호스팅 TIP > 시스템보안 > 루마니아 해커 우누(Unu)

호스팅 TIP

보안

시스템

프로그래밍

시스템보안

월간 인기 게시물

	게시물 111건

루마니아 해커 우누(Unu) - (1)

글쓴이 : 최고관리자 날짜 : 2010-01-08 (금) 12:52 조회 : 9034

글주소 :

출처 : http://blog.naver.com/itexpert2007?Redirect=Log&logNo=30076940473

루마니아 해커로 알려진 우누(Unu)가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 화제가 되고 있다. 세계적으로 실력을 인정받고 있는 카스퍼스키랩, 비트디펜더, 시만텍과 국내 업체로는 잉카인터넷이 SQL인젝션 공격으로 해킹을 당했다.
우누(Unu)는 모든 해킹 과정에 대해 신뢰성을 주기 위해 자신이 해킹한 사이트들의 스크린샷과 사용한 해킹툴 등을 자신의 블로그 (http://unu123456.baywords.com)를 통해 상세하게 소개하고 있다. 그 중에는 캡쳐 사진처럼 자신이 실제로 획득한 고객 이메일, 이름, 패스워드, 아이디를 공개했다.
하지만 정확하게 어떻게 공격을 하는지 그 방법에 대해서는 구체적으로 밝히지 않았다.

먼저 우누의 최근 취약점 공개 행적을 살펴보자.

● 우누의 2009년 취약점 공개 기록

● 카스퍼스키(Kaspersky) 웹사이트 해킹
러시아 컴퓨터 바이러스 백신 업체인 카스퍼스키랩이 또 다시 해킹 공격을 받았다.
12월 10일 말레이시아와 싱가포르 등 동남아시아 카스퍼스키에 또다시 심각한 SQL인젝션 취약점이 발견됐다고 루마니아 해커 우누(Unu)는 자신의 블로그를 통해 공개했다.
그는 “SQL인젝션 취약점을 통해 서버에 있는 데이터베이스에 접근이 가능했으며 그 DB는 개인정보와 유저 로그인 정보, 관리자 정보, 다양한 라이센스 활성화 정보 등을 담고 있었다”고 말하고 있다.

[그림 1] 해킹당한 카스퍼스키 웹사이트의 캡처 화면

지난 2월 7일에는 usa.kaspersky.com (미국 카스퍼스키) 사이트가 루마니아 해커 우누(Unu)에 의해 해킹을 당해 대량의 데이터가 노출되는 사건이 발생했다. 그는 2월 7일 밤 늦게 해당 사이트에 SQL인젝션(injection) 공격을 시도해 해킹에 성공했다고 밝혔다.

그 공격으로 그는 활성화 코드와 유저 정보, 버그 리스트 등등을 볼 수 있었다고 했으며 매개변수 하나만 바꿔도 유저 정보와 활성화 코드, 관리자, 숍 정보까지 모든 것에 액세스가 가능했다고 말했다.
덧붙여 그는 시큐리티와 안티바이러스 분야에서 이름있는 기업이 정작 자신들의 데이터 베이스를 보호하는데는 소홀했다고 꼬집었다.

[그림 1-1] 해킹당한 카스퍼스키 웹사이트의 캡처 화면

● 엔프로텍트(nProtect) 웹사이트 해킹

금융권 사이트에 납품하는 키보드 보안 프로그램, 엔프로텍트(nProtect)로 유명한 국내 보안기업 잉카인터넷의 홈페이지도 해킹을 당했다.
11월 27일 잉카인터넷 B2C 고객지원 웹사이트의 MYSQL DB가 SQL 인젝션 공격에 해킹을 당해 그 안에 있던 계정 정보 100만개 이상의 DB정보와 ID 및 패스워드 내용이 유출되었다.

우누는 자신의 블로그를 통해 ‘또다른 보안회사 엔프로텍트, 수 백만개의 비밀번호와 시리얼 번호 노출! (nProtect, another big security company exposed millions of passwords in clear text and serials!)’이라는 제목으로 “nProtect 사이트에서 어떻게 하면 관리자(Admin) 권한을 획득할 수 있을까?”라며 그 방법을 소개했다.

그는 “nProtect Netizen은 트로이목마나 백도어, 혹은 다른 위협과 같은 해킹위협으로 사용자를 보호하기 위한, 사용자 PC에 설치할 필요가 없는 온라인 PC 보안 솔루션을 제공하는 회사로 3,000만 사용자가 매일 nProtect Netizen을 사용하고 있다”고 말한 뒤 “nProtect Netizen은 해킹 시도로부터 사용자를 보호하는가? 이 기업 역시 자사의 데이터베이스를 보호할 수 없었다”고 단언했다.

그리고 “이 웹사이트는 SQL 인젝션에 취약할 뿐만이 아니라 load_file까지 가능케 한다. 따라서 일단 Admin 권한을 갖게 되면 phpshell을 업로드하거나, 리다이렉트, 트로이 목마를 심어 감염시키거나 사이트 전체를 없애버릴 수도 있다”고 경고했다.

[그림 2] 해킹당한 엔프로텍트 웹사이트의 캡처 화면

● 시만텍(Symantec) 일본 웹사이트 해킹

시큐리티 소프트웨어 노턴(Norton)으로 유명한 세계적인 보안업체인 시만텍의 홈페이지가 해킹을 당했다.
11월 23일 일본 시만텍 고객지원 사이트가 우누의 블라인드 SQL인젝션 공격에 뚫렸다. 특히 한국과 일본 고객 데이터를 관리하는 시만텍 서버가 해킹당해 고객의 정보가 일부 노출된 것으로 알려졌다.
우누는 “off-the-shelf tools (Pangolin and sqlmap)을 사용해 시만텍 서버의 모든 계정에 접근이 가능했으며, 서버에 저장된 많은 민감한 데이터들에 접근도 가능했다”며 “시만텍의 노턴이 우리를 막아 주기 원했지만 그들은 자신들의 데이터베이스를 지키지 못했다”고 지적했다.

그는 “해를 끼치려는 게 아니고 소란을 피워 허점을 보완하게 하려고 했다”며 “고객 서버에 침투해 들여다봤을 뿐 데이터를 탈취하지는 않았다”고 밝혔다. 그는 “해킹한 서버엔 7만명 이상의 고객 정보가 저장돼 있고 5개 샘플만 추출, 제품 시리얼넘버를 보기만 했을 뿐”이라고 덧붙였다.

[그림 3] 해킹당한 시만텍 일본 웹사이트의 캡처 화면

● Yahoo! 지역 토론게시판 해킹

8월 24일 우누는 야후가 2007년 서비스한 지역 커뮤니케이션 사이트를 SQL인젝션과 Cross-Site scripting (XSS) 취약점을 이용해 공격했다. 이 공격으로 관리자와 이용자의 계정 정보를 읽을 수 있었고, 서버(MySQL 5 server)에 쉘을 업로드할 수도 있었다.
뿐만 아니라 야후 이용자들의 ID, 주소, 국가, 이메일 정보뿐만 아니라 서버에 load_file까지 가능하다는 것을 밝혀냈다.

그는 “이 사이트에서 우리가(우누의 해킹팀) 원하는 모든 것을 할 수 있었다.
쉘 업로드, 리다이렉트, 트로이목마 드롭, 심지어 사이트 전체를 파괴할 수도 있었다”며 “이러한 위험한 취약점에 대해 야후 측에 모두 말해줬다”고 밝혔다.

[그림 4] 해킹당한 야후 웹사이트의 캡처 화면

● 기타 웹사이트 해킹

지난 9월 우누는 SQL인젝션 공격을 이용해 유럽의 대형 금융사인 ING, Dexia, 그리고 HSBC 등을 해킹한 바 있다.
우누는 벨기에 ING 기프트숍 웹사이트의 취약점을 공격해 관리자 계정을 포함한 해당 웹사이트의 모든 계정 패스워드를 알아냈고, 이용자 이메일과 풀네임 정보 등도 알아냈다.
또 서버에 PHP 쉘을 업로드 할 수 있다고 지적했다.

벨기에에 위치한 보험 사이트인 Dexia 웹사이트도 그의 공격에 무너졌다. 우누는 동일한 방법으로 Dexia의 취약점을 공격했고, 대량의 데이터 베이스에 접근했다.
물론 이용자들의 정보와 평문 패스워드를 빼내 올 수 있다는 것을 확인했다.

HSBC France 웹사이트도 해킹을 당했다. 우누는 해당 사이트의 모든 데이터 베이스 접근 권한을 획득했으며, 파일 시스템에 접근권한도 얻을 수 있었다.

또한 SQL인젝션 공격으로 전체 서버(MSSQL)에 손상을 입힐 수 있는 취약점도 발견했다. 이외에도 우누는 영국 The Telegraph사와 British Telecom 웹사이트를 해킹해 홈페이지를 손상시킨 바 있으며, 영국 의회 웹사이트와 National Lottery 웹사이트, 그리고 안티바이러스 업체인 F-secure, BitDefender 등도 SQL인젝션 취약점을 이용한 공격 방법을 통해 중요 데이터베이스들이 노출될 수 있다는 것을 공개했다.

[그림 5] 해킹당한 비트디펜더 웹사이트의 캡처 화면