쇼단을 이용해서 보안 취약점을 가지 시스템을 찾아내기

1. 쇼단이란?

보안 취약점을 가진 시스템을 찾아내어, 보안을 강화하기 위한 수단으로 개발되었다.

보안 취약점을 가진 시스템을 찾아 주는 기능을 가지고 있기 때문에 “어둠의 구글”, “해커들의 놀이터”라는 별칭이 따라붙고 있다.

쇼단은 특정한 조건에 맞는 서버(Server), 라우터(Router), CCTV 카메라, 각종 IoT 디바이스

를 찾아주는 검색엔진이다.

 

CCTV를 많이 사용하는 한국은 위협이 될 수 있다.

만약 보안에 관심이 없는 사람이 ID/Password를 변경하지 않고 공장 출하 값으로 그대로 사용하고 있다면, 촬영 내용이 의도치 않게 외부로 노출되게 된다.

또 공격 대상을 검색해서 대상의 IP 주소를 알아낼 수 있고 열려있는 포트 번호도 확인이 가능하다.

 

쇼단

2. 쇼단을 이용해서 한국에서 아파치를 이용하는 서버 검색

 

일단 한국에서 아파치를 사용하는 서버를 검색하였다.

 

아파치 서버를 사용하는 리스트들이 출력이 되었다.

 

 

지도를 키면 아파치 서버를 사용하는 회사의 위치도 알 수 있다.

아파치를 사용하는 서버 리스트들 중에 Korea Telecom 이란 곳에 들어갔다.

 

마지막 업데이트 날짜와 지역을 알 수 있었다.

 

열려있는 포트는 다음과 같다.

22번 포트(SSH), 80번 포트(http), 443번 포트(https), 3306번 포트(mysql)을 확인할 수 있으므로 이 서버는 웹서버임을 알 수 있다.

 

SSH, http, https 포트가 열려있다는 것을 확인할 수 있으면 각각의 버전 역시 알 수 있다.

버전을 알 수 있다면 그 버전에 취약한 해킹방법을 이용할 수 있다. 만약 버전이 낮은 서버가 있다면 그 버전에 따른 해킹 공격을 시도할 수 있다.

 

그리고 데이터베이스가 mysql이라는 것을 확인할 수 있었다. 데이터베이스가 무엇인지 안다면 그에 맞는 주석을 알아낼 수 있다. 그리고 그 주석을 이용해서 공격자는 sql 인젝션 공격을 시도할 수 있다.

 

3. 쇼단을 이용해서 한국에서 MySQL을 이용하는 서버 검색

 

만약 공격자가 MySQL에 대해서 잘 아는 공격자라면 이러한 검색으로 공격 타깃을 찾아낼 수 있다.

 

4. 쇼단을 이용해서 카메라 접속하기

이러한 검색을 해서 한국의 카메라를 검색했다.

 

검색 결과 중에서 SK Broadband 카메라를 찾았다.

 

아이피로 접속해보니 로그인 창이 출력되었다.

만약 카메라 사용자가 보안에 관심이 없는 사람이고 ID/Password를 변경하지 않았다면

CCTV 초기 ID/Password로 공격자는 손쉽게 CCTV에 접근할 수 있을 것이다.

 

cctv 초기 ID/Password는 구글을 통해 쉽게 알아낼 수 있었다.

 

5. 검색 결과에 대한 분석 또는 위협 내용 분석

 

1. 회사 서버의 위치를 알 수 있다.

 

검색을 통해 회사 서버의 위치를 알 수 있다. 이것은 사회공학적 해킹을 시도할 수 있을 것이다.

 

 

2. IP 주소와 포트 주소를 알아낼 수 있다.

 

검색을 통해 서버의 IP 주소와 열려있는 포트 주소를 알아낼 수 있다. IP 주소와 열려있는 포트를 안다면 DDoS 공격을 시도할 수 있을 것이다.

 

 

3. 웹서버의 데이터 베이스를 알아낼 수 있다.

 

데이터베이스가 무엇인지 안다면 그에 맞는 주석을 알아낼 수 있다. 그리고 그 주석을 이용해서 공격자는 sql 인젝션 공격을 시도할 수 있다. 데이터 베이스의 버전도 알 수 있으므로 그에 맞는 sql 인젝션 공격이 가능하다.

 

 

4. 카메라의 IP를 알 수 있고 카메라로 접속이 가능하다.

 

카메라의 IP를 알아낼 수 있고 접속 역시 가능하다.

만약 카메라 사용자가 CCTV 초기 ID/Password를 그대로 사용했다면 공격자는 손쉽게 CCTV에 접근할 수 있을 것이다.