[KISA] 샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서
샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서
- 한국인터넷진흥원(KISA) 보고서
출처 : KISA 인터넷보호나라, https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=71066
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
목차
1. 개요
- 올해 1월 샤오치잉 해커조직이 대한민국을 겨냥하는 메시지와 함께 해킹 예고를 했는데, 침해사고 공격 기법에 대한 소개와 대응 방안에 대한 안내
2. 타임라인
| 2023년 1월 7일 | A社 내부자료를 샤오치잉 Github Pages에 공개(개인정보 160여명) |
| 2023년 1월 20일 | B社 홈페이지 웹페이지 변조 후 샤오치잉 텔레그램 채널에 공개(개인정보 70여명) |
| 2023년 1월 21일 | B社 내부정보를 샤오치잉 홈페이지에 공개 C社 서버의 내부 정보(디렉터리 및 파일 목록) 일부를 샤오치잉 텔레그램 채널에 공개 |
| 2023년 1월 22일 | KISA 보안공지: 국내 홈페이지 변조 관련 민간부문 보안 강화 권고 안내 |
| 2023년 1월 24일 | 샤오치잉 텔레그램 채널에 한국인터넷진흥원 공격 예고 |
| 2023년 1월 24일 ~ 26일 | C社 서버에서 DB 삭제, 웹페이지 변조 후 확보한 DB Dump 파일을 샤오치잉 텔레그램 채널 에 공개 |
| 2023년 2월 14일 | WebLogic 취약점을 악용해서 D社, E社, F社 홈페이지 침투 후 웹페이지 변조 |
| 2023년 2월 18일 | A社 내부자료를 추가 확보 후 샤오치잉 홈페이지에 공개(개인정보 22,000여명) |
3. 공격기법
1) 취약점 스캔 - sqlmap, Nuclei 사용
2) 취약한 웹 서비스를 통한 내부 침투 - SQL Injection, 계정 설정 파일 접근, 오래된 버전의 WebLogic 악용
3) 피해 발생 - 내부정보 탈취, 웹사이트 변조 및 무단생성
4) 해킹 사실 공개
4. 대응 방안
1) SQL Injection 공격 예방 - 웹 서버 시큐어 코딩, 웹 방화벽 설치
2) 계정정보 관리 - 서버 내 계정정보 업로드 여부 점검
3) 운영체제 및 소프트웨어 버전 업그레이드
4) 중요자료 백업
5) 로그 설정 - 웹 로그 주기적 점검 및 백업, WebLogic 로그 저장 연장
6) 한국인터넷진흥원 정보보호 서비스 활용
5. 결론
>> 신고접수 된 피해기업 대부분이 보안 투자를 많이 하기 어려운 소규모 기업 또는 기관
>> 고전적인 기법(SQL Injection, 알려진 취약점 악용)을 사용
Appendix - 악성파일(웹셸) MD5 Hash, 공격자 IP
* 보고서 링크 : https://kisa-irteam.notion.site/09d3e4c83a784380acc3b36271a1f58a
샤오치잉(晓骑营) 공격 그룹 침해사고 및 대응방안 보고서
1. 개요
kisa-irteam.notion.site
파일 :