반응형
작년에 "TCL 로 Cisco 라우터에 백도어 심기" 라는 글을 올린 후 많은 분들이 이걸 직접 따라해보셨더군요.
Cisco 에뮬레이터인 Dynamips 를 이용해 cisco 라우터 이미지를 올려서 직접 테스트해보신 사례를 블로고스피어에서 심심찮게 찾아볼 수 있었습니다.

Dynamips 이용한 테스트 : http://blog.naver.com/mongu2/140048866200

그러나 Cisco 의 enable 패스워드를 획득한 상태에서 관리자 권한으로 백도어를 심는 것은 약하게 느껴지죠. 여러분이 대기업의 엣지 라우터를 장악했다. 그러면 이 상태를 가장 효과적으로 이용하는 것은 무엇이겠습니까?

네, GRE 터널링을 이용해 내부 네트워크에 transparent 하게 접근하거나, 패킷 스니핑을 이용해 내부자들의 ID/Password 를 획득하는 것이겠죠.

1. GRE 터널링을 이용한 공격 기법 : http://www.securityfocus.com/infocus/1847
2. TCL-pcap 을 이용한 스니핑 : http://www.tcl.tk/community/tcl2007/papers/Hari_Narayanan/TclPcapExtension.pdf

1번째 기법은 자주 사용되는 기법이지만, 고객사 네트워크를 현저히 느리게 할 수 있으므로 실무에 활용할때 주의가 필요합니다.

2번째 기법은 아쉽게도 한계가 있는데, TCL-pcap 이 pcap 라이브러리를 필요로 한다는 점과 TCL-pcap 을 Cisco 장비에 설치할 수 없다는 점입니다. 즉 좀 더 연구해야 실무에 활용할 수 있습니다.

Cisco 장비에서 제공하는 default 기능만으로 사용자의 ID/Password 를 획득할 수 있도록 TCL 스크립트를 짤 수 있다면 좋을텐데... 한번 연구해보실 분 없으려나요?

해외에선
ircd - http://www.hping.org/tclircd/,
HTTP Proxy - http://www.koders.com/tcl/fidDBADD59E2D02B64819FA5BB283B3A3F9EA2C9108.aspx 
를 심는 사례가 있더군요.

Cisco 공식 문서에 나온 예제 코드(http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gt_tcl.html#wp1046490) 를 토대로 라우터를 스팸 발송에 이용하는 것도 생각해볼 수 있을 듯...

참고로 chargen port 에 접속하는 TCl 소스 예제
set server localhost
set socks [socket $server 19]
gets $socks line
puts $line
close $socks

위의 예제를 조금 확장하면 Cisco 라우터를 포트 스캐너로 활용할 수도 있겠습니다.

+ Recent posts