파이어아이, 시스코 라우터를 공격 대상으로 한 라우터 임플랜트 ‘SYNFUL KNOCK’포착

  • 우크라이나, 필리핀, 멕시코, 인도 등 4개국에서 실제 공격 14개 사례 발견
  • 시스코 라우터, 새로운 사이버 공격 벡터로 이용

2015년 9월 16일 - 파이어아이(지사장 전수홍, www.fireeye.kr)는 시스코 라우터 임플랜트(Router Implant) ‘SYNful Knock’을 이용한 공격을 포착하였다고 밝혔다. 이번 공격은 우크라이나, 필리핀, 멕시코, 인도 4개국에서 14개의 사례가 수집되었으며, 특히 그 동안 이론 상에서만 존재했던 라우터 임플랜트를 이용한 실제 공격 유형으로 알려져 이목이 집중되고 있다.

이번 공격에 이용된 임플랜트는 공격 그룹이 인터넷을 통해서 특정 모듈을 로드하게 해주는 변형된Cisco IOS 이미지로 이루어져 있다. 또한, 이 임플랜트는 숨겨진 백도어 패스워드를 통해 무제한 접근을 가능하게 한다. 각각의 모듈은 라우터 인터페이스로 보내진 TCP패킷을 이용하여 HTTP 프로토콜을 통해 활성화된다. 패킷은 비표준 시퀀스로 이루어져있고, 해당하는 응답 번호를 가지고 있다. 모듈은 백도어 패스워드와 비슷한 기능을 하는 라우터 IOS에서 각 독립된 실행코드로 나타나며, 백도어 패스워드는 콘솔과 텔넷을 통해서 라우터로의 접근을 가능하게 한다.

이러한 라우터 이용 공격은 피해 업체에게 치명적인 결과를 가져 온다. 우선, 라우터와 같은 인프라 기기를 제어함으로써 공격 그룹은 기업의 데이터 플로우와 중요 정보에 접근할 수 있으며, 나머지 인프라를 대상으로 한 추가적인 공격을 진행할 수 있다. 하지만 이보다 더 위협적인 것은 임플랜트가 시스템 재부팅 후에도 계속해서 네크워크 환경에 영속적으로 머물 수 있다는 것이다. 이로써 공격 그룹은 네트워크에 대한 영속적인 접근을 시도할 수 있다. 또한, 임플랜트는 허위 인증 형식의 비표준 패킷을 활용하기 때문에 백도어의 존재 여부도 역시 탐지하기 힘들다.

전수홍 지사장은 “이번 SYNful Knock은 변형된 라우터 이미지를 활용한 공격 중에서 빙산의 일각에 불과할 것”이라며, “해킹 그룹이 네크워크에 대한 영속적인 접근을 위해 노력을 기울이는 만큼, 발견되지 않은 임플랜트의 변종도 전 세계적으로 분포하고 있을 것이다”라고 전했다. 또한, “이러한 새로운 공격 벡터를 효과적으로 대응하기 위해서는 아직 밝혀지지 않은 공격 사례를 밝히기 위한 지속적인 노력과 이제까지와는 다른 방식의 보안 접근이 필요하다”고 덧붙였다.

라우터 임플랜트의 보다 자세한 공격 과정과 탐지 방법 그리고 치료 방법이 담긴 보고서는 파이어아이 홈페이지 에서 다운받을 수 있다.

참고자료

파이어아이에 대하여

파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com