염된 시스템 IP 주소를 확인해 동일한 서브넷의 각 IP주소의 445포트 연결을 시도했습니다. 원격지 SMBv1 서버에 연결이 성공하면 MS17-010 취약점을 이용해 웜과 같이 확산했습니다.

 

또한, 워너크라이는 실행시 네트워크에 공유된 이동식 저장장치를 포함한 디스크 드라이브를 확인해 파일들을 RSA 2048 비트로 암호화합니다. ‘cmd.exe/vssadmin.exe/WMIC.exe’의 윈도우 명령어를 이용해 액세스 권한 등을 모든 사용자에게 허용함으로서 원활한 실행을 구현했습니다. SMB 프로토콜은 중개경로가 되고 그 경로를 이용해 실제 랜섬웨어 파일을 옮겨 감염되게 하는 형식은 기존 랜섬웨어와는 다른 것으로 분석되고 있습니다.

워너크라이 감염 아키텍처[자료: 한국랜섬웨어침해대응센터]

 

워너크라이(WannaCry)의 피해 

영국에서는 국립건강서비스 산하 16개 대형병원이 공격을 받아 진료중단 및 타병원으로 환자를 긴급 이송했으며, 스페인에서는 대형 통신사 텔레포니카가 일부 업무를 중단되었습니다. 프랑스에서는 르노 자동차가 공장 일부의 가동을 중지했으며, 독일 철도 티켓 발행기는 일부 발행이 중단되었습니다. 인도네시아의 국립 암센터 등 대형 종합병원 두 곳 역시 일부 진료를 중단하는 사태가 벌어졌습니다. 

우리나라에서의 피해 역시 확산되었습니다. 글로벌 본사에서는 제조공정 서버 및 PC가 감염되어 공장 일부의 가동이 중지됐으며, 한 대기업에선 보안관제센터 모니터링 PC가 감염돼 PC 운영을 중단하고 포맷한 것으로 알려졌습니다. 대형 종합병원도 이번 공격으로 일부 업무가 중단됐으며, IoT 장비 모니터링 서버가 감염돼 서버 운영을 중지하고 포맷한 것으로 분석되었습니다.

 

워너크라이 방어 전략 

△ 랜섬웨어 방어를 위한 글로벌 표준
- 랜섬웨어가 침해하지 못하는 전문 백업제품을 사용하여 사전에 백업받을 것
- 랜섬웨어 차단 가능한 백신으로 업데이트할 것
- 이메일 첨부파일 열람에 주의를 기울일 것
- 윈도우 업데이트로 보안취약점을 없앨 것
- 이메일 링크로 접속 말고, 직접 접속할 것
- 회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

△ 랜섬웨어 방어를 위한 정책 제안
- 해커를 살찌우는 비트코인 송금의 불법화 정책 수립
- 부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전 과정에
대한 추적과정의 DB화
- 사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업해 IT 재해 상황 대비
- 기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT
공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치가 필요

 

 

참고문헌 

전세계로 확산되는 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어 이슈 정리 및 조치 방안
[워너크라이 랜섬웨어 사태] 사이버 보안의 악몽이 된 랜섬웨어의 진화

위키백과 워너크라이

반응형

+ Recent posts