보안패치정보

새로운 해킹 및 바이러스 정보 업데이트등 보안관련 정보를 수집하여
호스트센터 고객님께 알려드리고 있습니다.

특정 통신 프로토콜 운영 장비 대상 사이버 공격 대비 보안 강화 요청 2018-04-19
□ 개 요
o 외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로한 사이버 공격 대비 주의 당부
* Generic Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management Protocol(SNMP)

□ 주요 내용
o (정보수집) 외부에서 접근 가능한 운영 장비 탐색*
* Telnet(포트 23), HyperText Transfer Protocol(HTTP, 포트 80), Simple Network Management Protocol(SNMP,
포트 161/162), Cisco Smart Install(SMI, 포트 4786)
o (감염시도) 탐색을 통해 수집한 장비를 대상으로 특수하게 조작된 SNMP 및 SMI 패킷 전송함
o (악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드 설치
o (명령 및 제어) 공격자는 악성코드를 통해 장비 제어

□ 대응방안
o 비암호화 프로로토콜을 사용하는 Telnet 및 SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH 및 SNMPv3과
같은 최신 암호화된 프로토콜 사용권고
o 외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI 등) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한
접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토
o SMI 활성화 여부 확인 및 공격 시도 탐지
- (SMI 활성화 확인) 다음 명령을 통해 활성화 확인
※ (명령) show vstack config | inc
※ (명령) show tcp brief all
- (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios 및 execute의 사용을 감지
※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established;

content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)
※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established;

content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)
※ alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content:

"|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)
o 인가되지 않은 IP주소로부터 접근하는 GRE 트래픽의 유무 또는 알 수 없는 GRE 터널의 생성, 수정 또는 삭제 로그가 있는지 검사

□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] https://www.us-cert.gov/ncas/alerts/TA18-106A
[2] https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices