내 남자의 길~!

작년에 "TCL 로 Cisco 라우터에 백도어 심기" 라는 글을 올린 후 많은 분들이 이걸 직접 따라해보셨더군요.
Cisco 에뮬레이터인 Dynamips 를 이용해 cisco 라우터 이미지를 올려서 직접 테스트해보신 사례를 블로고스피어에서 심심찮게 찾아볼 수 있었습니다.

Dynamips 이용한 테스트 : http://blog.naver.com/mongu2/140048866200

그러나 Cisco 의 enable 패스워드를 획득한 상태에서 관리자 권한으로 백도어를 심는 것은 약하게 느껴지죠. 여러분이 대기업의 엣지 라우터를 장악했다. 그러면 이 상태를 가장 효과적으로 이용하는 것은 무엇이겠습니까?

네, GRE 터널링을 이용해 내부 네트워크에 transparent 하게 접근하거나, 패킷 스니핑을 이용해 내부자들의 ID/Password 를 획득하는 것이겠죠.

1. GRE 터널링을 이용한 공격 기법 : http://www.securityfocus.com/infocus/1847
2. TCL-pcap 을 이용한 스니핑 : http://www.tcl.tk/community/tcl2007/papers/Hari_Narayanan/TclPcapExtension.pdf

1번째 기법은 자주 사용되는 기법이지만, 고객사 네트워크를 현저히 느리게 할 수 있으므로 실무에 활용할때 주의가 필요합니다.

2번째 기법은 아쉽게도 한계가 있는데, TCL-pcap 이 pcap 라이브러리를 필요로 한다는 점과 TCL-pcap 을 Cisco 장비에 설치할 수 없다는 점입니다. 즉 좀 더 연구해야 실무에 활용할 수 있습니다.

Cisco 장비에서 제공하는 default 기능만으로 사용자의 ID/Password 를 획득할 수 있도록 TCL 스크립트를 짤 수 있다면 좋을텐데... 한번 연구해보실 분 없으려나요?

해외에선
ircd - http://www.hping.org/tclircd/,
HTTP Proxy - http://www.koders.com/tcl/fidDBADD59E2D02B64819FA5BB283B3A3F9EA2C9108.aspx 
를 심는 사례가 있더군요.

Cisco 공식 문서에 나온 예제 코드(http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gt_tcl.html#wp1046490) 를 토대로 라우터를 스팸 발송에 이용하는 것도 생각해볼 수 있을 듯...

참고로 chargen port 에 접속하는 TCl 소스 예제
set server localhost
set socks [socket $server 19]
gets $socks line
puts $line
close $socks

위의 예제를 조금 확장하면 Cisco 라우터를 포트 스캐너로 활용할 수도 있겠습니다.

윈도우 기반 포트스캐너 (SuperScan)

해킹 공격이나 바이러스, 웜 등에 의하여 공격을 받은 시스템의 경우 공격자가 재접속 또는 해당 시스템을 악용하기 위해서 특정 통로를 설치하는 경우가 있다. 이러한 악성 프로그램은 사용자의 자각 증상이 적어 지나치는 경우가 많으으므로 네트워크 또는 시스템 관리자는 주기적으로 이러한 프로그램에 의하여 열려있는 포트 존재 여부를 파악하여야 한다. 사용자 또는 관리자가 설치하지 않은 서비스의 존재 여부를 가장 쉽게 파악할 수 있는 방법이 포트스캔이다.
포트스캔 도구는 여러 가지가 사용되지만 가장 기본적인 기능을 갖추고 사용이 편리한 도구인 Superscan에 대하여 알아보도록 한다.


가. 다운로드 및 설치

SuperScan은 TCP 프로토콜이 설치되어 있는 Windows 95/98, Windows 2000/NT 4.0,
Windows XP 시스템에서 사용가능하며 모든 시스템에는 ICMP.DLL 파일이 존재하여야 한다.
Superscan은 다음의 주소에서 다운받을 수 있다.

<http://www.foundstone.com/knowledge/proddesc/superscan3.html>

상단의 주소로 접속하면 (그림 4-1-5)에 나타난 다운로드 화면이 나타나며, 최하단에“Download this tool now”링크를 이용하여 다운로드 받는다. 다운로드 완료 후, 다운로드 받은 “superscan3.exe”파일을 더블클릭하여 해당 도구를 설치한다. 설치가 완료되면 기본적으로 C:\Program Files\Superscan 위치에 도구가 설치된다.

SuperScan 다운로드 화면 (그림 4-1-5)

나. 시스템 점검

SuperScan을 실행하면 (그림 4-1-6)과 같은 화면이 나타난다. 기본적인 작동법은 스캔하고자 하는 시스템의 IP주소 및 포트를 설정하고,“ Start”버튼을 클릭하면 점검이 이루어진다.

● 점검하고자 하는 시스템의 IP주소 또는 IP영역을 지정한다. 단일 시스템을 점검하는 경우, Start와 Stop영역에 동일한 IP주소를 입력한다. 예를 들어, 172.16.1.0/24의 C-Class를 점검 하고자 하는 경우에는 Start : 172.16.1.0, Stop : 172.16.1.255를 입력한다.
● 스캔 옵션을 지정한다. 각 옵션에 대한 설명은 [표 4-1-3]에 나타난 바와 같다.

SuperScan 점검화면 (그림 4-1-6)

점검항목(옵션)	의미
Resolve hostnames	점검대상의 호스트명을 쿼리
Only scan responsive pings	Ping 요청에 대한 응답이 있는 시스템만 스캔
Show host responses	포트를 스캔하지 않고 Ping에 대한 응답 여부만을 점검
Every port in list	포트 목록에 지정된 모든 포트를 점검
All selected ports on list	포트 목록중 선택한 포트에 대해서만 점검
All list ports from	지정한 포트영역 내에서 포트목록에 지정된 포트만 점검
All ports from	지정한 포트영역 내의 모든 포트 점검

[표 4-1-3] Super Scan 점검항목

● 포트목록 설정은“Port list setup”버튼을 클릭하면 설정 창이 나타난다.

- Change/add/delete port info : 포트 목록에 새로운 포트를 추가, 삭제 또는 설명을 편집 할 수 있다.
- Port list file : 포트목록이 저장되어 있는 텍스트 파일을 지정한다. 포트정보를 추가, 삭제 및 수정한 이후“Save”버튼을 클릭하여 해당정보를 텍스트 파일에 저장한다.
※ 기본적으로“scanner.lst”라는 파일이 지정되어 있음
- Helper apps in right click menu : FTP, Telnet 및 Web 접속에 이용되는 어플리케이션 을 지정한다.
- Select ports : 포트목록 파일에 지정되어 있는 목록을 출력하여 주며 해당 포트를 더블 클 릭하여 선택 또는 해제한다. 선택된 포트는 포트번호 옆에 녹색의 ∨표시가 나타난다.

● 점검하고자하는 IP주소와 포트설정 및 점검옵션의 설정이 완료되면“Start”버튼을 클릭하여 점검을 시작한다.
● 점검결과는 하단에 나타난다.

다. 점검결과 확인

해당 시스템에 대하여 점검이 완료되면 (그림 4-1-8)과 같이 하단에 점검결과를 출력한다. 점검 상 시스템은 IP주소로 구분되어 트리 구조로 점검결과가 나타나며, 모든 시스템의 점검결과를 인하기 위해서는 하단 우측에“Expand All”버튼을 클릭하면 된다.

※“Resolve Hostname”옵션을 지정한 경우, IP주소 우측에 호스트명이 표시된다.

SuperScan 점검결과 화면 (그림 4-1-8)

하단의 점검결과는 윈도우 시스템과 리눅스 시스템을 대상으로 점검한 결과이며, 각 시스템에서 제공하는 서비스 및 포트번호가 표시된다. 각 시스템에서 서비스 제공을 위해 설치한 서비스 이외의 포트가 나타난 경우, 악성프로그램 설치를 의심하여야 하며 열려진 포트에 대하여 적절한 접근 통제 정책을 적용하여야 한다

라. 서비스 포트

다음의 포트들은 P2P, 웹폴더, 메신져 및 트로이목마에 사용되는 포트목록으로 포트스캔을 통해 해당 서비스가 발견된 경우 특별한 주의를 기울여야 할 필요가 있다.

(1) 메신저 사용포트


(2) 웹폴더 사용포트


(3) 주요 어플리케이션 사용포트

(4) 주요 P2P 프로그램 사용포트 예시

(5) 트로이목마 프로그램 사용포트




출처 -한국정보보호진흥원 사이버안전메뉴얼 중