Criminal IP로 확인한 중국 HTTP File Server에 은닉되어 있는 따끈한 악성코드 사이트

NAS 보안 문제로 많이 거론되는 것들은 큐냅(QNAP)과 시놀로지(Synology) 등이 있다. 인터넷에 무방비로 노출되어 있기 때문에 CVE 로 공개되는 취약점 외에도 간단한 대입공격에 의해서 쉽게 NAS의 중요 자료들이 노출될 수 있다.

최근에는 그런 상용 NAS 제품 외에도, 오픈소스나 프리웨어로 사용되고 있는 간이 NAS 에도 많은 문제가 지적되고 있다. 대표적인 케이스로는 HFS HTTP File Server 가 있다. 클릭 몇 번으로 설치되며, 파일을 드래그 하기만 하면 여러 파일을 쉽게 업로드 할 수 있고, URL을 통해 외부로도 쉽게 파일공유를 할 수 있는 등, 설치와 사용이 매우 간단하기 때문에 개인은 물론 중소규모 기업에서도 많이 사용하는 간편한 NAS 로 알려져 있다. 아래 이미지는 서버를 가동한 화면이다.

HFS HTTP File Server Files 가동 화면

전 세계에 노출된 1,500여대 HFS HTTP 파일 서버

하지만 기본적인 인증이라도 걸려 있는 Synology 나 Qnap 과는 달리 이 HFS 서버의 치명적인 문제는, 디폴트 상태에서는 ID/PW 의 인증조차 없이 사용되는 경우가 많다는 것이다. 그렇다면 이 파일서버에 들어가 있는 모든 파일이 외부에서 누구나 쉽게 접근하여 다운로드 받아갈 수 있으며, 이는 곧 데이터의 유출로 이어진다. 아래 화면은 Criminal IP 에서 HFS port:8080 라는 검색으로 전 세계에 노출된 HFS 서버를 검색해본 장면이다. 이 글이 쓰여진 타이밍을 기점으로 1,500여대의 서버가 외부에 노출되어 있는 것을 확인할 수 있다. 

Criminal IP의 “HFS port:8080” 검색결과, 전 세계에 노출된 HFS 서버

몇몇 서버를 확인해본 결과 아래와 같이 Windows 정품 파일 등의 파일이 노출된 채 운영되는 것을 확인할 수 있고, mkv 동영상 파일이 그대로 올라가 있는 것도 발견할 수 있었다.

Criminal IP에서 발견된 HFS file server

Criminal IP에서 발견된  HFS file server

악성코드 유포지로 악용되는 노출된 HFS 서버

이러한 HFS 서버의 노출 문제가 더 심각한 것은, 개인이나 소규모 기업에 의해 실수로 노출된 것 외에도 악성코드 유포지로 쓰일 수도 있다는 점이다. 특정 서버를 해킹하여 HFS 서버를 가동해 놓고, 그곳에 악성코드를 업로드 해 둔다면, 해킹된 타 사이트를 방문했을 때, 이 HFS 서버로 리다이렉션 하여 악성코드에 감염되게 할 수도 있고, 악성 이메일에 포함된 악성 링크를 클릭했을 때, 여기에 포함된 HFS 서버의 악성코드를 실행되게 만들 수도 있다.

ExploitwareLabs 에 의하면, 중국의 HFS 서버에 avp.exe 라는 악성코드와 api.aspx 라는 Webshell 이 업로드 되어 있다는 내용이 발견되었다고 한다. 이 파일은 VirusTotal 로 확인한 결과 9개 백신에서 진단하고 있으나 한국을 포함한 몇몇 국가의 백신에서는 아직도 전혀 탐지 되지 않고 있음을 알 수 있다. (참고로 이 내용이 알려진 이후, 중국에 위치하고 있는 악성코드 배포 HFS 서버는 현재 모두 클로즈 되었거나 ID/PW 인증이 걸려있는 상태로 변경되었다)

중국의 HFS 서버에 avp.exe 라는 악성코드와 api.aspx 라는 Webshell 이 업로드 되어 있다

Virustotal로 진단한 avp.exe 악성코드와 api.aspx Webshell 파일

Criminal IP 에서 노출된 HFS HTTP File Server를 검색하는 방법

8080 포트 외에 다른 포트를 사용하고 있는 HFS HTTP File Server도 아래와 같은 Criminal IP의 Asset Search 기능의 favicon 필터를 활용하여 찾을 수 있다. HFS 서버에 발견된 favicon 에 마우스를 올려서 팝업 메뉴 클릭으로 검색할 수도 있고, favicon: 7ea0af85 으로 직접 검색어를 입력해도 가능하므로 다양한 형태의 HFS 서버를 발견할 수 있다.

Criminal IP의 favicon 검색 기능으로 찾은 노출된 HFS 서버

Criminal IP의 favicon 검색 기능으로 찾은 노출된 HFS 서버

중국 HFS 서버로 제한하여 검색을 하고 싶을때는 country:CN 을 포함하면 중국 서버만 검색되게 된다.

• 파비콘: 7ea0af85 국가:CN

다음과 같이 필터를 응용하여 다양한 방법으로 노출된 HFS 서버를 검색할 수 있다.

• HFS 포트: 8080
• 파비콘: 7ea0af85 국가:CN
• HFS 포트:8080 국가:CN

그 외 국가도 국가코드를 필터에 입력하면 원하는 다른 국가로도 검색 가능하다.

사용 중인 파일서버의 사이버 위협 점검

이 문제는 비단 HFS 서버만의 문제가 아니다. HFS 서버 이외에도 다양한 제품의 NAS 나 파일서버가 존재한다. 기업이나 개인은 본인의 파일서버가 외부에 인증장치 없이 노출되었는지 주기적으로 점검해야 한다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로Criminal IP 무료 베타 테스터 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.

참고사이트 : ExploitWareLabs