Trojan Horse가 내포된 Sendmail 배포

======================
KA-2002-85: Trojan Horse Sendmail Distribution
----------------------

최초작성일 : 2002-10-09
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구 <jgkang [at] certcc [dot] or [dot] kr>

-- 제목 --------------
Trojan Horse가 내포된 Sendmail 배포

-- 해당 시스템 --------
sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz

--영향-----------------
공격자는 원격으로 트로이쟌이 내포된 sendmail을 컴파일한 호스트에 대하여
비인가 권한을 획득한다.
공격자의 권한은 악성코드를 컴파일한 사용자의 권한일 것이다.

반드시 이해할 점은, sendmail 데몬을 실행하는 시스템을 공격하는 것이
아니라 sendmail 소프트웨어를
사용하는 시스템에 대하여 공격을 한다는 것이다.

-- 설명---------------
2002년 9월 28일경부터 10월 7일 오전까지 ftp.sendmail.org에서 sendmail
자체에 트로이쟌이 숨어 있는
제품들이 있었다. 현재까지 HTTP 프로토콜을 이용한 자료다운로드에는 이상이
없는 것으로 나와 있으나
사용자는 그래도 한번 점검해 볼 필요가 있다.

다음의 제품들에 대하여 소스코드가 수정되어 졌다.
sendmail.8.12.6.tar.Z
sendmail.8.12.6.tar.gz

이 악성 프로그램은 sendmail이 설치된 후 원격서버의 6667/tcp 포트로
접속을 허용한다. 이를 통해 공격자는
사용자의 권한으로 shell을 연다.

-- 해결책---------------
만약 자신의 시스템이 해킹을 당했다면 CERTCC-KR로 즉시 연락을 취하고
UNIX 와 NT System에 대한 침해사고
대응절차를 밟아야 한다.

1. 무결성 sendmail을 다시 설치한다.
다운로드 위치 : http://www.sendmail.org/

2. 무결성 프로그램의 PGP Key를 확인

pub 1024R/678C0A03 2001-12-18 Sendmail Signing Key/2002

<sendmail [at] sendmail. [dot] org>
Key fingerprint = 7B 02 F4 AA FC C0 22 DA 47 3E 2A 9A 9B 35 22 45

3. 무결성 프로그램의 MD5 checksum 확인

73e18ea78b2386b774963c8472cbd309 sendmail.8.12.6.tar.gz
cebe3fa43731b315908f44889d9d2137 sendmail.8.12.6.tar.Z
8b9c78122044f4e4744fc447eeafef34 sendmail.8.12.6.tar.sig

위와 다른 PGP key 또는 MD5 checksum일 경우 일단 의심을 해야 한다.

------- 참조 사이트 --------------------------
http://www.cert.org/incident_notes/IN-2001-06.html
http://online.securityfocus.com/advisories/4541
--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert [at] certcc [dot] or [dot] kr
==============================================================

관련 링크: http://www.sendmail.org