FTP(File Transfer Protocol) 취약점 공격

개요

File Transfer Protocol의 약자로 인터넷을 통해 파일을 송수신하기 위해 만들어진 서비스 즉 프로토콜입니다. 기능이 단순한 만큼 동작 방식 매우 단순하여 사용법도 쉬운 편입니다.

과거 WWW(World Wide Web)을 통해 사진, 음악, 동영상 등 콘텐츠를 읽을 수 있지만 많은 양의 파일을 주고받기에는 느렸기에 대량의 파일을 네트워크를 통해 주고받을 수 있게끔 고안된 서비스입니다.

 

FTP 사용 시 주의할 점

(1) FTP의 익명 서비스
(2) 해당 서비스의 접근제어 미흡
(3) 약한 문자열의 계정
(4) 평문 통신이기에 패킷에 정보가 노출

이러한 보안적인 측면을 고려하지 않고 오로지 편리를 위해 사용하게 될 경우, 공격자는 취약한 FTP 서비스를 이용해 대상의 서비스에 직접 접근하여 기밀성과 가용성 무결성 등을 침해할 우려가 존재합니다.

 

nmap -T4 -sS 대상 주소
-T4 : 속도 지정( max : 5 )
-sS : SYN Scan ( 대상과 세션을 성립하지 않아 행위를 노출할 우려가 적음 )

nmap 스캐닝을 통해 대상 서비스에 FTP 서비스가 활성화되어 있는 것을 확인합니다. FTP 서비스는 기본적으로 20번(정송)과 21번(명령, 응답 등 제어)을 사용하고 있습니다.

 

서비스 중인 것을 확인했으니 FTP Banner Grabbing을 통해 서비스의 상세 버전 정보를 확인할 수 있습니다.

 

ProFTPD 1.3.1 버전을 사용 중인 것을 확인했으니 버전에 대한 공개된 exploit 이 있는지 확인해봅니다. 만일 공개된 exploit 이 없을지라도 brute force 나 dictionary attack 같은 무차별 대입 공격을 시도하여 약한 문자열을 사용 중인지 테스트해보면 됩니다.

 

*telnet을 기반으로  Banner Grabbing 할 경우 웹 서버(Apache , IIS 등) 상세 버전을 확인 가능

 

 msf5 > use scanner/ftp/ftp_version
 msf5 auxiliary(scanner/ftp/ftp_version) > set RHOSTS 192.168.0.0/24 --> 전체대역
 RHOSTS => 192.168.0.0/24
 msf5 auxiliary(scanner/ftp/ftp_version) > set THREADS 50
 THREADS => 50
 msf5 auxiliary(scanner/ftp/ftp_version) > run

nmap 이외에도 msfconsole을 통해서도 대상 서비스들에 대한 전체 대역을 대상으로 열려있는 FTP 서비스를 확인할 수 있습니다.

 

 -t : 스레드 개수(최대 64) 디폴트 16
 -w : 스레드 대기시간 (낮을수록 빠름)
 -L : ID 파일
 -P :Password 파일
 -f : Cracking 성공시 종료
 맨끝만 ftp, ssh, telnet 등으로 바꿔서 공격 가능

공개된 exploit 이 없는 버전일 경우 이처럼 무차별 대입 공격을 시도하여 계정의 문자열 강도를 테스트해 볼 수 있습니다. 때론 FTP 계정과 페이지 소스 등에 노출된 일반 서비스 계정이 동일한 경우도 존재합니다.

 

 msfconsole 입력
 msf5 > use auxiliary/scanner/ftp/anonymous 
 msf5 auxiliary(scanner/ftp/anonymous) > set RHOSTS 192.168.0.131
 RHOSTS => 192.168.0.131
 msf5 auxiliary(scanner/ftp/anonymous) > exploit

msfconsole을 통해 대상의 FTP 서비스가 익명(Anonymous) 서비스를 지원하고 있는지 확인하여 만일 접근이 가능할 경우 익명 서비스로 접근하여 악성 파일을 업로드시킬 수 있습니다.

위와 같이 Anonymous READ/WRITE로 도출될 경우 익명 계정으로 읽기 및 쓰기(수정) 이 가능하다는 것을 의미합니다.

 

ID : Anonymous / Password : Anonymous를 입력하여 익명 계정으로 접속 완료되었으니 대상 시스템 명령어를 활용하여 디렉터리 목록을 확인할 수 있습니다.

 

nmap script 활용한 익명 계정 확인

nmap -p21 192.168.0.131 --script ftp-anon.nse

사진을 보시다시피 FTP(21) 서비스가 활성화되어있는 것과 동시에 Anonymous 서비스를 허용하고 있기에 대상 시스템의 파일 항목들이 쉽게 노출이 됩니다.

 

익명 계정으로 악의적인 webshell 파일을 업로드해 보록 하겠습니다. 업로드하기 위해 사용되는 http 메소드인 "put"을 활용했습니다.

 

웹 서버 경로인 /var/www 에 bWAPP/documents 에 ftpshell.php 가 성공적으로 업로드되어 있는지 확인했습니다.

 

대상 서비스의 주소에서 좀 전에 웹쉘 경로명을 기억하여 bWAPP/documents/ftpshell.php를 입력하여 업로드한 웹쉘을 실행해본 결과 성공적으로 실행된 것을 확인할 수 있습니다.

 

---

대응 방안

(1) 사용하지 않는 서비스라면 FTP 서비스를 비 활성하고 SSH 나 SFTP를 사용하도록 해야 합니다.

SSH : 네트워크에서 서로 간에 통신할 때 보안적으로 안전하게 통신하기 위해 사용되며 " 데이터 전송 " , " 원격제어 " 가 주목적

SFTP : 일반적인 FTP 와는 달리 PC와 서버 간에 전송되는 데이터가 암호화되어 있기 때문에 패킷에 평문 내용이 노출되지 않습니다.

 

(2) 익명(Anonymous) 서비스 비활성화 -> proftpd.conf

<Anonymous /var/www/bWAPP/documents>
  User ftp
  Group ftp
  UserAlias anonymous ftp
  RequireValidShell off  --> on 으로 변경하면 익명로그인 차단
  AnonRequirePassword off
  MaxClients 10
 </Anonymous>

(3) 접근에 대한 블랙리스트 설정 --> ftpusers

 # /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).
 root
 daemon
 bin
 sys
 sync
 games
 man
 lp
 mail
 news
 uucp
 nobody
 로그인 비허용시킬 계정 추가 ( 여기선 bee 계정을 추가해주면 bee 계정으로 접속불가

(4) 접근에 대한 화이트리스트 설정

 허용시킬 IP 등록 --> /etc/hosts.allow
 이외에 모두차단 --> /etc/hosts.deny
 2가지 적용후 proftpd.conf 에서 tcp_wrapper=YES 로 되어있는지 확인( default 는 yes )
 
 *단 hosts.deny 에 등록되어 있어도 hosts.allow 에 접속허용 정책이 설정되어 있으면 접속이 가능해짐

(5) Windows 에서 FTP 접근제어 정책

Windows 2000,2003,2008 버전
인터넷 정보 서비스(IIS)관리 -> FTP사이트 -> 속성 -> 디렉터리 보안 탭에서 "액세스 거부" 선택후 접근시킬 IP주소 추가