GN⁺: 접근 로그에서 발견한 공격 사례들
(nishtahir.com)공격자의 접근 로그 분석
- 공개 인터넷에 IP를 노출시키면 악의적인 트래픽이 즉시 유입됨.
- 자주 발생하는 공격 유형 중 하나는
.env
파일을 찾는 디렉토리 순회 공격임. - 공격자들은 AWS 자격증명 및 구성 파일, Git 저장소 등 다른 일반적인 파일도 탐색함.
- 관리자가 실수로 노출시킬 수 있는 일반적인 디렉토리를 찾는 공격도 있음.
- 공격자들은 또한 일반적인 원격 접속 및 구성 도구를 찾으려 시도함.
Shellshock
- Shellshock 취약점을 이용하는 공격이 발견됨.
- 이 취약점은 취약한 버전의 bash를 사용하여 CGI 스크립트를 실행하는 웹서버를 대상으로 함.
- 공격자는
HTTP_USER_AGENT
환경 변수에 함수를 삽입하여 임의의 명령을 실행할 수 있음.
LuCI Injection
- OpenWRT 라우터의 LuCI 웹 인터페이스를 대상으로 하는 공격이 발견됨.
- 공격은 원격 서버에서 호스팅하는 쉘 스크립트를 다운로드하고 실행하려는 명령을 주입함.
Zyxel Injection
- Zyxel 장치에서 사용 가능한 취약점을 이용하는 것으로 보이는 공격이 발견됨.
- 공격은
zhttpd
를 이용하여 쉘 명령을 URL에 삽입함.
GN⁺의 의견:
- 이 기사는 공개된 IP에 대한 사이버 공격의 다양성과 그 위험성을 보여줌으로써, 보안에 대한 중요성을 강조함.
- Shellshock와 같은 오래된 취약점이 여전히 활용되고 있음을 보여주며, 시스템의 지속적인 업데이트와 취약점 패치의 중요성을 일깨움.
- 공격자들이 일반적인 도구와 디렉토리를 대상으로 한다는 점은, 최소한의 서비스만 공개하고, 필요한 경우 인증과 IP 제한을 추가하는 것의 중요성을 강조함.
Hacker News 의견
- 공격자들이 새로 발급된 인증서를 감시하여 목표를 찾는다는 점이 흥미롭다. Let's Encrypt에서 인증서를 받은 후 몇 시간 안에 서버에 수백 건의 접속 시도가 발생했다. 새로운 서버는 인터넷에 노출되기 전에 가능한 빨리 보안을 강화해야 한다는 교훈이 있다.
- 과거에는 자체 호스팅 사이트를 관리하면서 접근 로그를 검토했고, IDS를 사용하여 공격 시도를 플래그했다. 하지만 로그 검토와 IDS 비용 지불을 중단했다. 대신 일반적인 취약점과 공격을 요약한 유용한 콘텐츠를 찾아 서버 관리에 활용하고, 빠른 패치 주기를 우선시하는 것이 좋다. 로그는 문제 발생 후 진단에 매우 유용하다.
- 저자는 보안 전문가가 아니라고 밝히면서, 기사의 첫 예시가 디렉토리 순회가 아니라 자격 증명 및 구성 발견이라고 지적한다. 디렉토리 순회는 공격자가 웹 루트를 벗어나거나 서버가 정상적인 디렉토리 외부의 것을 제공하도록 하는 기술을 의미한다.
- 서버에서 fail2ban을 실행하고, 사이트에 제공하는 기능에 특화된 공격을 잡기 위해 맞춤형 감옥을 추가하는 것이 중요하다. fail2ban의 기본 설정이 여전히 효과적인지 확인해야 할 시간이다.
- 많은 공격이 적대적인 국가로부터 온다는 것이 문제다. 논란의 여지가 있지만, 거래할 수 없는 국가들의 IP 범위를 차단하는 것이 유용할 수 있다. 이 방법으로 새로운 서비스에 대한 모든 탐색을 차단할 수 있었다.
- 약 1년 동안 자체 설계한 HTTP/S 서버를 운영하면서, 열려 있는 포트(22, 80, 443)에서 많은 공격자 트래픽을 받았지만, 공격자들이 실제로 무엇을 시도하는지 분석할 시간은 없었다. 이 글은 많은 정보를 제공한다.
- AWS에서 이러한 로그를 받고 있다면, AWS WAF를 VPC 앞에 배치하여 자신을 도울 것을 권한다. 비용이 많이 들지 않으면서 많은 문제를 예방할 수 있다.
- 여러 해 동안 다양한 기업의 WAF를 관리해온 경험을 바탕으로, Cloudflare로 DNS를 옮기고 몇 가지 WAF 규칙을 사이트에 적용하는 것이 문제를 해결하는 데 도움이 될 것이라고 조언한다. WAF는 만병통치약이 아니므로 애플리케이션이 공격에 대비해 강화되어야 한다.
- 관리하는 웹호스트에서 가장 흔한 공격 시도는 WordPress와 관련된 것이지만, 저자는 이를 언급하지 않았다. 아마도 저자는 WordPress 콘텐츠를 호스팅하고 있어서 정상 트래픽과 공격을 구분하지 못했을 수 있다.
- '디렉토리 순회'라는 용어 대신 '디렉토리 열거'가 올바른 표현이다. 순회는 일반적으로 '.. / .. /'와 같은 경로를 사용하여 웹 루트를 벗어나는 것을 의미한다.