자세한 정보는 https://www.hackingarticles.in/evil-ssdp-spoofing-the-ssdp-and-upnp-devices/를 확인하세요.

SSDP 및 UPnP 개요

SSDP (Simple Service Discovery Protocol)는 DHCP 또는 DNS 구성을 필요로하지 않고 UDP 포트 1900에서 작동하여 네트워크 서비스 광고 및 검색에 사용됩니다. 이는 UPnP (Universal Plug and Play) 아키텍처에서 기본적으로 사용되며 PC, 프린터 및 모바일 기기와 같은 네트워크 기기 간의 원활한 상호 작용을 용이하게합니다. UPnP의 제로 구성 네트워킹은 장치 검색, IP 주소 할당 및 서비스 광고를 지원합니다.

UPnP 흐름 및 구조

UPnP 아키텍처는 주소 지정, 검색, 설명, 제어, 이벤트 및 표시로 구성된 여섯 개의 레이어로 구성됩니다. 초기에 장치는 IP 주소를 얻거나 자체 할당 (AutoIP)을 시도합니다. 검색 단계에서는 SSDP가 사용되며, 장치는 M-SEARCH 요청을 활성적으로 보내거나 서비스를 알리기 위해 패시브하게 NOTIFY 메시지를 브로드캐스트합니다. 클라이언트-장치 상호 작용에 중요한 제어 레이어는 XML 파일의 장치 설명을 기반으로 명령 실행을 위해 SOAP 메시지를 활용합니다.

IGD 및 도구 개요

IGD (Internet Gateway Device)는 표준 WAN 인터페이스 제한에도 불구하고 열린 SOAP 제어 지점을 통해 일시적인 포트 매핑을 NAT 설정에서 용이하게합니다. Miranda와 같은 도구는 UPnP 서비스 검색 및 명령 실행을 지원합니다. Umap은 WAN에 액세스 가능한 UPnP 명령을 노출시키며, upnp-arsenal과 같은 저장소는 다양한 UPnP 도구를 제공합니다. Evil SSDP는 위조된 UPnP 장치를 통해 피싱에 특화되어 있으며, 합법적인 서비스를 모방하기 위한 템플릿을 호스팅합니다.

Evil SSDP의 실제 사용

Evil SSDP는 신뢰할 수 있는 가짜 UPnP 장치를 효과적으로 생성하여 사용자가 보이는 서비스와 상호 작용하도록 속이는데 사용됩니다. 사용자는 진짜와 같은 외관에 속아 인증 정보와 같은 민감한 정보를 제공할 수 있습니다. 이 도구의 다양한 템플릿은 스캐너, Office365 및 비밀번호 보관함과 같은 서비스를 모방하여 사용자의 신뢰와 네트워크 가시성을 활용합니다. 자격 증명을 획득한 후 공격자는 피해자를 지정된 URL로 리디렉션하여 속임수의 신뢰성을 유지할 수 있습니다.

완화 전략

이러한 위협을 대응하기 위해 권장되는 조치는 다음과 같습니다:

• 필요하지 않을 때 장치에서 UPnP 비활성화

• 피싱 및 네트워크 보안에 대해 사용자 교육

• 암호화되지 않은 민감한 데이터에 대한 네트워크 트래픽 모니터링

요약하면, UPnP는 편의성과 네트워크 유동성을 제공하지만 잠재적인 악용 가능성을 열어둡니다. 인식과 적극적인 방어는 네트워크 무결성을 보장하기 위한 핵심입니다.