당신은 주제를 찾고 있습니까 “백도어 탐지 방법 – 휴대전화 하나로 찾아내는 ‘몰래카메라 꿀팁’ @생활의 달인 637회 20180910“? 다음 카테고리의 웹사이트 ppa.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.maxfit.vn/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 SBS STORY 이(가) 작성한 기사에는 조회수 205,583회 및 좋아요 1,729개 개의 좋아요가 있습니다.
백도어 탐지 방법 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 휴대전화 하나로 찾아내는 ‘몰래카메라 꿀팁’ @생활의 달인 637회 20180910 – 백도어 탐지 방법 주제에 대한 세부정보를 참조하세요
생활의 달인 637회 20180910
휴대전화 하나로 교묘히 숨겨진 몰래카메라를 찾는 비법이 있다. 몰카 탐지 달인의 꿀팁을 확인해본다.
홈페이지 http://program.sbs.co.kr/builder/programMainList.do?pgm_id=00000305532
백도어 탐지 방법 주제에 대한 자세한 내용은 여기를 참조하세요.
백도어 탐지 방법 – kicker1979
백도어 탐지 방법 · 1. 현재 동작중인 프로세스 및 열린 포트 확인. ps -ef를 통해 실행되어지고 있는 프로세스를 확인하였다. 내가 모르는 프로세스가 …
Source: eatenkicker.tistory.com
Date Published: 8/6/2022
View: 3843
시스템 해킹 5강 – 백 도어(Backdoor) 탐지 – 네이버 블로그
백도어 탐지 기법 및 대응. 백도어를 탐지하기에 앞서 백도어 프로그램이 가지는 특징을 생각 해 보자. 주로 SetUID권한을 가진 파일을 변조해서 사용 …
Source: m.blog.naver.com
Date Published: 5/30/2021
View: 4939
백도어 탐지 순서와 대응책 – CSEME
무결성 검사는 시스템에 어떤 변화가 일어나는지 테스트하는 것이다. 무결성 검사에는 MD5 해시 기법을 많이 쓴다. 파일 내용이 조금만 바뀌어도 해시 …
Source: gjwjdgnsrnlg.tistory.com
Date Published: 8/12/2021
View: 4454
Backdoor 탐지기법 및 대응
Backdoor 탐지기법 및 대응 · 1. 현재 동작중인 프로세스 및 열린 port 확인 · 2. SetUID 파일검사 · 3. Virus 및 Backdoor 탐지 tool 이용 · 4. 무결성 검사.
Source: 8jz5.tistory.com
Date Published: 1/16/2021
View: 5261
리눅스, 윈도우 백도어 탐지 및 대응기법 – 덕’s IT Story
1. 현재 동작중인 프로세스 및 열린 포트 확인 · 2. SetUID 파일 검사 · 3. 바이러스 및 백도어 탐지 툴 이용 · 4. 무결성 검사 · 5. 로그 분석.
Source: itstory.tk
Date Published: 7/30/2021
View: 3491
악성코드 탐지 및 이상포트 탐지 방법 – 소프
번호만으로 추측하기가 어려운 경우에는 CPorts 같은 프로그램으로 서비스 포트별로 사용하는 응용 프로그램을 확인할 수 있고 BackDoor-DVR 실행한 뒤 …
Source: onecoin-life.com
Date Published: 3/5/2022
View: 1635
백도어 탐지 방법으로 틀린 것은? – HELLOCBT
공유하기. 정보처리기사. 2020년 06월 06일 기출문제. 83. 백도어 탐지 방법으로 틀린 것은? 1. 무결성 검사. 2. 닫힌 포트 확인. 3. 로그 분석. 4. SetUID 파일 검사.
Source: hellocbt.com
Date Published: 7/18/2021
View: 5347
[Focus In-Depth] 간단한 명령어로 좀비 PC 확인하는 방법
사용자는 netstat 명령어를 통해 자신의 PC에서 열려 있는 포트 정보를 모두 알 수 있는데, 이때 해커가 설치한 백도어 프로그램이 있다면 이 프로그램의 포트 정보를 탐지 …
Source: www.ahnlab.com
Date Published: 6/11/2022
View: 2316
백도어 탐지 – Noel의 사적인 공간
이미발견되고 정립 되어진 공격 패턴을 미리 입력해 두고, 입력된 패턴에 해당하는 트래픽을 발견하게 되었을 때 이를 감지하여 알려주는 기법이다. 이 …
Source: noel3527.tistory.com
Date Published: 9/5/2021
View: 5511
주제와 관련된 이미지 백도어 탐지 방법
주제와 관련된 더 많은 사진을 참조하십시오 휴대전화 하나로 찾아내는 ‘몰래카메라 꿀팁’ @생활의 달인 637회 20180910. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 백도어 탐지 방법
- Author: SBS STORY
- Views: 조회수 205,583회
- Likes: 좋아요 1,729개
- Date Published: 2018. 9. 10.
- Video Url link: https://www.youtube.com/watch?v=LN0T-emiZxQ
백도어 탐지 방법
백도어를 직접 탐지해보는 시간을 가져보자.
현재 우분투 서버에 백도어가 발견된 vsftpd의 구버전을 몰래 다운받게 하였따.
탐지 프로세스는 이 블로그에 나온 내용대로 하였다.
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=luuzun&logNo=50188359632
백도어를 찾아는 내는 사람 입장에서는 vsftpd에 백도어가 심어진 사실에 대해서는 모르기 때문에, 나도 이 사실을
배제한체 찾아보도록 하겠다.
1. 현재 동작중인 프로세스 및 열린 포트 확인
ps -ef를 통해 실행되어지고 있는 프로세스를 확인하였다. 내가 모르는 프로세스가 무엇이 있는지 살펴보자.
ps -ef
맨 첫줄부터 보면 저 sshd는 내가 ssh 통신으로 해당 클라우드 가상머신에 접속한 상태이기 때문에 생긴 프로세스이고 내가 배쉬쉘을 실행하였고, sudo su를 통해 root권한을 가져왔기 때문에 발생한 명령어들이 약 7줄정도가 보인다.
[kworker/0:0-eve], [kworker/u2:2-ev], , [kworker/u2:0-ml], , [kworker/u0:1], , [kworker/u2:1-ev]가 무엇인지 모르겠다.(ftp localhost와 sudo /usr/local/sbin/vsftpd와 /usr/local/sbin/vsftpd는 내가 백도어 test 때문에 실행한 명령어기 때문에 배제하겠다.) 맨 마지막 root권한으로 실행된 프로세스인 ps-ef는 내가 실행한것이니 넘어가도록 하겠다.수상한건 [kworker/0:0-eve], [kworker/u2:2-ev], , [kworker/u2:0-ml], , [kworker/u0:1], , [kworker/u2:1-ev]
2. 열려있는 포트 확인
netstat -an
netstat -an
지금 21번 22번 53번 49220번 58번 68번 22번이 열려있다.
(21번과 22번은 각각 ftp와 ssh통신에 의해 열린것은 알고 있다. 하지만 나머지는 무엇일까)
3. 무결성 검사
Tripwire툴을 이용하여 무결성 검사를 진행하겠다.
무결성 검사란 모든 파일의 변화된 파일을 감지하는 검사다.
설치 관련 명령어로는
sudo apt update
sudo apt install tripwire
참고 : https://www.geeksforgeeks.org/linux-installing-tripwire-ids-intrusion-detection-system/amp/
하였고 파일을 못찾겠다는 에러와 데이터 베이스 초기화 관련 에러 및 tripwire –init, tripwire –check 관련 에러는 아래 url을 통해 해결하였다.
https://alibaba-cloud.medium.com/how-to-install-and-configure-tripwire-ids-on-ubuntu-16-04-d7941c6b4db9
고로 tripwire –check를 진행할 경우 아래와 같은 화면이 나타나게 된다.
tripwire –check
변화된 파일이 존재하지 않기 때문에 invariant Directories (맨아래)는 0으로 존재하지 않음, 무결성 괜차늠을 알수있다.
이제 칼리로 돌아와서
우분투에 있는 백도어를 통해 파일을 바꿔 변화를 줘보도록 하자.
칼리 (공격서버)
음 샹 백도어로의 연결이 갑자기 안되네…….?
다시 우분투로 돌아와서
tripwire –check
음 이건…내가 tripwire 오류 해결과정중 바꾼 사항들인데..?
알아내면 다시 오겠다.
시스템 해킹 5강 – 백 도어(Backdoor) 탐지
1. 백도어 탐지 기법 및 대응
백도어를 탐지하기에 앞서 백도어 프로그램이 가지는 특징을 생각 해 보자.
주로 SetUID권한을 가진 파일을 변조해서 사용하며, 언제 어디서든 쉽게 접근하기 위해 프로세스를 항상 동작하게 만들거나, 포트를 열어두는 방식을 사용할 수 있다. 또한, 백도어 프로그램을 설치하기 위해서는 침입 후 관리자 권한을 획득하는 과정이 선행되어야 한다. 이러한 특징들을 이용해 백도어를 탐지할 수 있다.
▶현재 동작중인 프로세스 및 열린 포트 확인
해커가 접근을 위해 실행시켜둔 프로세스가 있는지, 열어둔 포트가 있는지 확인한다.
▶SetUID 파일 검사
SetUID 권한의 파일을 많이 사용하므로, SetUID 권한이 있는 파일들을 검사해 본다.
▶바이러스 및 백도어 탐지 툴 사용
백신 등의 바이러스 탐지 툴을 사용해 찾을 수 있다.
▶무결성 검사
침입자에 의해 변경된 파일이 있는지 검사해 본다.
▶로그 분석
침입자의 기록을 분석해 보면 누가, 어떠한 공격을 했는지 알 수 있다.
2. 동작중인 프로세스 및 포트 확인
▶동작중인 프로세스 확인 – Linux ( ps -ef )
리눅스에서 실행되고 있는 프로세스를 확인하는 명령어는 ps -ef 이다.
다음 화면은 리눅스에서 ps -ef명령어를 실행한 결과이다.
붉은색 박스 안을 주의해서 보자. tty 값이 pts인 프로세스는 원격으로 접속한 프로세스이다.
1 : 12시 46분에 누군가가 luuzun 계정을 사용해 접속한 뒤
2 : 미리 만들어둔 backdoor 라는 프로그램을 실행시켜 root의 권한을 획득하였으며
4 : ps -ef 명령어를 실행시켰다.
약간의 차이는 있지만, 이러한 방법으로 원격에서 실행시킨 프로세스를 탐지할 수 있다.
▶열려있는 포트 확인 – Linux ( netstat -an )
열려 있는 포트는 netstat -an 명령어를 사용해 확인할 수 있다.
현재에는 22, 631, 25번 포트가 열려있다.
LISTEN은 열려 있는 상태
ESTABLISHED는 연결되어서 사용중인 상태
CLOSE는 닫힌 상태를 말한다.
▶동작중인 프로세스 확인 – Windows ( 작업 관리자 )
윈도우에서는 우리가 이미 잘 알고 있는 방법으로 동작중인 프로세스를 확인한다.
Ctrl +Alt +Dell 키를 누른 후 작업관리자 – 프로세스 탭으로 이동하면 된다.
▶열려있는 포트 확인 – Windows ( netstat -na )
리눅스의 netstat와 거의 비슷하다.
▶Windows 프로세스, 포트 확인 툴
(http://technet.microsoft.com/en-us/sysinternals/bb842062)
-Process Explorer
Sysinternals Suite를 다운 받은 후, Process Explorer(procexp.exe)실행 시킨다.
현재 실행중인 프로세스들의 상세한 정보를 확인할 수 있으며, 의심스러운 툴이 있다면 위 화면과 같이 진한 보라색으로 표시된다.
프로세스 재시작, 종료 등의 기능을 수행할 수 있다.
-TCP View
이번에는 TCP View(TCPview.exe)를 실행시켜 보자.
현재 열려있는 포트와 접속상태가 실시간으로 표시된다.
녹색은 접속중인 포트, 붉은색은 종료중인 포트, 노란색은 상태가 변하고 있는 포트이다. TCP View를 실행시켜 두고 웹 페이지를 열거나 닫아보면 쉽게 관찰할 수 있다.
3. 무결성 검사
모든 파일에는 각각의 해시값이 존재하는데, 이를 이용해 새로 생성된 파일이 있는지, 원본에서 변경이 된 파일이 있는지 확인하는 것이 무결성 검사다.
※해시값이란 파일의 모든 정보를 해시 알고리즘을 통해 산출(암호화와 비슷하다) 한 값으로, 존재하는 모든 파일의 각각 다른 해시값을 가진다(파일의 주민등록번호라고 할 수 있다).
만약 이 해시값이 같다면 완전히 동일한 파일인 것이다.
▶Tripwire 툴을 이용한 무결성 검사
무결성 검사를 위한 트립 와이어 툴을 사용하기 위한 과정은 다음과 같다.
wget http://mkgk888.cafe24.com/system/tripwire.rpm //설치파일 다운로드
rpm -Uvh tripwire.rpm //파일 설치
/usr/sbin/tripwire-setup-keyfiles //설정 파일 및 정책파일 생성
※local keyfile passphrase : 패스워드 입력
※생성되는 파일 및 기능
site keyfile : 정책파일과 환경파일 설정
local keyfile : 데이터베이스와 레포트 파일을 초기화 및 보호
site passpharse : 환경설정파일 생성을 위한 사이트 값 입력
tripwire –init //데이터베이스 초기화
※”No such file or directory”라는 에러 메세지가 출력되는것이 정상이다. 버전마다 파일, 디렉토리가 다르기 때문에 발생하는 메세지이다.
설치, 데이터베이스 초기화가 완료되었다면 새로운 파일을 만들어 보자. touch 명령어를 사용해 빈 파일을 만들고, 백도어에 사용되는 SetUID권한을 주는 것으로 충분하다.
cd /root
touch backdoor
chmod 4755 backdoor
tripwire –check //무결성 검사 시작
cd /var/lib/tripwire/report
twprint -m r –twrfile 레포트파일 이름 > 1.txt //레포트를 텍스트파일로 저장
vi 1.txt //텍스트 파일을 vi 에디터로 실행
레포트 파일은 다음과 같이 twr 파일로 생성된다.
※파일 이름을 입력할 때 local 까지만 입력하고 tap 키를 누르면 자동으로 입력된다.
※명령어 뒤에 > 파일이름.txt 명령어를 입력하면 실행결과를 txt파일로 저장한다.
텍스트 파일을 열어 보면 Root config files이 하나 추가되었다고 알려준다.
4. 로그 분석
로그란 컴퓨터의 사용 기록을 저장해 둔 것을 말한다. 침입자가 발생했을 때 로그기록을 분석해 보면 누가, 언제, 어떤 일을 했는지 알 수 있다.
▶wtmp
로그인, 로그아웃 히스토리를 모두 저장하며 shutdown, booting 기록까지 저장된다.
명령어 : last
▶secure
텔넷이나 FTP 원격접속 등 인증과정을 거치는 모든 로그를 secure 로그에 저장한다. syslog 데몬에 의해 설정되고 설정에 따라 기록 유무가 변경될 수 있다.
명령어 : cat /var/log/secure
▶lastlog
최근 사용자의 이름, 터미널, 마지막 로그인 시간으로 출력한다.
명령어 : lastlog
▶history
입력했던 명령어들을 출력해 준다. 사용자의 홈디렉터리에 사용자별로 존재한다. (.bash_history)
시간은 기록이 되지 않는는다.
공격자는 관리자 권한을 획득한 후 작업을 시작하기 전에 history파일을 남기지 않기 위해 다음과 같이 링크를 건다.
ln -s /dev/null .bash_history
▶messages
로그파일 중 가장 중요한 부분이다. 로그인 기록부터 디바이스 정보 시스템 설정오류, 파일시스템, 네트워크 세션 기록과 같이 시스템 사용에 관한 거의 모든 로그를 가지고 있다.
모든 내용을 확인하기 어렵기 때문에 IP나 단어를 통한 검색으로 흔적을 찾을 수 있다.
명령어 : cat /var/log/messages | grep “192.168.0.3”
(IP주소가 192.168.0.3 인 사용자의 로그기록 출력)
5. 백신 프로그램의 탐지 방법
백신은 파일의 기계어 로그를 분석하여 특정한 동작을 하는 코드가 있으면 악성코드로 인식한다.
기계어에서 수행 할 명령어를 나타내는 부호를 OPcode라고 하며, 악의적인 동작을 하는 OPcode들을 모아놓은 것을 시그니처라고 부른다.
OPcode가 시그니처와 일치하는 파일이 있으면 악성코드로 인식한다.
이러한 방식의 탐지 방법은 악성코드의 소스코드를 약간만 바꾸어도 검출하지 못하는 경우가 많다. 알려진 악성 코드는 탐지 할 수 있지만, 그 변종들은 거의 탐지하지 못한다. 백신을 사용한다고 해서 결코 악성코드로부터 안전할 수 없다.
▶Virus total
https://www.virustotal.com/
파일을 등록하면 50여개의 백신 프로그램을 사용해 검사 해 준다.
※오늘 사용한 툴과 명령어들의 구체적인 사용방법을 지금 설명하기에는 무리가 있다. 앞으로 사용할 것이므로 일단은 실행방법 정도만 알고있도록 하자.
FinTech CSE
728×90
1. 현재 동작 중인 프로세스 확인
현재 프로세스를 확인하여 백도어가 아닌 정상 프로세스를 아는 것도 매우 중요하다. 대부분 백도어 자체가 티가 나게끔 이름을 짓지 않기 때문이다. 따라서 윈도우와 리눅스 시스템 등 정상 프로세스를 외워 두면 좋다. 특히 윈도 프로세스는 이름을 어느 정도 인지하고 있으면 윈도우 웜이나 바이러스, 백도어를 대응하는 데 큰 도움이 된다.
다음 아래 프로세스 20개는 윈도우 시스템이 동작하는 기본 프로세스이다. 익혀 두면 여러 가지로 유용한데, 특히 웜 바이러스나 백도어가 가장 애용하는 것은 Csrss와 Svchost프로세스이다.
– Csrss.exe(=client/server Runtime subsystem) : 윈도우 콘솔을 관장하고, 스레드를 생성, 삭제하며, 32비트 가상 MS-DOS 모드를 지원하는 프로세스이다.
– Explorer.exe : 작업 표시줄, 바탕화면 등 사용자 셸을 지원하는 프로세스이다.
– Lsass.exe : Winlogon 서비스에 필요한 인증 프로세스이다.
– Mstask.exe : 시스템 백업이나 업데이트 등을 작업하는 스케줄러 프로세스이다.
– Smss.exe : 사용자 세션을 시작하는 기능을 담당하는 프로세스이다. Winlogon, Win32를 구동시키고, 시스템 변수를 설정한다. 또 Smss는 Winlogon이나 Csrss가 끝나기를 기다려 정상적인 Winlogon, Csrss를 종료할 때 시스템을 종료시킨다.
– Spoolsv.exe : 프린터와 팩스의 스풀링 기능을 담당하는 프로세스이다.
– Svchost.exe : DLL이 실행하는 프로세스의 기본 프로세스이다. 따라서 한 시스템에서 svchost 프로세스를 여러 개 볼 수 있다.
– Service.exe : 시스템 서비스를 시작, 정지시키고, 이들 간의 상호 작용하는 기능을 수행하는 프로세스이다.
– System : 대부분의 커널 모드 스레드의 시작점이 되는 프로세스이다.
– System Idle Process : 각 cpu 마다 하나씩 실행하며, cpu의 잔여 프로세스 처리량을 %로 나타낸 값이다.
– Taskmgr.exe : windows 작업 관리자 자신의 프로세스이다.
– Winlogon.exe : 사용자 로그인과 로그오프를 담당하는 프로세스이다. 윈도우를 시작 및 종료할 때 활성화된다.
– Winmgmt.exe : 장치 관리 및 계정 관리 네트워크 등 동작과 관련한 스크립트를 위한 프로세스이다..
– msdtc.exe : 웹 서버 및 sql서버를 구동할 때 다른 서버와 연동하는 프로세스이다.
– ctfmon.exe : 키보드, 음성, 손으로 적은 글 등 여러 가지 텍스트 입력 처리를 할 수 있도록 지원하는 프로세스이다.
– dfssvc.exe : 분산 파일 시스템을 지원하려고 백그라운드로 실행하는 프로세스이다.
2. 열린 포트 확인
백도어 상당수가 외부와 통신을 하려고 서비스 포트를 생성한다. 시스템에서는 netstat 명령으로 열린 포트를 확인할 수 있는데, 일반 시스템에서 사용하는 포트가 그리 많지 않기 때문에 주의해서 살펴보면 백도어가 사용하는 포트를 쉽게 확인할 수 있다. 과거 유명했던 백도어는 1234나 787,666 등처럼 꽤 특이한 포트 번호를 사용해서 충분히 의심할 만했지만, 백도어 중에 그렇지 않은 포트 번호를 쓰는 경우도 많다. 따라서 포트 번호만으로는 분별이 확실하지 않을 수 있는데, 이때는 스니퍼를 이용한 패킷 분석으로 백도어가 사용하는 포트를 확인할 수도 있다.
3.SetUID 파일 검사
윈도우 시스템에는 해당되지 않지만 setUID파일은 리눅스 시스템에서 로컬 백도어로 강력한 기능을 가질 때가 많다. 따라서 setUID파일 중에 추가되거나 변경된 것은 없는지 주기적으로 살펴보아야 한다.
4. 바이러스와 백도어 탐지 툴 이용
가장 간편한 경우이다. 잘 알려진 백도어는 대부분 바이러스 일종으로 분류되는데, 백신 툴은 물론이고 다양한 탐지 툴에서 발견된다. 이런 툴을 사용하면 백도어를 쉽게 잡아낼 수 있다. 하지만 리눅스에서는 이런 툴이 많이 부족하므로 수동으로 찾아야 할 때가 많다.
5. 무결성 검사
무결성 검사는 시스템에 어떤 변화가 일어나는지 테스트하는 것이다. 무결성 검사에는 MD5 해시 기법을 많이 쓴다. 파일 내용이 조금만 바뀌어도 해시 결과 값이 다르기 때문에 관리자는 주요 파일의 MD5값을 주기적으로 수집하고 검사하여 변경되는 파일 내역을 확인해야 한다. 관리자가 변경하지 않았거나 시스템 운영상 변할 일이 없다면 변경된 파일을 조치하면 된다.
6. 로그 분석
마지막으로 백도어를 탐지하는 방법에는 로그 분석이 있다. 로그 분석 방법은 무척 다양하며, 사이버 포렌식이라는 하나의 분야로 정착했다.
– 윈도우 백도어 탐지 및 제거하기(실전)
1) 네트워크 연결 확인하기
https://blog.daum.net/knightofelf/4439
리눅스에서는 간단한 명령어로 확인해볼 수 있지만 윈도우는 잘 알려진 툴을 이용해서 Promiscuous mode, 즉 스니퍼 같은 형태로 동작하는지 확인을 해야 한다.
netstat -ab명령어를 통해 포트를 열고 있는 프로세스를 확인할 수 있다.
만약 공격자가 연결을 유지하고 있을 때는 다음과 같이 공격자의 호스트 이름 또는 IP주소를 확인할 수 있다.
2) 프로세스 확인하기
백도어의 종류에 따라 이름이 기존의 svchost.exe처럼 기존 프로세스와 동일할 수도 있고 웜이나 바이러스처럼 악성 코드 형태로 동작하는 프로그램은 백도어를 삭제했을 때, 이를 복구할 수 있도록 모니터링 프로세스와 백업 프로세스까지 생성할 때가 많기 때문에 이 또한 확인해야 한다. 이를 위해 프로세스의 상세 정보를 확인하여 해당 프로그램이 쓰는 DLL이름이나 연계해서 실행하는 것처럼 보이는 EXE명령 등으로 Process Explorer를 이용하여 검색한다.
https://ndb796.tistory.com/303
3) 레지스트리 확인하기
윈도우 시스템은 시스템 운영과 관련하여 재부팅하더라도 기본 설정 값이 변하지 않도록 레지스트리에 여러 값을 기록해둔다. 백도어도 레지스트리를 이용할 때가 많아 백도어를 삭제할 때는 레지스트리에서도 내용을 확인해야 한다. 레지스티리도 검색을 지원하지만 불편하므로
다음과 같이 내보내기를 하여 txt 파일로 내보내 검토하면 된다.
4) 파일 확인하기
백도어를 찾고 실제 파일을 확인해보기 위해서는 윈도우 탐색기 대신 Total Commander를 사용한다.
윈도우 탐색기를 안 쓰는 이유는 윈도우 탐색기는 윈도우 운영체제와 많은 라이브러리를 공유하고, 윈도우 탐색기가 공격 대상이 되면 윈도우 탐색기를 쓸 수 없다. 또 윈도우 탐색기로 특정 파일을 숨기거나 삭제하지 않도록 되어 있는 경우도 있다. 이렇게 제약적인 상황이 발생하기 때문에 윈도우와 독립적인 파일 탐색기를 사용한다.
추가로 검색해 봤을 때 윈도우 탐색기보다 편리한 점도 많이 보인다. 자세한 것은 아래 링크를 참조하자
https://m.blog.naver.com/bestian/222035297155
이를 이용하여 백도어를 확인하기 전에 설정해야 할 사항은 [환경설정]-[옵션]-[화면]에서 ‘숨김/시스템 파일 표시’옵션을 설정한다.
그리고 [명령]-[파일 찾기] 메뉴를 통해 파일을 찾는다.
5) 백도어 제거하기
백도어를 삭제하는 절차는 비교적 간단하다.
– 백도어 프로세스 중지
– 백도어 파일 삭제
– 레지스트리 삭제
6) 시스템 무결성 검사하기
시스템 무결성 검사는 앞서 살펴본 모든 테스트에서 백도어 탐지에 실패했을 때 사용할 수 있다. 하지만 주기적인 무결성 검사로 다른 침입 흔적도 찾아낼 수 있으므로 중요 시스템이나 디렉터리는 무결성 점검 툴을 사용하여 주기적으로 점검하면 좋다.
많이 알려지지는 않았으나, 윈도우에서는 SFC를 기본으로 제공한다. 이 툴을 동작하려면 윈도우 설치 CD가 필요하다.
정상 파일과 시스템에 설치된 파일이 일치하는지 테스트한다.
리눅스의 경우 대표적으로 tripwire를 통해 무결성을 검사한다.
tripwire의 사용방법은 아래 링크를 통해 간단히 실행해볼 수 있다.
http://www.linux.co.kr/security/tripwire/index.htm
728×90
리눅스, 윈도우 백도어 탐지 및 대응기법
1. 현재 동작중인 프로세스 및 열린 포트 확인
[리눅스]– 프로세스 확인 : ps -ef
– 열린 포트 확인 : netstat -an
[윈도우]– 프로세스 확인 : tasklist
– 열린 포트 확인 : netstat -an
– 열린 포트별 프로세스 확인 : TCPview 프로그램 이용
2. SetUID 파일 검사
find / -user root -perm +4000
3. 바이러스 및 백도어 탐지 툴 이용
[백신 탐지 기법]– 1. 파일이름 (netbus.exe)
– 2. 해쉬 (무결성 검사)
– 3. 시그니처 (기계어 관련)
– 4. opcode (어셈블리어 관련)
– 5. 행동기반 (특정포트오픈 -> 파일다운 -> 실행 -> 레지스트리변경)
4. 무결성 검사
TRIPWIRE – 무결성 검사 자동화 프로그램
– 1. 다운로드
wget http://mkgk888.cafe24.com/system/tripwire.rpm
– 2. 설치
rpm -Uvh tripwire.rpm
– 3. 설정파일 및 정책파일 생성
/usr/sbin/tripwire-setup-keyfiles
site keyfile : 정책파일과 환경파일을 설정
local keyfile : 데이터베이스와 레포트 파일을 초기화 및 보호
site passpharse : 환경설정파일을 생성을 위해 사이트 값 입력
– 4. 데이터베이스 초기화
tripwire –init
– 5. 백도어 생성
cd /root
backdoor <--- 로컬 백도어 작성(컴파일 및 4755 권한부여) - 6. 무결성 검사 시작 tripwire --check - 7. 레포트 파일 확인 cd /var/lib/tripwire/report twprint -m r --twrfile localhost.localdomain-xxxxxxxx.twr > 1.txt
vi 1.txt
5. 로그 분석
[로그파일]일반적으로 아래의 경로에 로그파일이 위치한다.
/var/log
/var/adm/
/usr/adm/
– 1. wtmp
– 사용자 로그인 및 로그아웃 정보를 저장하며 data 파일로 저장된다.
– last 명령으로 wtmp파일 정보를 확인 가능.
– 로그인, 로그아웃 히스토리를 모두 저장하며 shutdown, booting 기록까지 저장됨.
ex) last -f /var/log/wtmp
– 2. secure
– 텔넷이나 FTP 원격접속 등 인증과정을 거치는 모든 로그를 secure 로그에 저장됨.
– syslog 데몬에 의해 설정되어지고 데몬 설정에 따라 기록 유무가 변경될 수 있음.
ex) cat /var/log/secure
– 3. lastlog
– 사용자의 최근 로그인 시간을 사용자 이름, 터미널, 마지막 로그인 시간으로 출력
– 데이터 파일 형태로 저장되고 vi로 확인 할 수 없음.
ex) lastlog
– 4. history
– 로그파일이라고 볼 수 없으며, 이전 명령들을 쉽고 사용하기 보다 편하기 위해 만들어졌음.
– /var/log/에 위치하지 않고 사용자의 홈디렉토리에 사용자별로 존재한다. (.bash_history)
– 시간기록이 되지 않는 단점 존재
공격자는 권한획득 후 작업하기전 history 파일을 남기지않기 위해 링크를 건다.
ex) ln -s /dev/null .bash_history
– 5. messages
– 로그파일 중 가장 중요한 부분으로서 로그인 기록부터 디바이스 정보 시스템 설정오류, 파일시스템, 네트워크 세션 기록과
같이 가장 다양한 정보를 가지고 있음.
– 모든 내용을 확인하기 어렵기 때문에 IP나 단어들을 통한 검색으로 흔적을 찾을 수 있다.
ex) grep “55.10.1.145” /var/log/messages
악성코드 탐지 및 이상포트 탐지 방법
목차
악성코드 탐지 방법
네트워크 상태 점검
상당수의 악성 코드는 외부에 있는 해커나 악성 코드 작성자와 통신을 하기 위해 서비스 포트를 생성하기 마련이다.
그렇기 때문에 의심가거나 알수없는 포트가 열려있다면 해당 포트는 차단하거나 공격자의 공격으로부터 사전에 방지해야한다. 번호만으로 추측하기가 어려운 경우에는 CPorts 같은 프로그램으로 서비스 포트별로 사용하는 응용 프로그램을 확인할 수 있고 BackDoor-DVR 실행한 뒤 CPorts에서 활성화된 네트워크 항목을 살펴보면 특이한 연결을 발견할 수 있다.
주요 악성코드가 사용한 서비스 포트
시스템에서는 명령프롬프트 창을 실행한 후에 netstat 명령으로 열려 있는 포트를 확인할 수 있다.
포트 번호 악성 코드 포트 번호 악성코드 21 trojanFore 1080 winhole 23 tiny telnet server[TTS] 1090 xtreme 25 naebiHappy 1150 orion 31 agent, paradisemasters 1234 ultors trojan 41 deepthroat foreplay 1243 backdoor G 80 www tunnel 1245 voodoo doll 119 happy 99 1257 frenzy 2000 133 farnaz 1272 the matrix 137 chodemsinit (UDP) 1441 remote storm 514 RPCBackdoor 1524 trin00 555 seven eleven 1999 sub seven 666 serve U 2140 deep throat 1.3 667 snipernet 2255 nirvana 777 AIM spy 2583 wincrash 808 winHole 2773 sub seven gold 2.1 999 deep throat 3459 eclipse 2000 1001 silencer 5400 blade runner 1016 doly trojan 5880 Y3K rat 1024 netSpy 8787 backorifice 20000
정상적인 프로세스와 비교하기
윈도우와 유닉스 시스템 등의 정상적인 프로세스를 외워두면 비정상적인 프로세스를 식별하는 데 도움이 많이 된다.
윈도우에서는 [Ctrl]+[Alt]+[Delete]로 작업 관리자 실행하여 현재 실행 중인 프로세스를 확인 할수 있다.
주로 악성 코드가 주로 사용하는 서비스명은 csrss와 svchost를 많이 사용한다.
Windows 작업관리자 창
윈도우 시스템이 동작하기 위한 기본 프로세스
프로세스 명 설명 csrss.exe
(client/server runtime subsystem: win 32) 윈도우 콘솔 관장, 스레드 생성 및 삭제, 32비트 가상 MS-DOS 모드 지원 explorer.exe 작업 표시줄이나 바탕화면과 같은 사용자 셸 지원 lsass.exe
(local security authentication server) winlogon 서비스에 필요한 인증 프로세스 담당 mstask.exe
(window task scheduler) 시스템 백업이나 업데이트와 관련된 작업의 스케줄러 smss.exe
(session manager subSystem) 사용자 세션을 시작하는 기능 담당 spoolsv.exe
(printer spooler service) 프린터와 팩스의 스풀링 기능 담당 taskmgr.exe
(task manager) 작업 관리자 자신을 나타낸다. winlogon.exe
(windows logon process) 사용자의 로그인·로그오프를 담당하는 프로세스 winmgmt.exe
(window management service) 장치 관리 및 계정 관리, 네트워크 동작 관련한 스크립트를 위한 프로세스 msdtc.exe
(distributed transaction coordinator) 웹 서버와 SQL 서버 구동 시에 다른 서버와 연동하기 위한 프로세스 ctfmon.exe
(alternative user input services) 키보드, 음성, 손으로 적은 글 등 여러 가지 텍스트 입력에 대한 처리를 지원하는 프로세스 dfssvc.exe
(distributed file system) 분산 파일 시스템(DFS)을 지원하기 위해 백그라운드로 실행되는 프로세스
시작 프로그램과 레지스트리 확인하기
윈도우 시스템은 시작 프로그램 등 시스템 운영과 관련된 것의 기본 설정 값이 재부팅 시에도 변하지 않도록 레지스트리에 여러 가지 값을 기록한다. 이러한 레지스터를 악성 코드가 이용하는 경우가 많으므로 악성 코드를 삭제할 때는 레지스터에서도 관련 내용을 반드시 확인해야 한다. 시작 프로그램 목록은 msconfig 명령으로 확인 가능하다.
악성코드 제거 절차
악성 코드 서비스 프로세스 중지
악성 코드 파일 삭제
악성코드 관련 레지스트리 삭제
[Focus In-Depth] 간단한 명령어로 좀비 PC 확인하는 방법
2009년 7∙7 DDoS, 2011년 3∙4 DDoS 공격에 사용됐던 좀비 PC의 수량은 약 25만 대이다. 이들 좀비 PC는 공격 종료 시점에 하드디스크 및 파일을 손상시키면서 개인 사용자들에게도 큰 피해를 주었다. 이후 좀비 PC에 대한 관심이 확산되면서, 일반 PC에서 손쉽게 실행할 수 있는 netstat 명령어를 통해 자신의 PC가 좀비 PC인지 확인할 수 있냐는 문의가 늘고 있다. 그렇다면 과연 netstat 명령어를 통해서 좀비 PC인지 알 수 있을까? 일단 대답은 ‘Almost YES’다.
해커가 일반 사용자의 PC를 해킹하면 그 때부터 해당 PC는 해커에 의해 조종되는데, 마치 좀비처럼 의식 없이 조종된다 하여 ‘좀비 PC’라고 불린다. 해커는 이런 좀비 PC에 쉽게 접근하기 위하여 사용자 모르게 접속할 수 있는 백도어(Backdoor), 트로이목마(Trojan)와 같은 비밀문을 만들어 놓는다.
일반적으로 네트워크 통신을 하기 위해서는 통신 양단에 IP 및 포트(Port) 정보가 필요한데, 각 백도어 프로그램은 고유의 특정한 포트로만 접속하게 되어 있다.
사용자는 netstat 명령어를 통해 자신의 PC에서 열려 있는 포트 정보를 모두 알 수 있는데, 이때 해커가 설치한 백도어 프로그램이 있다면 이 프로그램의 포트 정보를 탐지한다. 즉, 사용자의 필요에 의해 정상적으로 열려 있는 포트 외에 사용자가 모르는 포트가 열려 있다면 해킹으로 의심할 수 있다.
하지만 일부 해킹은 좀비 PC의 포트를 통해 통신하지 않고도 백도어를 동작시킬 수 있다. 때문에 비정상적으로 열려 있는 포트 정보가 없다고 해서 자신의 PC가 100% 안전하다고 확신할 수는 없다. netstat 명령어를 통해 좀비 PC 확인이 가능한 지에 대한 대답이 ‘Almost YES’인 것은 바로 이 때문이다.
하지만 netstat 명령어는 일반 윈도우 OS 및 유닉스, 리눅스에 기본적으로 포함되어 있어 쉽게 실행시킬 수 있다. 또한 대부분의 백도어 프로그램의 비정상적인 포트 정보를 확인할 수 있기 때문에 좀비 PC 확인에 매우 유용한 방법임은 틀림없다.
이제 일반 윈도우 PC 기준으로 netstat 명령어의 사용법을 알아보겠다. 실제 netstat 명령어는 옵션에 따라 활성 TCP 연결, 컴퓨터 수신 포트, 이더넷 통계, IP 라우팅 테이블, IPv4/IPv6 통계 등 다양한 네트워크 정보를 표시하지만, 이번에는 좀비 PC 확인과 관련된 부분만 집중적으로 알아보겠다. netstat 명령어에 대해 자세히 알고 싶다면 [그림 1]과 같이 윈도우 OS에서 제공하는 도움말에서 netstat를 검색하면 된다.
[그림 1] 윈도우 OS의 도움말에서 netstat 검색1. 명령 프롬프트(cmd) 실행
시작 => 프로그램 => 보조프로그램 => 명령 프롬프트를 실행한다(실행 경로는 OS에 따라 상이할 수 있다).
[그림 2] 명령 프롬프트(cmd) 실행 화면2. netstat -na 명령어 실행 화면
명령 프롬프트에서 netstat –na 명령어를 실행한다. ‘-a’ 옵션은 연결된 혹은 연결을 기다리고 있는 모든 포트를 보여주는 옵션이다. ‘-n’은 컴퓨터 이름 대신 IP 주소가 보이도록 하는 옵션으로, 좀비 PC 확인 시에는 이 두 옵션을 반드시 같이 사용해야 한다.
[그림 3] PC 부팅 후 netstat –na 실행 화면 [그림 3]은 PC 부팅 후 바로 netstat –na 명령어를 실행한 화면으로, 아직 인터넷에 접속하지 않았기 때문에 윈도우 OS에서 사용하는 기본 포트 정보만 보인다.각 칼럼별 설명은 다음과 같다.
① Proto
– 프로토콜(TCP 또는 UDP) 이름을 표시한다.
– 일반적으로 사용자가 사용하는 프로토콜은 TCP이거나 UDP다.
② Local Address(로컬 주소)
– 사용자 PC의 IP 주소와 포트 정보를 표시한다.
– [그림 3]의 ‘0.0.0.0 ‘, ‘127.0.0.1’은 모든 PC에서 공통적으로 나타나는 정보이며,
‘172.20.10.3’은 이번 실습에 사용된 PC의 IP 정보다.
– IP 정보 이후의 ‘:숫자’는 인터넷을 하거나 외부에서 PC에 접속하기 위해 필요한 포트 정보로
‘135, 137, 138, 139, 445’는 모든 PC에 공통적으로 나타나는 정상 포트 정보이다.
③ Foreign Address(외부 주소)
– 사용자 PC와 네트워크로 연결된 원격 컴퓨터의 IP 주소와 포트 번호를 표시한다.
– 해커가 백도어를 통해 비정상적으로 사용자 PC에 접속할 경우, 해당 외부 주소가 바로 해커가 사용하는 IP 정보이다.
④ State
– ESTABLISHED / LISTENING / TIMED_WAIT 등 다양한 상태를 표시한다.
– ESTABLISHED(연결 활성) : 사용자 PC와 원격 PC가 현재 네트워크 통신을 하고 있다는 의미([그림 3] 참조).
– TIME_WAIT(연결 종료) : 이미 해당 사이트와 연결이 종료되었거나 다음 연결을 위해 기다리는 상태라는 의미이다.
– LISTENING(접속 대기) : 사용자 PC가 해당 포트 정보를 통해 외부에서 접속할 수 있도록 열려 있다는 의미이다.
– [그림 3]의 경우 TCP 135, 445, 139 포트가 외부에서 접속할 수 있도록 열려 있다는 의미이다.
3. 정상적인 PC의 netstat -na 실행 화면
[그림 4] 인터넷 접속 후 netstat –na 실행 화면인터넷에 접속 후 netstat -na 명령어를 실행하면 [그림 4]의 노란 박스와 같이 정상적으로 네트워크의 ESTABLISHED(연결 활성) 및 TIME-WAIT(연결 종료) 상태 정보를 확인할 수 있다. 인터넷에 접속하는 횟수가 많을수록 ESTABLISHED 및 TIME-WAIT 상태를 가진 정보가 많아진다.
좀비 PC 확인을 위해서 가장 중요하게 살펴볼 부분은 LISTENING(접속 대기) 칼럼에서 보이는 정보이다. 정상적인 PC의 경우 [그림 4]의 빨간 박스와 같이 시스템에서 사용하는 포트(TCP 135,445,139 등)만 LISTENING(접속 대기) 상태여야 한다. 하지만 백도어 프로그램에 감염된 좀비 PC의 경우 그 외의 비정상적인 포트가 열리게 된다.
4. 좀비 PC의 netstat -na 실행 화면
[그림 5] 좀비 PC의 netstat –na 실행 화면 [그림 5]는 실습 PC를 백도어 프로그램에 감염시킨 후 netstat -na 명령어를 실행한 화면으로, 비정상적인 포트 ‘12345 , 12346’이 열려 있는 것을 볼 수 있다. 해커는 이를 통해 좀비 PC에 자유롭게 접속하여 임의로 해당 PC를 조정하거나 개인정보 등을 빼갈 수 있다.일반적으로 사용자 PC는 모두 사용자가 먼저 통신을 요청하기 때문에 특별한 경우가 아니면, 시스템에서 사용하는 기본 포트 외에는 열려 있는 포트(LISTENING 상태의 포트 정보)가 없어야 한다.
* 8080 포트
일부 언론에서 netstat 실행 화면에서 포트 정보 8080이 보일 경우 좀비 PC일 가능성이 높다는 기사를 내보낸 적이 있다. 하지만, 8080 포트는 인터넷 사용 시 중계 역할을 하는 프록시 서버 등에서 일반적으로 사용하는 포트이기 때문에 8080 포트가 보인다고 무조건 좀비 PC라고 단정지을 순 없다. 단, LISTENING(접속 대기)상태에서 8080 포트가 보인다면 사용자 PC에 웹 후킹(가로채기) 프로그램이 실행되고 있을 가능성이 있으므로 반드시 확인이 필요하다.
5. 좀비 PC를 방지하려면
백도어 프로그램마다 사용하는 포트 정보는 모두 다르지만, 검색 엔진에서 ‘trojan port list’ 키워드로 검색하면 알려진 백도어 프로그램에서 사용하는 포트 정보를 어느 정도는 확인할 수 있다. 하지만 신종 및 변종 백도어 프로그램에서 사용하는 포트 정보까지는 확인할 수 없기 때문에 시스템에서 사용하는 기본 포트 정보(135, 137, 138, 139, 445 등) 외에는 정상적으로 사용되는 프로그램인지 확인이 필요하다.
PC가 이유 없이 느려지거나 오작동하는 등의 이상 징후가 있을 경우, netstat 명령어는 손쉽게 자신의 PC가 좀비 PC인지 확인할 수 있는 자가 진단법이다. 하지만 netstat 실행 정보만을 가지고 100% 확신하는 것은 금물이다.
좀비 PC 예방을 위해 가장 효과적인 방법은 윈도우 업데이트를 주기적으로 실행하고, V3와 같은 안티바이러스 프로그램의 실시간 감시 기능 사용 및 최신 업데이트를 생활화하는 것이다. 아울러, 한국인터넷진흥원이 운영하는 보호나라(www.boho.or.kr)나 안랩 홈페이지(www.ahnlab.com)에 정기적으로 접속하여 최신 보안 정보를 숙지하는 것도 좋은 방법이다.@
키워드에 대한 정보 백도어 탐지 방법
다음은 Bing에서 백도어 탐지 방법 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 휴대전화 하나로 찾아내는 ‘몰래카메라 꿀팁’ @생활의 달인 637회 20180910
- 휴대전화
- 몰카탐지달인
- 몰래카메라
- 생달
- 생활의달인다시보기
- 생활의달인637회
- 생활의달인637회다시보기
휴대전화 #하나로 #찾아내는 #‘몰래카메라 #꿀팁’ #@생활의 #달인 #637회 #20180910
YouTube에서 백도어 탐지 방법 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 휴대전화 하나로 찾아내는 ‘몰래카메라 꿀팁’ @생활의 달인 637회 20180910 | 백도어 탐지 방법, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.