중국해커들의 해킹툴 조사

중국에서 매일 매일 시도되는 인젝션 공격에 몸살을 앓던 중 이들의 공격툴에 대한 조사를 하게되었다. 돈만주면 뭐든지 다 된다는 중국해커들에게서 입수한 몇가지 해킹툴 정보를 알게되었다. 아래 툴은 해커들 사이에 거래되는 사이트를 통해 거래가 가능하다한다..ㅡㅡ;아래에 해당하는 임시테이블이 혹시나 여러분의 DB에 존재한다면, 이미 해킹당한 것이다.

01.HDSI sql injection 공격툴

기능 sql injection 취약점이 존재하는 홈페이지의 DB 조회 및 시스테 명령어 실행 가능. php 및 디렉토리 유추 공격도 가능함.

[DB 조회 가능 테이블->컬럼->데이터 출력]

[DB 조회 가능 테이블->컬럼->데이터 출력]

HDSI 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다. 

따라서 웹 로그에서 특정한 테이블을 지우거나 DBMS에 comd_list나 jiaozhu 라는 테이블이 존재한다면 HDSI로 시스템 명령어를 실행한 것이라고 볼 수있다.

 [net use 라는 명령어 실행]

 

[comd_list 라는 테이블 생성]

[HDSI 에서 실행한 흔적 테이블로 저장됨 테이블명 comd_list]

 

[HDSI 에서 dir c:₩ 실행]

[HDSI 명령어 실행시에 jiaozhu 이라는 테이블 생성]

[jiaozhu 테이블 안에 작업했던 흔적 저장됨]

02.NBSI sql injection 공격툴

HDSI 보다 먼저 공개된 툴로써 현재는 상용화 되어 판매되고 있다. 

6월 중국해커들이 사용한 것으로 추정됨

content_view.asp?num=236';EXEC%20MASTER..XP_CMDSHELL%20'Dir%20C:₩%20>%20C:₩NB_TmpTxt.log';DROP%20TABLE%20NB_TmpTable;CREATE%20TABLE%20NB_TmpTable(ResultTxt%20varchar(7996)%20NULL);BULK%20INSERT%20[]..[NB_TmpTable]%20FROM%20'C:₩NB_TmpTxt.log'%20WITH%20(KEEPNULLS);Alter%20Table%20NB_TmpTable%20add%20ID%20int%20NOT%20NULL%20IDENTITY%20(1,1)-- HTTP/1.0

NBSI 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다.

따라서 웹로그에서 특정한 테이블을 지우거나 테이블에 NB_TmpTable 라는 테이블이 존재한다면 NBSI로 시스템 명령어를 실행한 것이라고 볼 수있다.

[NBSI 로 시스템 명령 실행 dir c:₩ ]

[NB_TmpTable 라는 테이블 생성함]

[NBSI 로 실행한 흔적 테이블로 저장됨]

03.D-sql sql injection 공격툴

중국해커들이 MS 를 공격했을 때 사용한것으로 추정되는 툴 이고 레지스트리 수정기능 및 악성 스크립트 제작이 가능하다.

d-sql 의 특징은 시스템 명령어 실행시에 아래와 같은 테이블을 남기게 된다.따라서 웹로그에서 특정한 테이블을 지우거나 테이블에 d99_tmp 라는 테이블이 존재한다면 d-sql 로 시스템 명령어를 실행한 것이라고 볼수있다.그리고 d99_reg 라는 테이블이 존재하면 레지스트리를 수정한것이라고 볼수있다.

[시스템 명령어 실행시에 다음과 같은 d99_tmp 라는 테이블 생성]

 

[레지스트리 수정시에 D99_REG 라는 테이블 생성됨]

04.MS-SQL WebShell – WebShell 자동 생성 공격툴

IIS + MS-SQL 환경에서 Web Shell 자동 생성 확장 스토어드 프로시져 사용하여 Web Shell 생성

출처 : http://r2d-security.tistory.com/8