NetBIOS 크래킹 7조 최효림/한종민/김재경

CONTENT NetBIOS란? NetBIOS의 역사 NetBIOS의 프로토콜 종류 NetBIOS Craking 의 피해원인 -Nbtstat 이용 -Nbtscan 사용 -널 세션(Null Session)을 이용한 목록화 NetBIOS의 공격 및 증상 NetBlOS의 대책 NetBIOS를 이용한 해킹 예

NetBIOS란? Network BasicInput Output System, IBM에서 개발한 DOS용 네트워크 인터페이스 OSI 7계층에서 NetBIOS 는 3,4,5 계층에 해당하는 역할 NetBIOS는 pc LAN에서 서버와 클라이언트 간의 통신에 주로 사용 Windows nuking등 치명적인 보안상의 문제가 많은 프로토콜

NetBIOS의 역사 NetBIOS는 1984년 IBM社가 발표한 컴퓨터와 PC-LAN 과의 인터페이스(API) 및 이름 명명법에 대한 정의 그 당시 NetBIOS API는 응용프로그램이 다른 컴퓨터와 연결하여 데이터를 공유하는 아주 초보적인 설계적 관점을 제시 즉, BIOS API가 응용프로그램으로하여금 주변장치 등과 대화하는 인터페이스라면, NetBIOS API는 네트워크를 통한 인터페이스로 개념을 확장함 그러나, NetBIOS가 네트워크를 통하여 데이터 교환을 하려면 전송계층(Transport Layer) 상의 데이터 전송 프로토콜이 필요하여 NetBEUI가 곧이어 발표됨

NetBIOS의 프로토콜 종류 *445포트는 window 2000/2003에서만 존재 프로토콜 포트 서비스 TCP 135 RPC/DCE 종단연결 설정 UDP 137 NetBIOS 네임 쿼리를 통해 네트워크 이름 등록 및 확인 기능을 수행 138 NetBIOS 기반의 호스트간 데이터 송수신을 수행하는 139 통신을 위한 두 클라이언트간 세션 협약 및 유지 기능을 수행하는 포트 TCP/ 445 윈도우 계열의 컴퓨터에 자원 및 프린터를 공유하는 기능 *445포트는 window 2000/2003에서만 존재

NetBIOS Craking의 피해원인 공공 기관 및 대학 개인의 피해 사례 증가 윈도우 계열의 OS사용으로 피해 속출 피해 횟수가 많으나 공개를 꺼림. 보안 및 패치 작업이 거의 이루어지지 않아서 피해 수 증가. 최근에는 변형 시스템으로 해킹 빈도수 증가. 개인의 피해 사례 증가 초고속 인터넷 발달과 PC방 활성화 보안조치가 미흡한 사용자 증가 무분별한 사이트 가입 및 파일 공유

NetBIOS를 이용한 윈도우 서비스 윈도우에서 NetBIOS 프로토콜은 파일 공유, 프린터 등의 일반 사무기기 및 WINS 등을 이용하는데 사용 시작>설정>제어판> 네트워크연결>로컬영역연결 에서 확인할수있다. (window XP)

NetBIOS를 이용한 윈도우 서비스(2) 제어판>네트워크 및 인터넷 > 네트워크 및 공유센터 에서 어댑터 설정 변경을 클릭> 로컬 영역 연결의 속성 (Window 7)

NetBIOS를 이용한 목록화 목록화의 정의 목록화의 필요성 유효한 계정이나 공유된 자원의 이름을 시스템에서 추출해 내는 작업 해킹의 전 단계 빈틈을 찾기 위해서 보안목적으로도 사용

NetBIOS를 이용한 목록화(2) Nbtstat 이용 nbtstat –a [IP] 한 호스트에 대한 정보를 자세하게 제공하나,여러 호스트에 대한 정보는 볼 수 없다.

NetBIOS를 이용한 목록화(3) Nbtscan 사용 하나의 호스트에 대한 이름, 속해있는 도메인 이름, MAC 주소등 의 정보를 획득 가능 빠른 속도로 이름 해석 결과 값을 얻어낼 수 있다

NetBIOS를 이용한 목록화(4) 널 세션(Null Session)을 이용한 목록화 정보 재공! ID : “” 윈도우의 최대 약점 중의 한가지는 NetBIOS 프로토콜에 의한 CIFS/SMB(Common Internet File System/Server Message Block)다. 139, 445번 포트를 통해 인증되지 않은 사용자일지라도 많은 정보를 가져갈 수 있는 함수를 제공한다. 그 중 가장 많이 알려진 것이 계정과 패스워드 없이 세션을 생성하는 널 세션이다. 정보 재공! ID : “” PASS : “”

NetBIOS를 이용한 목록화(5) 널 세션의 생성 예) net use \\192.168.1.3\IPC$ “” /u:”” 널 세션의 생성 예) net use \\192.168.1.3\IPC$ “” /u:”” 정상적인 세션의 경우 (계정 : wishfree, 패스워드 : passwd) 예) net use \\192.168.1.3\IPC$ passwd /u:wishfree

NetBIOS를 이용한 목록화(6) 공유된 자원의 확인 Net view \\192.168.1.3

NetBIOS를 이용한 목록화(7) 널 세션을 이용한 정보의 수집 Enum –U –S –P –L [IP]

NetBIOS를 이용한 목록화(8) 널 세션의 차단 - 135-139번과 445번 포트를 막는 것 - 개인용 방화벽 네트워크 카드의 프로토콜 중에서 Microsoft 네트워크용 파일 및 프린터 공유를 아예 없애는 것. 레지스트리 편집기에서 Hkey_Local_Machine\System\CurrentControlSet\Control\Lsa의 restricanonymous 값을 1로 설정해준다

NetBIOS를 이용한 목록화(9)

NetBIOS의 공격 NetBIOS를 이용한 공격 실습환경: 공격 시스템(윈도우xp) 공격 대상 시스템(윈도우xp)

NetBIOS의 공격(2) Netbrute 같은 툴을 이용한 특정네트워크에 대한 공유자원 목록화 폴더가 표시되고 더블 클릭 하면 접속 됩니다.

NetBIOS의 증상 Local PC의 속도가 느려지거나 Windows가 Down되는 현상이 발생될 수 있다. 전용회선의 불필요한 Traffic을 유발시킴으로써 회선품질저하와 고객PC의 S/W가 손상될 수 있다. 디스크 읽기전용으로 공유하고 비밀번호를 설정하지 않은 경우 디스크의 Folder나 File을 Remote측으로 복사할 경우 PC속도 현저하게 저하 시킴. 인터넷 전용회선의 Output Traffic(Upload)를 증가시켜 전용회선 속도를 저하 시킴. 디스크 읽기/쓰기전용으로 공유하고 비번을 설정하지 않은 경우File이나 Folder를 삭제,복사 등을 했을 때 Windows O/S에 치명적인 영향을 줄 수 있으며 기타 바이러스 등으로부터 디스크를 보호할 수 없게 된다.

NetBIOS의 대책 135~139번 포트와 445번 포트를 막아야 함. 파일 공유를 해야만 하는 상황이라면 다음과 같은 정책을 꼭 실시하는 것이 좋다. 패스워드를 추측하기 어려운 것으로 설정한다. 중요한 패스워드는 자주 바꿔준다. 사용하지 않는 계정은 없앤다. 패스워드 입력에 실패할 경우 잠금이 되도록 설정한다.

NetBIOS를 이용한 해킹 예 User2sid 컴퓨터 이름과 IP정보만으로 그 컴퓨터에 대한 SID 값을 획득가능. (널세션접속상태) 어드민 계정의 sid 값이 500인걸 확인할수있다.

NetBIOS를 이용한 해킹 예(2) Sid2user

NetBIOS를 이용한 해킹 예(3) 브루트 어택 널세션을 통해서 알아낸 서버안의 사용자 이름들을 브루트 어택 툴을 통해서 패스워드까지 알아내게 된다면 서버의 보안은 매우 위험한 상태가된다.

Q/A

Thank you