자신의 소행이라 밝힌 해커, 페이스트빈에 자세한 방법 공개
표적 공격 어떻게 이루어지는지 잘 보여주는 교과서 같은 사례
.jpg)
▲ 밑줄 쳐가며 공부해야 할 듯
[보안뉴스 문가용] 피니아스 피셔(Phineas Fisher) 혹은 핵백!(Hack Back!)이라는 이름으로 활동 중인 익명의 해커가 지난해 이탈리아의 해킹팀(Hacking Team)을 자신이 해킹한 것이라고 밝히며 세부 내용을 공개해 보안업계에 큰 파장이 일고 있다. 해킹팀은 주문에 따라 해킹을 해주거나 취약점을 판매하는 보안업체로, 지난해 해킹을 당해 회사 내에서만 알고 있던 제로데이 취약점이나 여러 나라의 정부들로 주로 구성된 고객 명단이 공개되는 일을 겪은 바 있다.
현재 핵백!의 해킹 수법은 페이스트빈(Pastebin)에 공개되어 있으며 해외 외신들은 “CISO라면 반드시 읽어야 할 내용”이라고 묘사하고 있다. 해당 내용은 여기 링크에 공개되어 있다(영문). 내용 속에는 핵백!이 얼마나 치밀하게 공격을 준비하고 실행했는지, 얼마나 끈기 있게 기회를 기다렸는지가 묘사되어 있다. 해커들이 누군가를 표적삼아 공격할 때 얼마나 무서울 수 있는지 보여주는 좋은 사례다.
핵백!은 현재 antisec이라는 해시태그를 사용하고 있는데, 아직 antisec의 정체에 대해서는 뚜렷하게 밝혀진 바가 없다. 룰즈섹(LulzSec)이나 어나니머스(Anonymous)와 종종 연결되기도 하나 ‘보안업계 전체에 대항한다’는 의미로도 사용되기도 한다. 과연 그가 핵티비스트인지 그저 사이버 범죄인인지 판가름하는 것 역시 힘든 상태다. 하지만 문서 내내 ‘이탈리아 정부의 파시즘’이나 ‘현재 사회에 팽배한 악’ 등을 자주 언급하고 있어 정치적인 의도를 가진 핵티비스트 쪽으로 의견이 기울고 있다.
일단 핵백!은 ‘스피어피싱’은 절대로 하지 않았다고 설명하고 있다. 해킹팀이란 회사 자체가 스피어피싱을 악용하는 전문가들인데, 그런 기초적인 공격법이 제대로 통할리 없다고 판단한 것이다. 한편 다른 기업이나 조직의 네트워크처럼 다른 해커들이 미리 만들어 놓은 구멍도 하나 없었다고 한다. 핵백!에 다르면 포춘이 선정한 세계 500대 기업에는 거의 전부 이런 ‘구멍’이 하나쯤은 있다고 한다. 네트워크를 훑고 지나가는 해커가 한둘이 아니라는 것이다.
하지만 해킹팀은 스스로 해킹을 하는 기업이기도 하고 규모도 작아 그런 허점은 없었다. 그래서 직접 해킹하는 방법을 선택했다. 그는 “세 가지 옵션이 있었다”며 “줌라(Joomla)의 제로데이 취약점을 찾거나 임베디드 기기 중 하나에서 제로데이 취약점을 찾거나 포스트픽스(postfix)에서 찾거나”라고 열거했다. 핵백!은 임베디드 기기를 선택했고 2주에 걸쳐 리버스 엔지니어링을 진행해 원격 제로데이 루트 익스플로잇을 발견했다. 해당 취약점은 아직도 고쳐지지 않은 채라고 그는 덧붙이기도 했다.
들어갈 구멍을 마련하는 데에 성공하긴 했지만 핵백!은 서두르지 않았다고 한다. 준비과정이 필요했다. “백도어가 될 만한 펌웨어를 하나 만들었습니다. 그리고 여러 익스플로잇 이후 사용할 툴들도 만들었죠. 상주하는 게 아니라 그 펌웨어를 통해 들락날락 거리면 발견하는 게 매우 어려워지죠. 취약점 패치가 될 가능성도 덩달아 낮아지고요.”
제일 중요한 건 눈에 띄지 않는 것이었다. 그래서 그는 침입에 성공한 후에도 거의 아무것도 하지 않았다고 한다. 다만 지켜볼 뿐이었다. 그러다가 찾는 걸 발견했다. 백업 체제가 부실한 것이었다. “문서 상으로는 iSCSI 기기를 다른 네트워크에 연결시켜서 사용해야 했는데, 실상은 그렇지 않더군요. 그게 바로 제가 찾는 취약점이었습니다.”
그렇게 백업 기기로의 출입로를 발견한 후 핵백!은 프록시와 메타스플로잇의 psexec_psh를 사용해 meterpreter 세션을 얻어낼 수 있었다고 설명한다. 그런 후 64비트 프로세스로 옮겨가 load kiwi와 creds_wdigest를 실행했다. 암호도 다수 얻어냈는데, 그 중에는 Domain Admin 계정에 대한 암호도 있었다. 핵백!은 해당 포스트에서 “관리자 계정의 암호가 무려 P4ssword였다”고 비웃고 있기도 하다.
이 문건은 단순히 ‘해킹팀이란 회사에 대한 해킹 기법’을 설명한 것이 아니다. 오히려 마음을 독하게 먹은 수준 높은 해커가 어떤 방식으로 표적을 공격하는지가 드러난 ‘교과서’와 같은 것이다. 문서를 통해 핵백!은 기술 및 툴 사용에 대해 아주 자세히 묘사하고 있다. 해외 외신들이 보도하는 대로, 한번쯤 읽어볼만한 내용이다.
[국제부 문가용 기자(globoan@boannews.com)]
표적 공격 어떻게 이루어지는지 잘 보여주는 교과서 같은 사례
▲ 밑줄 쳐가며 공부해야 할 듯
[보안뉴스 문가용] 피니아스 피셔(Phineas Fisher) 혹은 핵백!(Hack Back!)이라는 이름으로 활동 중인 익명의 해커가 지난해 이탈리아의 해킹팀(Hacking Team)을 자신이 해킹한 것이라고 밝히며 세부 내용을 공개해 보안업계에 큰 파장이 일고 있다. 해킹팀은 주문에 따라 해킹을 해주거나 취약점을 판매하는 보안업체로, 지난해 해킹을 당해 회사 내에서만 알고 있던 제로데이 취약점이나 여러 나라의 정부들로 주로 구성된 고객 명단이 공개되는 일을 겪은 바 있다.
현재 핵백!의 해킹 수법은 페이스트빈(Pastebin)에 공개되어 있으며 해외 외신들은 “CISO라면 반드시 읽어야 할 내용”이라고 묘사하고 있다. 해당 내용은 여기 링크에 공개되어 있다(영문). 내용 속에는 핵백!이 얼마나 치밀하게 공격을 준비하고 실행했는지, 얼마나 끈기 있게 기회를 기다렸는지가 묘사되어 있다. 해커들이 누군가를 표적삼아 공격할 때 얼마나 무서울 수 있는지 보여주는 좋은 사례다.
핵백!은 현재 antisec이라는 해시태그를 사용하고 있는데, 아직 antisec의 정체에 대해서는 뚜렷하게 밝혀진 바가 없다. 룰즈섹(LulzSec)이나 어나니머스(Anonymous)와 종종 연결되기도 하나 ‘보안업계 전체에 대항한다’는 의미로도 사용되기도 한다. 과연 그가 핵티비스트인지 그저 사이버 범죄인인지 판가름하는 것 역시 힘든 상태다. 하지만 문서 내내 ‘이탈리아 정부의 파시즘’이나 ‘현재 사회에 팽배한 악’ 등을 자주 언급하고 있어 정치적인 의도를 가진 핵티비스트 쪽으로 의견이 기울고 있다.
일단 핵백!은 ‘스피어피싱’은 절대로 하지 않았다고 설명하고 있다. 해킹팀이란 회사 자체가 스피어피싱을 악용하는 전문가들인데, 그런 기초적인 공격법이 제대로 통할리 없다고 판단한 것이다. 한편 다른 기업이나 조직의 네트워크처럼 다른 해커들이 미리 만들어 놓은 구멍도 하나 없었다고 한다. 핵백!에 다르면 포춘이 선정한 세계 500대 기업에는 거의 전부 이런 ‘구멍’이 하나쯤은 있다고 한다. 네트워크를 훑고 지나가는 해커가 한둘이 아니라는 것이다.
하지만 해킹팀은 스스로 해킹을 하는 기업이기도 하고 규모도 작아 그런 허점은 없었다. 그래서 직접 해킹하는 방법을 선택했다. 그는 “세 가지 옵션이 있었다”며 “줌라(Joomla)의 제로데이 취약점을 찾거나 임베디드 기기 중 하나에서 제로데이 취약점을 찾거나 포스트픽스(postfix)에서 찾거나”라고 열거했다. 핵백!은 임베디드 기기를 선택했고 2주에 걸쳐 리버스 엔지니어링을 진행해 원격 제로데이 루트 익스플로잇을 발견했다. 해당 취약점은 아직도 고쳐지지 않은 채라고 그는 덧붙이기도 했다.
들어갈 구멍을 마련하는 데에 성공하긴 했지만 핵백!은 서두르지 않았다고 한다. 준비과정이 필요했다. “백도어가 될 만한 펌웨어를 하나 만들었습니다. 그리고 여러 익스플로잇 이후 사용할 툴들도 만들었죠. 상주하는 게 아니라 그 펌웨어를 통해 들락날락 거리면 발견하는 게 매우 어려워지죠. 취약점 패치가 될 가능성도 덩달아 낮아지고요.”
제일 중요한 건 눈에 띄지 않는 것이었다. 그래서 그는 침입에 성공한 후에도 거의 아무것도 하지 않았다고 한다. 다만 지켜볼 뿐이었다. 그러다가 찾는 걸 발견했다. 백업 체제가 부실한 것이었다. “문서 상으로는 iSCSI 기기를 다른 네트워크에 연결시켜서 사용해야 했는데, 실상은 그렇지 않더군요. 그게 바로 제가 찾는 취약점이었습니다.”
그렇게 백업 기기로의 출입로를 발견한 후 핵백!은 프록시와 메타스플로잇의 psexec_psh를 사용해 meterpreter 세션을 얻어낼 수 있었다고 설명한다. 그런 후 64비트 프로세스로 옮겨가 load kiwi와 creds_wdigest를 실행했다. 암호도 다수 얻어냈는데, 그 중에는 Domain Admin 계정에 대한 암호도 있었다. 핵백!은 해당 포스트에서 “관리자 계정의 암호가 무려 P4ssword였다”고 비웃고 있기도 하다.
이 문건은 단순히 ‘해킹팀이란 회사에 대한 해킹 기법’을 설명한 것이 아니다. 오히려 마음을 독하게 먹은 수준 높은 해커가 어떤 방식으로 표적을 공격하는지가 드러난 ‘교과서’와 같은 것이다. 문서를 통해 핵백!은 기술 및 툴 사용에 대해 아주 자세히 묘사하고 있다. 해외 외신들이 보도하는 대로, 한번쯤 읽어볼만한 내용이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
