IVRE Network recon Framework 활용 보안 취약점 점검

IVRE란?

Shodan 이나 Censys 와 같이 포트 스캔을 기반으로 스위치,라우터,웹서버,특정 서비스 포트 등의
정보를 수집하여 결과에 대한 분석 및 취약점에 대한 보완 조치를 할수 있는 Python 기반의 OSINT 도구.
사실 위에 언급한 사이트들은 해킹 초기 단계인 정보수집 목적으로 더 많이 사용된다.

Shodan 이나 Censys는 전체 정보를 보기 위해서는 비용을 지불 해야함
이에 반해 IVRE는 완전 무료이며 독립적으로 구성 가능
운영중인 자사 전체 서비스(IP)에 대한 보안 취약성 점검 도구로 활용 가능

요약 하자면,
IVRE는 Nmap 의 결과를 Mongo DB 에 저장하고 웹으로 보여주는 Python 기반의 오픈소스 네트워크 포트 스캔
프레임워크.

OSINT란?
오픈소스 인텔리전스 (Open Source INTelligence) 외부에 공개된 정보(인터넷상에 공개된 정보)를
기반으로 분석,가공등의 과정을 거쳐 수집된 정보를 활용하는 정보 활동
공개된 출처에서 정보를 수집하는 활동

예를 들자면,
특정 도메인에 대한 정보 수집 whois 같은것 IP정보, AS 정보, 국가코드 등의 공개된 정보 파악
이메일 정보를 구글,네이버,다음 등 사이트에서 검색하여 이름,나이,성별,근무지 등의 정보를 기반으로
특정 사람에게 악성코드가 포함된 이메일 발송
Linkedin, Twitter, Facebook 등 소셜 네트워크 웹 사이트에서 특정 인물의 공개된 정보를 수집하여 다양한 용도로 활용

Shodan 이나 Censys 등 사이트에서 노출된 정보를 활용하거나 악용하는 행위

IVRE 활용 방안
자사에서 운영중인 전체 네트워크 IP 대역에 대한 정기적인 포트 스캔으로 취약점 발견
취약점 분석 및 사전 대처로 보안 사고 예방 및 보안 리스크 최소화

IVRE 로 할수 있은것들...
많은 기능들중 대표적으로

-전체 IP 대역에 대한 시각화 용이 (범위, 지도 표시)
-서비스 중인 전체 포트 리스트 통계
-서비스중인 전체 Product, Service, CPE 통계 (Apache, nginx, ASP.NET, smtp 등)
-비교 기능
-보고서 기능 (서브넷별 IP 사용 현황, 카테고리별 현황 등)
-nmap NSE 스크립트를 활용한 취약점 점검

-외부 ANY OPEN 불필요 port 점검

이외 다양한 기능이 있으며 자세한 내용은 https://ivre.rocks/ 참고.

IVRE 네트워크 정찰 프레임워크 실무 도입기

-현재 서비스 중인 모든 자사 네트워크 대역(IP 목록) 목록화 후 정기적인 포트 스캔 월 1회 진행
-현재 C클래스 기준 약 70개 네트워크 대역 (사설 IP 대역은 제외)
-IVRE 옵션중 --process 50 으로 실행시 C클래스 한개당 약 10~12분 소요 / 전체 약 11시간 소요
(1-65535 full scan 시 시간은 더 오래 걸리며 / nmap 기준 빈도수가 높은 top 1000개 기준으로 스캔 진행)
-운영중인 서비스 특성상 Ubuntu 기준 /usr/share/nmap/nmap-services 파일에서 특정 포트 추가 및
빈도수 수정하여 스캔 진행중

- Nmap 버전 업그레이드 (full scan 옵션 실행시 --script 옵션 설정시 에러 발생 문제로)
-일부 소스 수정하여 사용중 (리포트 기능, 결과 TOP 10 -> TOP 100으로 수정)
-보안 이슈로 웹페이지 접속시 Apache 인증 추가
-ivre scancli 를 활용한 스크립트 실행으로 취약 포트 점검

-report 기능에서 컬러색 변경

-스캔 시간을 줄이기 위해 소스코드에서 traceroute 항목 제외

-이외 다수의 커스터마이징

IVRE 구성 완료 화면

IVRE 로 발견된 취약점

FTP Anonymous 로그인 서버 발견
Elastic 비인증 API 포트 외부 노출 서버 발견
Windows 취약 포트 135, 139, 445 서버 발견

SSH, RDP OS 접속 포트 외부 노출 서버 및 스위치 장비 발견

Mysql, MSSQL DB 접속 포트 외부 노출 DB 발견

Tomcat 관리자 페이지 포트 외부 노출 발견

이외 다양한 취약점 발견

ivre scancli 명령을 활용하여 script로 처리된 내용

============ 취약 포트 점검 결과 ============

>> Port 21 (3개)
x.x.x.160 x.x.188.130 x.x.107.3

>> Port 22 (14개)
2x.x.x.5 107.54 x.x.107.18 x.x.107.2 x.x.107.1 x.x.107.72 x.x.107.95 x.x.107.111 x.x.107.254 x.x.189.1 x.x.x.161 x.x.x.81 x.x.x.11 x.x.x.10

>> Port 23 (3개)
x.x.x.161 x.x.189.253 x.x.189.14


>> Port 9200 (4개)
x.x.x.239 x.x.x.140 x.x.40.109 x.x.10.68

>> Port 3306 (2개)
x.x.107.40 x.x.107.2


>> Port 1433 (4개)
x.x.x.43 x.x.x.78 x.x.107.55 x.x.107.38

>> Port 1434 (5개)
x.x.x.164 x.x.x.75 x.x.x.81 x.x.x.83 x.x.x.85

>> Port 5432 (0개)

>> Port 3389 (1개)
x.x.x.40

>> Port 445 (4개)
x.x.x.190 x.x.107.107 x.x.107.91 x.x.107.3

>> Port 139 (3개)
x.x.107.91 x.x.107.55 x.x.107.3

>> Port 135 (5개)
x.x.x.186 x.x.107.3 x.x.107.55 x.x.107.107 x.x.194.50