□ 개 요
 o 외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로한 사이버 공격 대비 주의 당부
   * Generic Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management Protocol(SNMP)
 
□ 주요 내용
 o (정보수집) 외부에서 접근 가능한 운영 장비 탐색*
   * Telnet(포트 23), HyperText Transfer Protocol(HTTP, 포트 80), Simple Network Management Protocol(SNMP,

      포트 161/162), Cisco Smart Install(SMI, 포트 4786)
 o (감염시도) 탐색을 통해 수집한 장비를 대상으로 특수하게 조작된 SNMP 및 SMI 패킷 전송함
 o (악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드 설치
 o (명령 및 제어) 공격자는 악성코드를 통해 장비 제어
 
□ 대응방안
 o 비암호화 프로로토콜을 사용하는 Telnet 및 SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH 및 SNMPv3과

    같은 최신 암호화된 프로토콜 사용권고
 o 외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI 등) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한

    접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토
 o SMI 활성화 여부 확인 및 공격 시도 탐지
   - (SMI 활성화 확인) 다음 명령을 통해 활성화 확인
     ※ (명령) show vstack config | inc
     ※ (명령) show tcp brief all
   - (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios 및 execute의 사용을 감지
     ※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established;

         content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)
     ※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_ChangeConfig"; flow:established;

         content:"|00 00 00 01 00 00 00 01 00 00 00 03 00 00 01 28|"; offset:0; depth:16; fast_pattern; content:"://";)
     ※ alert tcp any any -> any 4786 (msg: "SmartInstallExploitationTool_GetConfig"; flow: established; content:

         "|00 00 00 01 00 00 00 01 00 00 00 08 00 00 04 08|"; offset:0; depth:16; fast_pattern; content:"copy|20|";)
 o 인가되지 않은 IP주소로부터 접근하는 GRE 트래픽의 유무 또는 알 수 없는 GRE 터널의 생성, 수정 또는 삭제 로그가

    있는지 검사

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
 [1] https://www.us-cert.gov/ncas/alerts/TA18-106A
 [2] https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices