리팩토링멘토링 CERT 5주차 - shodan 사용범위 및 실습

CERT 5주차 발표자료.pptx

1.69MB

 

---

1. Shodan의 이용 범위

•네트워크 프린터
일반적으로, 회사 프린터는 복수의 PC와 연결된다.
따라서, 연결의 편리함을 위해 네트워크를 이용한 무선 연결을 사용하는 경우가 많다.
일반적으로 인터넷망과 인트라넷을 분리하지만, 이 두 망이 프린터를 공유할 경우 문제가 발생할 수 있다.
이 경우, Shodan 검색에 감지될 수 있다.
(예시: 프린터가 인터넷망을 사용하므로 해커가 해당 프린터에 접근 => 해당 프린터로 전송되는 인트라넷 내용을 확인)

•CCTV
흔하게 볼 수 있는 CCTV는, 보안 목적으로 사용되거나 대규모 시설 + 공공장소에서 사용된다.
구형 기기: 영상 정보의 단순 유선 전송 => 네트워크를 이용한 온라인 공격이 어렵다.
신형 기기: 네트워크 기능이 탑재된 경우, 해당 연결을 통해 공격받을 수 있다.
Shodan 검색 엔진에 의해 탐지되는 CCTV는 신형 기기인 경우가 많다.

•Webcam
개인 컴퓨터와 직접 연결되는 경우가 많으며, 화상회의나 전화를 포함한 온라인 활동 전반에 사용된다.
USB 연결형의 경우에는 자체 IP주소가 없으나, Wifi 연결형의 경우에는 네트워크를 이용하므로 공격받을 수 있다.

 

•산업제어시스템(Industrial Control Systems)
ICS 장치들은 원격 모니터링 + 유지보수 + 자동화를 지원하는 방향으로 개량되었다.
이를 위해 인터넷에 직접 연결되며, 당연히 Shodan을 사용하여 탐지할 수 있게 되었다.
추가로, ICS 장치들에 별도의 보안 설정이 갖추어지지 않은 경우가 많으므로, 해커에 의한 공격 위험성 높다.

---

2. Shodan 검색 실습

2-1. CCTV

검색 예문:
1) DVR port:80

DVR = Digital Video Recorder.

2) DVR upnp avtech country:KR

Upnp = Universal Plug and Play, Avtech = 제조사 명칭.

3) Has_screenshot:true port:80 country:KR

Has_screenshot:true port:80 country:KR, 실제 화면이 노출된 CCTV.

2-2. Webcam

검색 예문

1) Product:”webcamXP”

webcamXP의 가장 기본적인 검색어.

2) Title:”webcamXP” country:KR

title: "webxamxp" = 웹페이지 타이틀에 webcamxp가 포함된, 웹캠 관리 페이지를 검색.

2-3. Network Printer

printer: 기본 명령어
제조사 기반 명령어: HP, canon 등
포트 기반 명령어: port:161, port:80 등

 

2-4. ICS/산업제어시스템

•Modbus: 대표적인 ICS 통신 프로토콜.
502번 포트를 사용한다.
1979년 개발, 자동화 시스템에서 표준적으로 사용된다.

•Siemens S7/S7Comm 프로토콜.
독일 Siemens 사의 PLC 제품과, 해당 제품과 통신하기 위해 사용되는 프로토콜. 102번 포트를 사용한다.

•DNP3: 1990년 초 미국에서 개발됨. 20000번 포트를 사용한다. 전력/수도/가스 분야에서 원격 자동화 장치와 제어센터 사이의 통신을 위해 사용됨.

•BACnet: 빌딩 자동화 및 제어 시스템을 위한 국제표준 통신 프로토콜. 미국이 제정하였고, 47808번 포트를 사용한다.