Mission
- 키워드를 통한 Shodan 의 이용 범위 (검색할 수 있는 IoT 기기들)
- 기기에 따른 특징
CCTV, WebCam, IP Cam
세 기기의 차이점.
-
CCTV
기기가 접근하기 쉬운 장소에 설치된 경우, 악의적인 사용자가 카메라를 훼손하거나 제거할 수 있다.
CCTV 녹화 장치에 저장된 데이터가 해킹될 경우, 영상이 유출될 수 있다. -
IP 카메라
IP 카메라는 인터넷에 연결되기 때문에 해커가 네트워크를 통해 접근할 수 있습니다. 이로 인해 카메라의 영상이 유출되거나 조작될 수 있다.
제조업체의 소프트웨어 업데이트 부재로 인한 취약점이 악용될 수 있다. -
웹캠
해커가 악성 소프트웨어를 통해 웹캠을 원격으로 켜고 사용자의 영상을 몰래 촬영할 수 있다.
웹캠에 대한 물리적 접근 또는 해킹을 통해 사용자의 사생활이 침해될 수 있다.
#1 CCTV
200 ok dvr port:81 country:"US"
특정 CCTV 회사의 로그인 페이지 목록을 확인할 수 있었다.
고객이 로그인 정보 변경 없이 사용 중인 CCTV의 경우 쉽게 탈취당할 위험이 존재한다.
베트남에 3000개 이상의 기기가 검색됨.
네트워크 제공업체와 기기 제공 업체 확인가능
국내 : title:"CCTV" country:"KR" port:8080
중국의 CCTV 접속도 가능하다.
#2 IPCam
title:”IPCam Client” IPCam
만약 기본 설정이 변경되지 않았다면, FOSCAM 업체의 디폴트 아이디 및 비밀번호를 사용하여 접근할 수 있을 것이다.
#3 Webcam
WindowsXP 및 Windows 7 웹카메라 : title:"webcamXP"
Windows에서 사용되는 가장 유명한 webcam network software 이다.
로그인이 필요한 CCTV 페이지가 존재하는가 하면 로그인 없이 바로 내용을 확인할 수 있는 CCTV 페이지도 존재하였다.
Shodan 같은 IoT 검색 사이트를 통해 개인의 민감한 사생활까지 염탐하고 침해당할 수 있는 위험이 존재한다.
웹캠 소프트웨어 제공 업체 ("Yawcam") : "Server: yawcam" "Mime-Type: text/html"
거리 뿐 아니라 집 내부, 작업장까지 확인할 수 있었다.
Network Printer
네트워크 프린터가 사용하는 port
포트 80 (HTTP)
웹 기반 관리 인터페이스를 제공하는 프린터에서 사용됩니다. 기본 비밀번호가 설정되지 않거나 취약한 경우 외부에서 쉽게 접근하여 설정을 변경하거나 공격할 수 있습니다.
포트 443 (HTTPS)
보안된 웹 기반 관리 인터페이스를 위한 포트입니다. SSL/TLS를 사용하지만, 잘못된 인증서 구성이나 보안 취약점이 있을 경우 공격의 대상이 될 수 있습니다.
포트 9100 (RAW Printing)
RAW 인쇄 명령을 수신하는 데 사용되며, 기본 비밀번호가 없거나 적절한 보안 조치가 없을 경우, 악의적인 사용자가 이 포트를 통해 인쇄 작업을 제출하거나 서비스 거부 공격을 할 수 있습니다.
포트 631 (IPP)
Internet Printing Protocol(IPP)에 따라 인쇄 요청을 처리합니다. 이 포트가 열려 있고 인증이 없을 경우, 원격으로 프린터에 접근하여 정보를 유출하거나 인쇄 작업을 조작할 수 있습니다.
포트 515 (LPR)
LPD (Line Printer Daemon) 프로토콜을 사용하여 인쇄 요청을 받습니다. 이 포트를 통해 악의적인 인쇄 요청이 가능할 수 있습니다.
포트 139/445 (SMB)
파일 공유 및 프린팅을 위한 프로토콜인 SMB에서 사용됩니다. 이 포트가 열려 있는 경우, 원격에서 시스템에 접근하여 데이터를 유출하거나 침해할 수 있는 위험이 존재합니다.
Shodan 검색
printer
HP Printer : printer product:"HP Printer Embedded Web Server"
가장 대중적으로 사용되는 HP printer는 손쉽게 네트워크 페이지에 접근할 수 있었다.
위 정보로 아래의 공격이 가능할 것이다.
- 식별된 IP 주소로 DDoS 공격
- IPv4, IPv6 네트워크 설정, 방화벽 등 보안 설정 변경
- 장난 / 협박 인쇄물을 통한 업무 방해
- 로그인 정보 및 관리자 설정을 변경하여 기존 사용자의 접근 제한
산업제어시스템
산업제어시스템은 센서, 밸브, 펌프 등 산업 관련 장치를 제어, 모니터링하고 중요 데이터를 수집하며 주로 발전 시설, 석유화학 플랜트, 풍력 발전소 등 산업 현장 관리 및 제어에 사용된다.
산업제어시스템 주요 공격 port
-
포트 502 (Modbus)
Modbus 프로토콜은 산업제어 및 자동화 시스템에서 많이 사용된다.
접근이 허용되면, 악의적인 사용자가 데이터를 조작하거나 명령을 전송할 수 있는 위험이 있다. -
포트 47808 (BACnet):
BACnet은 건물 자동화 및 제어에 사용되는 프로토콜
이 포트가 열려 있다면, 제어 시스템에 대한 불법적인 접근과 조작이 가능해질 수 있다. -
포트 20000 (Data Distribution Service, DDS):
DDS는 산업 환경에서 데이터 통신을 위해 사용
이 포트를 통한 공격은 데이터의 변조나 서비스 거부 공격의 위험을 초래할 수 있다. -
포트 22 (SSH):
보안 쉘(SSH) 프로토콜을 통해 원격 관리 및 접속이 가능하나, 비밀번호가 약하거나 취약한 경우 해킹이 될 수 있다. -
포트 21 (FTP):
파일 전송 프로토콜(FTP)을 통해 네트워크에 접근할 수 있으나, 기본 인증이 악용될 경우 공격에 노출될 수 있다. -
포트 443 (HTTPS):
보안 웹 인터페이스를 위한 포트
취약한 인증이나 소프트웨어의 취약점을 통해 공격받을 수 있다. -
포트 135 (RPC):
원격 프로시저 호출에 사용
취약한 모든 서비스를 통해 악성 코드 또는 공격자가 침투할 수 있는 가능성이 있다.
Shodan 검색
CarelDataServer
Carel의 데이터 서버 소프트웨어와 관련된 장치를 찾을 수 있습니다. Carel은 HVAC 시스템, 냉동 및 자동화 솔루션을 제공하는 회사입니다. 난방, 환기, 공조를 포함하는 시스템
Modbus : port:502 country:"KR"
Modbus 502 포트가 허용된 국내 시스템 중, 웹 관리 포트가 외부에 노출된 시스템이 확인 가능했다.
웹 관리 포트로 접속 시 관리 시스템 로그인 페이지에 그대로 접근할 수 있었다.
HMI
휴먼 머신 인터페이스(Human-Machine Interface)와 관련된 장치를 찾기 위한 검색 키워드
