Infosec Ledger

콘텐츠 전송 네트워크(CDN) 기업 아카마이가 HTTP/2 기반의 웹사이트를 위해 150개가 넘는 고객사와 협력하고 있다고 11월23일 밝혔다.

아카마이코리아는 보도자료를 통해 “아카마이는 HTTP/2 개발을 이끄는 국제인터넷표준화기구(IETF)의 HTTP 워킹 그룹에 동참하고 있다”라며 “150여 인터넷 업계 리더들과 협력해 새로운 HTTP/2 프로토콜 정의에 중요한 역할을 담당하고 있다”라고 설명했다. 아카마이는 HTTP/2 기여를 통해 사용자, 콘텐츠, 서비스 사업자, 개발자, 인터넷 커뮤니티 전반의 인터넷 환경을 향상시킬 심산이다.

HTTP/2는 HTTP 프로토콜의 두 번째 버전으로 약 20년만에 처음으로 업데이트됐다. HTTP/2는 ▲다중화 ▲동시성 ▲헤더 압축 ▲서버 푸시 ▲전반적 개발 복잡성 감소 등을 제공해 웹 성능과 보안 및 프라이버시를 개선해 주는 것이 특징이다. 급격히 진화해 온 웹사이트에 비해 근본 기술인 프로토콜은 상대적으로 정체됐던 만큼 HTTP/2 업데이트는 업계 큰 관심을 받고 있다.

▲사진:아카마이 블로그

아카마이는 “현재 아카마이 CDN 요청의 70% 이상이 HTTP/2 지원 브라우저에서 발생한다”라며 “환경설정 기능을 통해 HTTP/2 구축을 제어하고 내장 모니터링 및 결과보고 기능으로 영향을 측정하는 등 HTTP/2로 전환하는데 필요한 도구와 서비스를 제공하고 있다”라고 설명했다.

애쉬 쿨카니 아카마이 웹 경험 담당 전무이사 겸 총괄 책임자는 “HTTP/2는 제한된 무선 네트워크 환경에서 모바일 사용자에게 즉각적인 웹 경험을 제공할 수 있어 중요한 역할을 한다”라며 “성능 향상이라는 장점 외에 아카마이의 선두 TLS(Transport Layer Security) 솔루션을 HTTP/2 프로토콜과 통합해 더욱 빠르고 안전한 인터넷을 제공할 것”이라 밝혔다.

아카마이 고객이자 통합 여행 경비 관리 솔루션 및 서비스 기업인 컨커 관계자는 “네트워크가 불안정한 상황에서도 서비스를 잘 전달하기 위해선 HTTP/2같은 네트워크 기술 발전이 중요하다”라고 “아카마이가 지원하는 HTTP/2를 활성화하는데 약 30초 밖에 걸리지 않았고, 모바일 페이지 로딩 시간이 최대 68% 증가하는 등 성능 향상을 경험하고 있다”라고 설명했다.

출처 : http://www.bloter.net/archives/244389

User-Agent: friendly-scanner
friendly-scanner는 SIP/VoIP 포트 스캐너로, 포트를 발견하면 추가적으로 무차별 인증시도를 한다.

RAWDATA

OPTIONS ~~~~
D_port:5060(VoIP)

From: "sipvicious"', User-Agent: friendly-scanner

참고
https://www.youtube.com/watch?v=Zp_gzjV8l4c

base64 encode PHP Execute

RAWDATA

POST/index.php?s=/abc/abc/abc/${@print(eval($_POST[c]))}

c=@eval(base64_decode($_POST[x0]));

x0=ZWNobyAiLT58MTIzfDwtIjs=

s=/abc/abc/abc/${@print(eval($_POST[c]))}

공격자는 HTTP Requset에 따른 Response를 바로 확인하기 위해 print 함수를 사용하고, 이를 통해 취약한 서버임을 확인 할 수 있다.

c=@eval(base64_decode($_POST[x0]));

위는 x 0 파라미터를 base64로 디코딩한 결과 값이다. IDS/IPS/WAF 등 보안 장비를 우회하기 위한 방법이다.

만약 공격이 성공했다면 ->|123|<-를 출력한다.

Hash Table DOS

GET, POST 메소드로 전송되는 파라미터 값을 접근하기 쉽고 빠르게 하기 위해 Hash Table 구조로 관리

많은 파라미터 요청 시 Hash Table 충돌발생 → CPU 부하 → 서비스 지연 or 서비스 불가

*회원가입 페이지 또는 게시글 업로드 페이지를 작성 후에 POST 메소드로 전송되는 Content-Disposition의 수가 많을 경우, 일부 오탐 가능성이 있을 수 있으므로 적절한 임계치 설정이 필요함

http://www.amanhardikar.com/mindmaps/Practice.html

HTTP CONNECT Proxy Request

RAWDATA

CONNECT mx0.mail2000.com.tw:25

CONNECT mx1.mail2000.com.tw:25

CONNECT mx2.mail2000.com.tw:25

CONNECT mx3.mail2000.com.tw:25

공격자들은  HTTP CONNECT 메소드로 Open proxy 서버를 스캔하고, Open Proxy 취약점이 있을 경우 SMTP 포트로 붙어 스팸메일을 보내거나 기타 공격을 할 수 있음

*Open Proxy : 누구나 자유롭게 접속하여 사용할 수 있는 프록시 서버

PS4 Forensic.pdf

http://ac.els-cdn.com/S1742287615000146/1-s2.0-S1742287615000146-main.pdf?_tid=8ee1a960-8e7e-11e5-9758-00000aacb35f&acdnat=1447911171_ffdbbd4e78f74eabef7557eae2d1057a

Forensic_Analysis_of_Drones_DavidKovar.pdf

https://files.sans.org/summit/Digital_Forensics_and_Incident_Response_Summit_2015/PDFs/ForensicAnalysisofsUASakaDronesDavidKovar.pdf

Tor_Forensics_On_Windows_OS_Mattia_Epifani.pdf

https://digital-forensics.sans.org/summit-archives/dfirprague14/Tor_Forensics_On_Windows_OS_Mattia_Epifani.pdf

forensic-bitcoin-cryptocurrency_11168.pdf

https://digital-forensics.sans.org/community/papers/gcfa/forensic-bitcoin-cryptocurrency_11168https://digital-forensics.sans.org/community/papers/gcfa/forensic-bitcoin-cryptocurrency_11168

분산서비스거부(Distributed Denial of Service, 이하 DDoS) 공격은 해가 갈수록 증가하고 있으며, 공격 규모 또한 기하급수적으로 증가하고 있다. 미국의 네트워크 보안회사 Arbornetworks에 따르면 지난 10년 동안 DDoS 공격의 최대 규모가 8Gbps에서 400Gbps 증가했다고 밝혔다. 또한 400Gbps 규모로 감행된 공격은 분산반사서비스거부(Distributed Reflection Denial of Service, 이하 DRDoS) 공격으로 밝혀졌다. 공격기법은 갈수록 점점 다양화, 지능화되고 있으며 보안 침해사고방지 및 대응을 위해서 관련 공격기법에 대한 전반적인 이해는 필수이다. 올바른 윤리의식을 가지고 공격기법에 대한 이해를 겸하고 있는 보안 전문가는 우리 사회에 반드시 필요한 인재이며, 이것이 내가 보안을 공부하면서 가지는 가치관이다.

최근의 DDoS들은 네트워크 프로토콜의 특성을 악용하고 정상적인 서비스를 운영하고 있는 시스템을 공격의 반사체(Reflector)로 이용해 공격 규모를 더욱 증폭(Amplification)시킨다. 이러한 공격을 DRDoS라고 일컫는데, DDoS 보다 한 단계 진화된 공격이라 볼 수 있다.
 

*공격명이 DRDoS 또는 Amplification Attack으로 같이 쓰이고 있는데 프로토콜 자체의 특성을 이용하여 증폭률을 높이는 방법, 취약한 서버를 반사체로 이용하는 방법, 두 방법 모두 공격 규모를 증폭시키는 것이 목적이므로, 굳이 공격명을 혼용할 필요가 없다고 판단하여 DRDoS로 통일하여 작성하였다.

DRDoS공격은 보통 다음과 같은 방법으로 이루어진다.
1) 공격자는 출발지 IP를 공격대상 IP로 변조한 후 취약한 서버들에 패킷의 크기를 증폭 시키는 요청을 한다.

NTP monlist 요청을 예로들면, 최근 접속한 600개의 클라이언트 정보를 전송하기 때문에 응답 패킷의 크기가 증폭 됨

2) 출발지 IP가 공격대상 IP로 변조되었으므로 증폭 된 패킷이 공격대상 IP로 전달된다.

3) 결과적으로 수많은 서버로부터 증폭된 응답 패킷을 받은 공격대상은 정상적인 서비스를 할 수 없게 된다.

1) 10~500배 이상의 트래픽을 증폭시킬 수 있다.

→ 정상적인 서비스를 하는 반사서버(Reflector)와 프로토콜별 특성을 악용해 가능하다.

→ 언제든지 역사적인 규모의 DRDoS가 발생 할 수 있다.

2) 우월한 공격자 은닉이 가능하다.

→ 오류 검사를 하지 않는 UDP 프로토콜의 특징을 이용해 출발지IP Spoofing이 쉽게 가능하고, 수 많은 Reflector와 좀비PC를 경유하므로, 그 근원지의 역추적 또한 거의 불가능하다.

3) 인터넷에 접속된 라우터나 프린터 등 들어오는 패킷에 응답하는 모든 장비들이 잠재적으로 공격에 활용될 수 있다.

→ 2014년 5월 국내 게임업체를 대상으로 NTP DRDoS가 발생하여 KISA에서 조사한 결과, 공격에 사용된 시스템은 냉/난방 관리용 셋톱박스로 밝혀졌다.

공격자들은 증폭률이 높고, 대부분의 서버에서 서비스하고 있는 프로토콜을 활용한다. 아래 표는 US-CERT에서 DRDoS에 이용되는 UDP-based 프로토콜의 증폭률과 증폭시키기 위한 커맨드를 정리한 내용이다.

https://en.wikipedia.org/wiki/Denial-of-service_attack#Reflected_.2F_spoofed_attack

https://www.stateoftheinternet.com/faq-best-practices-drdos-attacks-what-is-dr-dos-reflection.html

https://www.us-cert.gov/ncas/alerts/TA14-017A

http://www.etnews.com/20140516000085

학습을 목적으로 작성 된 문서입니다. 질문 & Feedback은 언제든지 환영합니다.
동의없이 무단 배포 및 수정을 허용하지 않습니다.