2018-04-19
▷ 개요
l
외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로한
사이버 공격 대비 주의 당부
* Generic
Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management
Protocol(SNMP)
▷ 내용
l
(정보수집) 외부에서 접근 가능한 운영 장비
탐색*
* Telnet(포트
23), HyperText Transfer Protocol(HTTP, 포트 80), Simple
Network Management Protocol(SNMP, 포트 161/162), Cisco
Smart Install(SMI, 포트 4786)
l
(감염시도) 탐색을 통해 수집한 장비를 대상으로
특수하게 조작된 SNMP 및 SMI 패킷 전송함
l
(악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드
설치
l
(명령 및 제어) 공격자는 악성코드를 통해
장비 제어
▷ 대응방안
l
비암호화 프로로토콜을 사용하는 Telnet 및 SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH 및 SNMPv3과 같은 최신 암호화된 프로토콜 사용권고
l
외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI 등) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한
접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토
l
SMI 활성화 여부 확인 및 공격 시도 탐지
- (SMI 활성화 확인)
다음 명령을 통해 활성화 확인
※ (명령) show vstack config | inc
※ (명령) show tcp brief all
- (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios 및
execute의 사용을 감지
※ alert
tcp any any -> any 4786
(msg:"SmartInstallExploitationTool_UpdateIos_And_Execute";
flow:established;
content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|";
offset:0; depth:16; fast_pattern; content:"://";)
※ alert
tcp any any -> any 4786
(msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established;
content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|";
offset:0; depth:16; fast_pattern; content:"://";)
※ alert tcp any any ->
any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow:
established;
content:"|00 00 00 01 00 00 00 01 00 00 00 08 00
00 04 08|"; offset:0; depth:16; fast_pattern;
content:"copy|20|";)
l
인가되지 않은 IP주소로부터 접근하는 GRE 트래픽의 유무 또는 알 수 없는 GRE 터널의 생성, 수정 또는 삭제 로그가 있는지 검사
▷ 참고 자료
- https://www.us-cert.gov/ncas/alerts/TA18-106A
- https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices