시스템 해킹과 보안

백도어

2/49

Contents

01 백도어의 이해

02 윈도우 백도어

03 리눅스 백도어

04 백도어 탐지순서와 대응책

학습목표

백도어 종류를 이해한다.

운영체제에 따른 백도어 종류를 파악하고, 이를 이용할 수 있다.

백도어를 탐지하고 제거할 수 있다.

백도어에서 보안 대책을 수립하고, 이를 수행할 수 있다.

3/49

백도어의 이해

백도어와 트로이 목마

트로이 목마 : 사용자가 의도치 않은 코드를 정상적인 프로그램에 삽입한 프로그램

스파이웨어(Spyware) : 설치된 시스템의 정보를 주기적으로 원격지의 특정한 서버에

보내는 프로그램

백도어 : 원래 의미는 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지

않고, 운영체제나 프로그램 등에 접근할 수 있도록 만든 일종의 통로,

Administrative hook이나 트랩 도어(Trap Door)라고도 부름

4/49

백도어의 이해

백도어의 종류

로컬 백도어 : 서버의 셸을 얻어내 관리자로 권한 상승(Privilege Escalation)할 때 사용

원격 백도어 : 계정에 패스워드 입력하고 로그인한 것처럼 원격으로 관리자 권한 획득해

시스템에 접근, 네트워크에 자신의 포트를 개방

패스워드 크래킹 백도어 : 인증에 필요한 패스워드를 원격지 공격자에게 보내주는 역할

시스템 설정 변경 백도어 : 시스템 설정을 해커가 원하는 대로 변경하기 위한 툴

트로이 목마 형태의 프로그램 : 처음부터 백도어를 목적으로 만들어진 것은 아니지만

백도어로 동작하는 경우, 윈도우에서는 웹 브라우저 명령 창, 간단한 게임 등도 백도어와

섞을 수 있다.

이런 백도어를 실행하면 원하는 프로그램이 실행되면서 동시에 백도어도 설치.

해커가 배포되는 프로그램에 배포 사이트 크랙, 정상적인 프로그램을 백도어를 설치한

프로그램으로 바꿔치기

거짓 업그레이드 : 시스템을 패치하거나 업그레이드할 때 잘못된 프로그램 설치

5/49

백도어 생성하기

백도어의 인수(char exec[100])를 system 명령으로 실행하는 간단한 형태

SetUID 비트에 설정과 실행 권한 부여

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

1

6/49

백도어 동작하기

“ ”안의 명령을 실행해주는 단순한 프로그램

그림 9-2 백도어를 이용한 ls 명령 수행

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

2

7/49

id 명령 실행 : 일반 계정 사용해도 uid, gid가 0, 즉 관리자 계정으로 출력

passwd 파일은 wishfree와 같이 일반 계정이 읽을 수 있는 권한 없음

SetUID 비트를 가지고 있는 backdoor 파일을 통해 passwd 파일 조회 시 다음과 같이

출력

그림 9-3 backdoor를 이용한 관리자 소유의 /etc/passwd 파일 내용 읽기

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

8/49

그림 9-4 아무런 인수 없이 실행된 backdoor

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

9/49

백도어 설치

백도어 숨기기

바꿔치기에 적합한 대상 찾기

그림 9-5 find 명령으로 찾은 권한이 4755인 파일들

일반적으로 거의 사용되지 않는 프로그램을 바꿔치기 할 대상으로 선택

( /usr/sbin/usernetctl) 실행

백도어 프로그램 실행 시 위와 똑같이 실행되도록 속일 수 있는 백도어 더 만들기

바꾸기

바꾼 백도어 이용(관리자만 읽기 권한이 있는 shadow 파일 읽기 가능)

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

3

10/49

(1)에서 했던 것처럼 다시 컴파일 후 SetUID 비트를 설정하고 실행 권한을 준다.

이렇게 생성한 파일을 backdoor2라고 이름 지었다.

그림 9-6 backdoor2 실행 결과

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

11/49

이제 만든 백도어를 숨겨보자.

그림 9-7 backdoor2 파일을 netctl로 숨기기

바꾼 백도어를 이용해 보자.

그림 9-8 백도어로 바꾼

netctl을 이용한

/etc/shadow 파일 읽기

실습 9-1 SetUID형 로컬 백도어 설치와 이용하기

12/49

윈도우 백도어의 기능을 알아보기 위해 NetBUS를 주로 사용하는 기능을 중심으로 살

펴보자.

그림 9-9 NetBUS 클라이언트 인터페이스

윈도우 백도어

13/49

➊ Host name / IP : NetBUS 서버가 설치된 시스템의 IP와 포트 번호 입력

<Connect> 버튼 누르면 NetBUS 서버와 연결

➋ Server admin : 공격 대상 시스템에 설치된 서버에 대한 접근 제어 설정

그림 9-10 NetBUS 서버의 접근 권한 설정

➌ Open CD-ROM : 공격보다는 공격 대상 시스템을 사용하고 있는 사용자를 놀림

이 버튼을 누르면 상대방의 시스템의CD-ROM이 열렸다가 닫힘

윈도우 백도어

14/49

➍ Start program : 원격지의 프로그램 실행할 때 사용

그림 9-11 공격 대상 시스템의 탐색기 실행

➎ Msg manager : 공격자 시스템에 메시지 창을 띄워 임의의 정보를 알림

그림 9-12 공격 대상 시스템에 메시지 전송 그림 9-13 공격 대상 시스템에 전송된 메시지

윈도우 백도어

15/49

➏ Exit Windows : 로컬의 [시작]-[시스템 종료] 기능처럼 시스템 종료

➐ Active wnds : 공격 대상 시스템에서 현재 실행되고 있는 프로그램의 목록 보여줌

이 중 임의의 프로그램 중지 가능

그림 9-14 공격 대상 시스템에 실행 중인 프로그램

➑ Mouse pos : 마우스 포인터를 원하는 임의의 위치로 이동

윈도우 백도어

16/49

➒ Listen : 상대방이 키보드로 입력하는 모든 값을 공격자의 시스템으로 전달

그림 9-15 공격 대상 시스템의 메모장에 입력한 글자 그림 9-16 공격자 시스템 화면에 출력하는 글자

➓ Server setup : NetBUS 서버가 설치된 시스템에서 동작하는 Patch.exe로 열어둔

포트 변경, 접속에 패스워드가 필요하도록 설정

그림 9-17 공격 대상 시스템에 설치된NetBUS 서버의 설정 창

Control mouse : 상대방의 마우스를 사용하지 못하게 하고 공격자가 마우스를

움직이는 대로 상대방 시스템의 마우스 포인터가 움직이도록 함

윈도우 백도어

11

17/49

Key manager : 특정 키보드나 모든 키보드가 동작하지 않도록 설정

임의의 키가 눌린 것처럼 키 값을 입력 가능

그림 9-18 공격 대상 시스템에서 임의의 키 사용 중지 설정

Scan : NetBUS가 설치된 시스템 검색

그림 9-19 NetBUS 서버가 설치된 시스템 검색

윈도우 백도어

12

13

18/49

netcat 복사하기

netcat을 다운로드한 후 서버의 C:\Windows\System32에 복사

시작 프로그램 등록하기

그림 9-20 윈도우를 부팅할 때 실행하는 프로그램 목록 확인

실습 9-2 윈도우 백도어 설치와 이용하기

1

2

19/49

이 레지스트리에 netcat을 등록해 보자.

그림 9-21 netcat 실행 옵션 확인

실습 9-2 윈도우 백도어 설치와 이용하기

20/49

여기에서 사용할 옵션은 L, d, p, e이다.

그림 9-22 시작 프로그램에 netcat 등록 및 확인

실습 9-2 윈도우 백도어 설치와 이용하기

21/49

방화벽 등록하기

그림 9-23 방화벽에 455번 포트 허용 룰 등록

그림 9-24 455번 포트 허용 룰 확인

실습 9-2 윈도우 백도어 설치와 이용하기

3

22/49

백도어 접속 확인하기

그림 9-25 netcat을 이용한 원격지 명령 창 획득

실습 9-2 윈도우 백도어 설치와 이용하기

4

23/49

리눅스 백도어

http 데몬이 root 계정으로 운영되는 서버에 웹으로 접속 시 root 권한으로

nobody 계정으로 웹에 접속 시 nobody 권한으로 시스템에 자료 요청

그림 9-26 특정 데몬에 로그인할 때 권한 부여

백도어를 이용하는 외부 침투자도 시스템에서 백도어를 실행한 사용자 권한으로

시스템에 침투

커널 백도어 : 운영체제의 핵심 부분인 커널에 심어 넣는 백도어, 민감하고 난이도 높음

큰 차이는 없으며 커널에서 동작하기 때문에 일반 백도어보다 더 강력

제거하기 어렵고 설치 작업이 까다로움

리눅스에서 백도어 동작 통제 : cron 같은 스케줄러 이용

24/49

cron 데몬 : 일정 시간이 되면 자체적으로 프로그램 실행, 중지하는 스케줄러

cron 데몬 이해하기

그림 9-27 /etc/crontab 파일 내용

실습 9-3 자동 실행형 백도어 설치하고 이용하기

1

25/49

앞의 숫자, * 4개 : 해당 프로그램이 실행될 시간으로, 각각 분, 시, 날짜, 달, 요일

‘30 16,17 5-7 */2 * reboot’는 2개월마다(*/2) 5일부터 7일까지(5-7)

16시와 17시(16,17) 30분에 재부팅 하라는 의미

표 9-1 crontab 파일의 시간 관련 설정 값

실습 9-3 자동 실행형 백도어 설치하고 이용하기

필드 사용할 수 있는 값

분 0∼59

시 0∼23

날짜 1∼31

달 1∼12 : 달 이름 사용 가능

요일 0 ∼ 7 : 요일 이름 사용 가능 (0과 7은 일요일을 가르킴)

26/49

cron 데몬을 이용한 백도어 구동 및 중지하기

실습 9-3 자동 실행형 백도어 설치하고 이용하기

2

27/49

백도어 탐지 순서와 대응책

현재 동작중인 프로세스 확인

현재 프로세스를 확인하여 백도어가 아닌 정상 프로세스를 아는 것도 매우 중요

윈도우에서 Ctrl+Alt+Delete로 Windows 작업 관리자에서 실행 중인 프로세스 확인

Csrss.exe(Client/Server Runtime SubSystem : Win 32) : 윈도우 콘솔 관장. 스레드 생

성/삭제. 32비트 가상 MS-DOS 모드 지원

Explorer.exe : 작업 표시줄, 바탕 화면 같은 사용자 셸 지원

Lsass.exe(Local Security Authentication Server) : Winlogon 서비스에 필요한 인증

Smss.exe(Session Manager SubSystem) : 사용자 세션 시작 기능, Winlogon,

Win32(Csrss.exe)을 구동, 시스템 변수 설정, Smss는 Winlogon이나 Csrss가 끝나기를

기다려 정상적인 Winlogon, Csrss 종료시 시스템 종료

Spoolsv.exe(Printer Spooler Service) : 프린터와 팩스의 스풀링 기능

Svchost.exe(Service Host Process) : DLL(Dynamic Link Libraries)에 의해 실행되는

프로세스의 기본 프로세스, 한 시스템에서 svchost 프로세스 여러 개 볼 수 있음

Services.exe(Service Control Manager) : 시스템 서비스 시작/정지, 그들 간의 상호작

용하는 기능 수행

System : 대부분 커널 모드 스레드의 시작점

28/49

백도어 탐지와 대응책

열린 포트 확인

백도어 상당수가 외부와 통신 위해 서비스 포트 생성. 시스템에서는 netstat 명령으로 열린 포트 확인

일반 시스템에서 사용되는 포트는 그리 많지 않으므로 주의해 살펴보면 백도어가 사용

하는 포트 쉽게 확인 가능

SetUID 파일 검사

SetUID 파일 : 리눅스나 유닉스 시스템에서 로컬 백도어로서 강력한 기능 함.

SetUID 파일 중에 추가, 변경된 것은 없는지 주기적으로 살펴야 함

바이러스와 백도어 탐지 툴 이용

잘 알려진 백도어는 대부분 바이러스 일종으로 분류, 백신 툴이나 탐지 툴에 발견

무결성 검사

시스템에 어떤 변화가 일어나는지 테스트하는 것. MD5 해시 기법 많이 사용

파일 내용이 조금만 바뀌어도 MD5 해시 결과 값이 다르므로 관리자는 주요 파일의 MD5 값을 주기적으로 수집, 검사하여 파일의 변경 내역을 확인

로그 분석

방법은 무척 다양하며, Cyber Foresic(사이버 포렌식)이라는 하나의 분야로 정착

29/49

9-4 윈도우 백도어 탐지 및 제거하기

대부분 백도어는 웜을 통해 PC에 설치

백신 툴 없이 백도어 존재여부를 확인/제거 하는 방법

시스템에서는 netstat 명령으로 열린 포트 확인

백도어에 대응하는 기본적인 작업 : 탐지와 제거

네트워크 연결 확인하기

백도어가 스니퍼처럼 동작하는지 또는 네트워크 서비스처럼 동작하는지를 가장 먼저 확

인

그림 9-29 Promiscuous 모드 확인

` 1

30/49

9-4 윈도우 백도어 탐지 및 제거하기

그림 9-30 455번 포트에 동작 중인 nc.exe 확인

455번 포트를 열고 있는 nc.exe를 확인할 수 있다.

공격자가 연결을 유지하고 있을 때는 다음과 같이 공격자의 호스트 이름

또는 IP 주소를 확인할 수 있다.

31/49

9-4 윈도우 백도어 탐지 및 제거하기

그림 9-31 455번 포트에 동작 중인 nc.exe에 연결된 공격자 확인

32/49

9-4 윈도우 백도어 탐지 및 제거하기

프로세스 확인하기

Process Explorer를 이용하여 현재 동작 중인 프로세스를 확인해 보자.

그림 9-32 Process Explorer로 확인한 nc.exe

` 2

33/49

9-4 윈도우 백도어 탐지 및 제거하기

웜이나 바이러스처럼 악성 코드 형태로 동작하는 프로그램은 백도어를 삭제했을 때,

이를 복구할 수 있도록 모니터링 프로세스와 백업 프로세스까지 생성할 때가 많기 때문

에 이 또한 확인해야 한다.

그림 9-33 Process Explorer로 확인한 nc.exe 속성 정보

34/49

9-4 윈도우 백도어 탐지 및 제거하기

프로세스의 속성을 확인하면 이상 여부를 알 수도 있지만, 그렇지 못할 때는

이름은 동일하나 정상적으로 보이는 프로세스의 속성 정보를 같이 열어 비교하여 분석.

Netcat에서는 cmd.exe를 사용하는 것을 확인, 프로그램 중에 cmd.exe를 사용하는프로

그램이 있는지 [ctrl]+[F]를 눌러 검색

그림 9-34 검색으로 확인할 수 있는 nc.exe

35/49

9-4 윈도우 백도어 탐지 및 제거하기

레지스트리 확인

윈도우 시스템은 시스템의 운영과 관련해 재부팅되도 기본 설정 값이 변하지 않도록 레

지스트리에 여러 값 기록. 백도어도 주로 레지스트리 이용, 백도어 삭제 시에는 레지스

트리도 내용 확인해야 함

레지스트리 편집기에서 [파일]-[내보내기] 메뉴 선택, 레지스트리를 txt 파일로 내보냄

메모장에서 열어 system.exe 파일 찾으면 검색 결과 없음

system.exe의 아스키 값은 73,79,73,74,65,6d,2e,65,78,65 레지스트리에서는 유니코드

형태(1글자당 2바이트)로 저장, 중간에 00을 추가하여, 73,00,79,00,73,00,74,00,65,00,

6d,00,2e,00,65,00,78,00,65,00로 검색, 레지스트리 파일에서 해당 내용 확인

그림 9-35 레지스트리를

txt 파일로 내보내기

그림 9-36 레지스트리를 nc.exe확인

` 3

36/49

9-4 윈도우 백도어 탐지 및 제거하기

파일 확인

total commander 툴 사용 백도어 실제 파일 확인

윈도우 탐색기 대신 total commander 사용 이유

• 윈도우 탐색기는 윈도우 운영체제와 많은 라이브러리 공유, 윈도우 탐색기가 공격 대상이 되면

윈도우 탐색기 사용 불가. 또한 윈도우 탐색기로 특정 파일이 숨겨지거나 삭제되지 않게 되 있는

경우도 있다. 이런 제약적 상황 때문에 윈도우와 상관없이 독립적으로 동작하는 파일 탐색기인

total commander 유용하게 사용

total commander 이용 백도어 확인 전 설정 할 사항

• [환경설정]-[옵션]-[화면]에서‘숨김/시스템 파일 표시’옵션 설정

그림 9-37 ‘숨김/시스템 파일 표시’옵션 설정

4

37/49

9-4 윈도우 백도어 탐지 및 제거하기

• [명령]-[파일 찾기] 메뉴 이용 system.exe 검색, 우선 파일명으로 검색

• system.exe 파일이 C:\와 C:\Windows에 각각 존재

• 두 파일 모두 백도어로 iexplore.exe와 calc.exe 프로세스가 서로 보완적인 역할을 하듯 한쪽이

삭제되면 다른 쪽을 기반으로 서로 재복사

• 검색할때 system.exe 파일에 추가 문자열이 포함된 경우도 있으므로

*system.exe, *system*.exe와 같이 검색 C:\Windows\system32\_system.exe 파일 확인

C:\Windows\system32는 백도어 공격에서 대부분 기본 디렉터리기 때문에 별도로 확인

• system.exe 파일의 실행과 관련한 다른 설정 파일 확인 위해 문자열 포함 검색

C:\autorun.inf 파일검색

그림 9-38 nc.exe 파일 이름으로 검색

38/49

9-4 윈도우 백도어 탐지 및 제거하기

백도어 제거

➊ 백도어 프로세스 중지

➋ 백도어 파일 삭제

➌ 레지스트리 삭제

시스템 무결성 검사하기

앞서 살펴본 모든 테스트에서 백도어 탐지에 실패했을 때 사용할 수 있다. 중요 시스템

이나 디렉터리는 무결성 점검 툴을 사용하여 주기적으로 점검하면 좋다.

윈도우에서는 SFC를 기본으로 제공,

이 툴을 동작하려면 윈도우 설치 CD 필요.

정상 파일과 시스템에 설치된 파일이

일치하는지 테스트한다.

그림 9-39 sfc 명령 실행 결과

5

6

39/49

9-4 윈도우 백도어 탐지 및 제거하기

실제 스캔은 sfc /SCANNOW 명령으로 수행

그림 9-40 sfc /SCANNOW 명령 실행 결과

40/49

9-5 tripwire를 이용한 무결성 검사하기

설치하기

tripwire는 우분투 17에서 apt-get으로 다음과 같이 설치

그림 9-41 tripwire 설치

1

41/49

9-5 tripwire를 이용한 무결성 검사하기

설치 중 다음 설정 화면을 확인

- tripwire 가 사용하는 메일 서버와 관련한 사항

- tripwire 와 관련한 패스워드를 설정해야 함.

그림 9-42 tripwire 관련 설정

설정은 [Tab]과 [Enter]를 눌러 선택.

그림 9-43 tripwire 설치 완려

42/49

9-5 tripwire를 이용한 무결성 검사하기

tripwire 설정하기

그림 9-44 /etc/tripwire에 저장된 key 파일

2

43/49

9-5 tripwire를 이용한 무결성 검사하기

tw.pol과 tw.cfg는 tripwire 관련 설정 파일인데, 기본적으로 암호화되어 있다.

두 파일의 기본 설정 내용은 twpol.txt와 twcfg.txt 파일로 만드는데,

각 파일 내용은 다음과 같이 확인할 수 있다.

그림 9-45 /etc/tripwire/twcfg.txt 파일 내용

44/49

9-5 tripwire를 이용한 무결성 검사하기

twpol.txt 파일은 해당 시스템의 무결성 검사 목록을 저장하는 파일로 시스템에 최적화 시킬

수 있다.

그림 9-46 /etc/tripwire/twpol.txt 파일 내용

45/49

9-5 리눅스 백도어 탐지하고 제거하기

초기 시스템 검사 목록 작성하기

tripwire를 실행해야 한다.

그림 9-47 tripwire 초기화로 파일 시스템에서 데이터베이스 생성

3

46/49

9-5 리눅스 백도어 탐지하고 제거하기

무결성 검사하기

tripwire를 설치하면 매일 자동으로 cron 데몬에 의해서 실행되지만, 관리자가 임의로 –

check 옵션을 설정하여 실행할 수도 있다.

그림 9-48 tripwire를 이용한 무결성 검사

4

47/49

9-5 리눅스 백도어 탐지하고 제거하기

작성된 보고서는 /var/lib/tripwire/report 경로에 저장된다.

그림 9-48 tripwire를 이용한 무결성 검사

48/49

9-5 리눅스 백도어 탐지하고 제거하기

그림 9-49 tripwire로 생성된 보고서 읽기

시스템 해킹과 보안