메뉴 바로가기

본문으로 바로가기



정보보호 권고

HOME > 정보센터 > 정보보호 권고

제목
특정 통신 프로토콜 운영 장비 대상 사이버 공격 대비 보안 강화 요청
작성일 18.04.18
파일첨부 A3-AEGIS-20180418-01[MIDDLE] 특정 통신 프로토콜 운영 장비 대상 사이버 공격 대비 보안 강화 요청.pdf

□ 개요
 o
외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로 한 사이버 공격 대비 주의 당부

 * Generic Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management Protocol(SNMP) 


□ 주요 내용

 o (정보수집) 외부에서 접근 가능한 운영 장비 탐색*

 * Telnet(포트 23), HyperText Transfer Protocol(HTTP, 포트 80), Simple Network Management Protocol(SNMP,포트 161/162), Cisco Smart Install(SMI, 포트 4786)

 o (감염시도) 탐색을 통해 수집한 장비를 대상으로 특수하게 조작된 SNMP SMI 패킷 전송함

 o (악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드 설치

 o (명령 및 제어) 공격자는 악성코드를 통해 장비 제어

 

□ 대응방안

 o 비암호화 프로로토콜을 사용하는 Telnet SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH SNMPv3과 같은 최신 암호화된 프로토콜 사용권고

 o 외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI ) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한 접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토

 o SMI 활성화 여부 확인 및 공격 시도 탐지

   - (SMI 활성화 확인) 다음 명령을 통해 활성화 확인

     (명령) show vstack config | inc

     (명령) show tcp brief all

   - (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios execute의 사용을 감지

     alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)




  alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)


  alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content: "|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)


 o 인가되지 않은 IP주소로부터 접근하는 GRE 트래픽의 유무 또는 알 수 없는 GRE 터널의 생성, 수정 또는 삭제 로그가 있는지 검사


 


[참고사이트]


 [1] https://www.us-cert.gov/ncas/alerts/TA18-106A

 [2] https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices


 

이전글 LG전자 NAS 원격 명령 실행 취약점 주의 권고
다음글 Adobe 제품군 보안 업데이트 권고