□ 개요
 o 외부에서 접속 가능한 특정 통신 프로토콜* 운영 장비를 대상으로 한 사이버 공격 대비 주의 당부

 * Generic Routing Encapsulation(GRE), Cisco Smart Install(SMI), Simple Network Management Protocol(SNMP) 

□ 주요 내용

 o (정보수집) 외부에서 접근 가능한 운영 장비 탐색*

 * Telnet(포트 23), HyperText Transfer Protocol(HTTP, 포트 80), Simple Network Management Protocol(SNMP,포트 161/162), Cisco Smart Install(SMI, 포트 4786)

 o (감염시도) 탐색을 통해 수집한 장비를 대상으로 특수하게 조작된 SNMP 및 SMI 패킷 전송함

 o (악성코드 설치) SMI가 활성화 되어있는 Cisco 라우터 또는 스위치 대상으로 공격자 제작 악성코드 설치

 o (명령 및 제어) 공격자는 악성코드를 통해 장비 제어

□ 대응방안

 o 비암호화 프로로토콜을 사용하는 Telnet 및 SNMPv1/SNMPv2c를 사용하지 않는 경우 비활성화하고 SSH 및 SNMPv3과 같은 최신 암호화된 프로토콜 사용권고

 o 외부에서 접속할 수 있는 통신 프로토콜(TCP, TFTP, SMI 등) 운영 장비에 대해 안전한 접속 비밀번호 설정, 방화벽 등을 통한 접근통제, 네트워크 로그 설정, 트래픽 모니터링 검토

 o SMI 활성화 여부 확인 및 공격 시도 탐지

   - (SMI 활성화 확인) 다음 명령을 통해 활성화 확인

     ※ (명령) show vstack config | inc

     ※ (명령) show tcp brief all

   - (SMI 공격 시도 감지) 다음 시그니처를 통해 SIET의 명령 change_config, get_config, update_ios 및 execute의 사용을 감지

     ※ alert tcp any any -> any 4786 (msg:"SmartInstallExploitationTool_UpdateIos_And_Execute"; flow:established; content:"|00 00 00 01 00 00 00 01 00 00 00 02 00 00 01 c4|"; offset:0; depth:16; fast_pattern; content:"://";)