'백도어'에 해당되는 글 8건

  1. 2015.02.26 사물인터넷의 구글인 쇼단(Shodan) 검색엔진 (1)
  2. 2010.08.09 KISA 8월 정보보호 실습교육
  3. 2010.01.06 IceSword을 이용한 루트킷 탐지 및 삭제
2015.02.26 09:58

사물인터넷의 구글인 쇼단(Shodan) 검색엔진

사물인터넷의 구글인 쇼단, 취약점 노출로 인해 해커와 테러리스트의 놀이터가 되다

http://www.itworld.co.kr/news/91437



쇼단(Shodan) 검색엔진을 이용하면 백도어가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 산업 제어 시스템 등을 찾을 수 있다.

쇼단은 사물인터넷을 위한 '구글'이자, 해커와 테러리스트의 놀이터이며, (어쩌면) 기업들이 자신의 환경을 잠글 때 유용하게 이용할 수 있는 툴이다.

쇼단의 창업자인 존 메테리는 5년 전, 기업들에게 제품이 사용되는 장소와 방법에 대한 정보를 제공하는 시장 정보 툴(Market intelligence tool)로 이 검색엔진을 발표했다.

메테리는 "물론 실증적 데이터를 이용, 경쟁 업체의 시장 포지셔닝을 더 잘 이해할 수 있는 정보를 질의해 얻을 수도 있다"고 설명했다.

그러나 발표 이후 이 검색엔진은 '스스로의 삶'을 살기 시작했다.

이에 대해 메테리는 "보안 전문가들이 인터넷을 더 잘 이해하는데 유용한 툴이 됐다"고 말했다.

공개 웹사이트는 쇼단이 검색할 수 있는 많은 것 가운데 일부에 불과하다. 기업 고객들은 수집하는 데이터 일체에 대한 실시간 액세스를 구입할 수 있다. 예를 들어, 쇼단을 이용해 기업 내부 네트워크를 검색할 수 있다.

메테리는 "대기업에는 도급업체나 협력업체가 제대로 설정하지 못한 상태에서 온라인에 연결된 자동화 시스템이나 텔넷이 실행되는 컴퓨터들이 있다. 게다가 클라우드 컴퓨팅이 증가하면서, 인증 체계가 없어 콘텐츠가 인터넷에 유출될 수 있는 클라우드 서버가 크게 증가하고 있다"고 말했다.

기업들은 또 쇼단을 이용해 함께 사업을 할 계획을 갖고 있거나, 인수를 하고자 하는 회사의 보안을 점검할 수도 있다.

그리고 범죄자들이 이용하는 악성코드 C&C 서버(Command and Control Server)를 발견할 수도 있다. 이 작업은 통상적으로 집중적인 시간 투자가 필요한 프로세스다. 메테리는 "그러나 쇼단을 이용하면 아주 쉽게 파악할 수 있다"고 설명했다.

미국 미네아폴리스에 본사를 둔 매니지드 보안 서비스 공급업체인 넷시큐리스(Netsecuris Inc.) 대표이자 CEO 레오나르드 제이콥스는 "쇼단이 위협이 된다고 생각하지는 않는다. 우리는 쇼단을 고객들에게 유용한 도구로 활용한다. 다른 기법을 통해 발견한 것을 확인하는데 쇼단을 이용하고 있다"고 말했다.

원칙적으로, 기업은 인터넷에 노출된 장치와 시스템을 전부 파악해야 한다. 그러나 편리함을 추구하느라 이런 원칙을 무시하는 경우가 있다. 제이콥스는 "실제 사례를 보면 놀랄 것이다"고 말했다.

쇼단, 악의 축?
공격자들 또한 쇼단을 통해 특정 장비나 특정 소프트웨어를 재빨리 발견할 수 있다.
캐나다의 보안 컨설팅 업체인 택티컬 인텔리전스(Tactical Intelligence Inc.)의 파트너 쉐인 맥두갈은 "예를 들어, 해커들은 전체 인터넷을 뒤지지 않아도, 쇼단에서 특정 시그내처를 찾아 웹에 연결된 모든 퍼비(Furby)를 재빨리 발견할 수 있다"고 말했다.

바르엘은 "쇼단은 단지 취약점을 알려줄 뿐이다. 물론 해킹 공격에서 취약한 노드를 감지하는 것이 중요하다는 점에는 이견이 있을 수 없다. 그러나 해커들은 쇼단이 개발되기 훨씬 이전부터 자동화된 크롤러(Crawlers)로 이를 수행할 수 있었다"고 말했다.

또한 대다수 보안 전문가들은 취약점을 발견하고 난 이후에는 이를 숨기기보다 공개하는 것이 낫다는 점에 동의했다.

바르엘은 "취약한 시스템을 이용하는 사람들은 이런 취약점을 알 권리를 갖고 있다"고 강조했다. 그래야만 취약한 시스템을 제공한 개발업체를 교체하는 등 조치를 취할 수 있기 때문이다.

바르엘은 "상용 제품에서 발견된 취약점을 공개하는 것은 개발업체들이 이를 고치도록 유도할 수 있는 효과적인 방법이 된다"고 덧붙였다. 또한 "개발업체들이 제품의 보안 문제를 몇 달 또는 몇 년 동안 무시했다가, 공개가 되고 난 이후에야 이를 바로잡았던 사례가 많았다. 사실 해결되지 않은 취약점은 시한폭탄이나 다름없다"고 덧붙였다.

쇼단의 메테리는 "범죄자들은 이미 가용한 툴들을 보유하고 있다"고 말했다. 쇼단 웹사이트는 사용자가 계정을 등록하도록 요구하고 있다. 또한 첫 검색만 무료다.




출처 : itworld.co.kr


Trackback 0 Comment 1
  1. Favicon of https://blogger.pe.kr Tae-Ho 2015.02.27 10:37 신고 address edit & del reply

    사물인터넷 기기의 보안도 이슈가 되니 공부할게 점점 많아지네요. 이젠 임베디드 OS까지 봐야하는건지.. ^^ 정보보안기사를 1회 때 붙으셨다니.. 대단하십니다~

2010.08.09 10:46

KISA 8월 정보보호 실습교육

한국인터넷진흥원은 기업체 전산 및 정보보호 담당자들을 대상으로 운영체제별 취약점 및 보안설정 방법 등을 실습교육을 통해 아래와 같이 진행하오니 여러분의 적극적인 참여를 부탁드립니다.

교 육 명 : 정보보호 실습교육

장 소

  • 한국인터넷진흥원 KISA 아카데미 실습 강의장 A <오시는 길은 아래 약도를 참조하세요>

대 상

  • 기업체 전산 담당자, 정보보호 담당자, 일반인

일 시

  • 정보보호 실습교육(리눅스 보안과정) : 2010.08.20(금) 09:30 ~ 18:00
  • 정보보호 실습교육(윈도우 보안과정) : 2010.08.27(금) 09:30 ~ 18:00

인 원

  • 정보보호 실습교육(윈도우 보안과정) : 40명
  • 정보보호 실습교육(리눅스 보안과정) : 40명

신청기간

  • 정보보호 실습교육(윈도우 보안과정) : 2010.08.09 10:00 ~ (선착순 마감)
  • 정보보호 실습교육(리눅스 보안과정) : 2010.08.09 10:00 ~ (선착순 마감)

문 의 처

  • 한국인터넷진흥원 KISA 아카데미팀 서혜정 선임연구원 (Tel : 02-405-6535)
  • (사)한국해킹보안협회 사무국 고승욱 팀장 (Tel : 02-3406-9225)

기 타

  • 교육장소로 인해 교육인원이 제한되어 있어, 교육 신청자가 많은 경우 선착순으로 마감되오니 빠른 시일 내 신청해 주시기 바랍니다.
  • 주차는 지원이 안되오니 대중교통을 이용하여 주시기 바랍니다.
  • 정보보호실습교육 교육비와 교재는 무료입니다.
  • 중식은 제공하지 않습니다.
  • 각 과정마다 1번씩만 수강이 가능합니다.

교육프로그램

리눅스 보안과정 (8/20 금)

시간교육내용
09:00 ~ 12:30 파일시스템, 서비스, 서버보안
12:30 ~ 13:30 중식
13:30 ~ 14:50 네트워크 보안, 리눅스 방화벽
15:00 ~ 16:50 루트킷 및 백도어 탐지, 아파치 웹서버 보안 및 웹보안
17:00 ~ 17:30 무선인터넷 활성화 및 보안대책
17:30 ~ 17:50 설문조사 및 수료증 발급

윈도우 보안과정 (8/27 금)

시간교육내용
09:30 ~ 12:30 백도어, 루트킷 개념 및 실습, 대응방안
12:30 ~ 13:30 중식
13:30 ~ 14:50 레지스트리, 서비스, 암호크래킹 등 개념 및 실습, 대응방안
15:00 ~ 16:50 간단한 악성코드 제작, 점검용 툴 사용
17:00 ~ 17:50 무선인터넷 활성화 및 보안대책
17:50 ~ 18:00 설문조사 및 수료증 발급

※ 시간 및 교육 내용은 약간 변경될 수 있습니다.

수강신청

오시는 길

  • 주소 : 서울시 서초구 389 플래티넘타워 12층
    (지하철2호선 강남역 4번출구 교대방향)
  • TEL : 02-3406-9229, 02-405-6535
  • 지하철 : 2호선 강남역 4번 출구 교대역 방향 약 100M 직진
  • 버 스 : 140, 146, 340, 402, 407, 408, 420, 421, 440, 441, 462, 470, 471, 341, 730, 9404, 9408, 9409, 9503, 9711 이용 강남역 부근 하차

출처 : KISA

Trackback 0 Comment 0
2010.01.06 10:54

IceSword을 이용한 루트킷 탐지 및 삭제

IceSword (루트킷 탐지∙삭제 프로그램)

 

숨겨진 프로세스나 서비스, 포트 등을 붉은색으로 표시해 루트킷의 존재를 알려주는 윈도우용 보안 툴 입니다. 일반 툴로는 볼 수 없는 루트킷 기법을 사용하는 파일이나 그 레지스트리를 볼 수 있게 해 사용자가 직접 이를 삭제할 수 있습니다. 루트킷 기법은 계속 발전하고 있기에 IceSword로는 모두 탐지할 수는 없으며 백신등과 다른 루트킷 탐지도구의 검사내용, Google검색 등을 통해 삭제내용을 신중히 결정하시기 바랍니다.

 

파일이나 레지스트리를 삭제할 때는 상당한 주의를 요합니다. 특히 SSDT(System Service Descriptor Table)항목의 경우에는 특히 주의를 해야 합니다. 보안프로그램도 kernel hook기법을 이용하기에 붉게 표시되었다고 모두 루트킷이 아닙니다.

(실제로 kav의 klif.sys, outpost의 filtnt.sys, daemon의 d347bus.sys도 붉게 표시됩니다.)

 

IceSword는 위에서 언급한 기능 외에도 Startup, BHO 등의 기능이 있어 일반적인 분석도구로도 사용이 가능합니다.

 

IceSword 보안툴의 경우 IceSword.exe, lsHelp.exe로 구성되며 IceSword.exe의 경우 영문판이 있지만 lsHelp.exe의 중문입니다.

 

IceSword.exe : 실행되고 있는 루트킷 및 백도어(바이러스)를 붉게 표시해주며 프로세스 및 실행파일 레지스트리 삭제가 가능합니다.

(실행되지 않는 루트킷 및 백도어(바이러스)는 붉은색으로 표시되지 않습니다.)

 

IsHelp.exe : IceSword.exe에서 검출된 루트킷 및 백도어(바이러스)의 위치를 검색할 수 있으며 삭제 기능은 제공되지 않습니다. 

(실행되지 않는 루트킷 및 백도어(바이러스)는 검색되지 않습니다.)

 

IceSword (제작자 홈페이지)

http://www.blogcn.com/user17/pjf/index.html

 

 

1) IceSword 실행방법

 

IceSword120_en.zip 파일 압축해제

IceSword 프로그램은 별도의 설치과정 없이 다운로드 받은 IceSword120_en.zip 파일 압축해제 후 IceSword.exe을 실행하시면 됩니다.

 

IceSword.exe 실행

  

Cooperator.zip 압축해제

IsHelp.exe는 압축 해제한 IceSword 폴더 내에 Cooperator.zip 파일의 압축을 풀면 Cooperator 디렉토리 내에 존재합니다.

 

IsHelp.exe 실행

lsHelp.exe는 IceSword.exe가 실행된 상태에서 실행됩니다.

  

2) IceSword 사용방법

 

해킹 서버를 이용한 루트킷 및 백도어 검출

용도 : DB서버

OS : 윈도우 2000서버

프로그램 : MSSQL 2000

해킹유형 : SQL Injection 취약성을 이용한 공격으로 administrator 권한을 획득 후 원격 접속을 이용한 루트킷 및 백도어 설치

 

IceSword.exe 실행

IceSword.exe를 실행시키고 process, services, port, startup, kernel module 등의 항목에 붉게 표시된 것이 있는지 확인합니다.

 

(보다 효율적으로 루트킷을 탐지하기 위해서는 IceSword.exe와 IsHelp.exe 등을 CD에 옮긴 후 CD상의 IceSword.exe를 실행합니다. 그 후 시작,실행, msconfig 치고 확인,시작프로그램, 아무 항목이나 체크,적용,닫기, 재부팅 여부를 물을 때 다시 시작 클릭 재부팅 후 CD에 있는 IceSword.exe를 실행시켜 검사하는 방법이 있습니다. 체크된 항목은 저절로 체크 해제됩니다.)

 

Process

hxdef.exe, wmimpmt.exe 프로세스가 붉게 표시되고 있는 화면입니다.

프로세스 종료 : [해당프로세스]-[마우스우측버튼]-[Terminate Process]

 

Win32 Services

Win32 Services에 존재하지 않는 WmiMpmt, Hender 서비스가 재부팅 시 자동시작 되도록 Services 목록에 설정되어있습니다.

서비스 중지 : [해당프로세스]-[마우스우측버튼]-[Disabled]

  

Port

wmimpmt.exe 프로세스의 포트를 검색 시 중국, 오스트레일리아 쪽 IP가 연결되어있음을 확인할 수 있습니다.

포트 리플레쉬 : [해당프로세스]-[마우스우측버튼]-[Refresh]

 

System Check 화면

히든프로세스로 wmimpmt.exe, hxdef.exe이 검출된 화면입니다.

  

⑥ 실행파일 경로검색

IceHelp.exe으로 붉게 표시된 프로세스 및 히든파일이 경로를 검색할 수 있지만 IceSword.exe에서도 경로가 검색됩니다.

 

[wmimpmt.exe]

경로 : C:\WINNT\system32\wmimpmt.exe

 

[wmimpmt.exe] – [등록정보]

ccproxy 의해 구동되는 프로세스임을 확인할 수 있습니다.

 

[hxdef.exe]

경로 : C:\WINNT\system32\hxdef.exe

  

Registry

루트킷이나 백도어가 설치된 경우는 유관상으로 확인 및 삭제할 수 없도록 레지스트리를 수정했을 가능성이 크므로 Registry 항목을 체크합니다.

 

내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

 

[Hender]

레지스트리삭제 : [Hender]-[마우스우측버튼]-[Delete]

 

[WmiMpmt]

레지스트리삭제 : [WmiMpmt]-[마우스우측버튼]-[Delete]

 

3) IsHelp 사용방법

IceSword.exe을 이용하여 루트킷 및 백도어(바이러스)가 검출되었을 경우 IsHelp.exe을 이용하여 루트킷 및 백도어(바이러스) 재검출 및 경로탐색을 합니다.

 

IsHelp.exe의 Advancement module 부분에서 hxdef.exe, wmimpmt.exe가 검출되는 화면입니다.

[hxdef.exe]

 

[wmimpmt.exe]

  

② 루트킷 및 백도어(바이러스) 검색

로컬디스크상에 존재하는 루트킷 및 백도어(바이러스)로 의심되는 hwdef.exe,

wmimpmt.exe가 검출되는 화면입니다.

 

Registry 검색

IceSword.exe에서는 해당 경로를 직접 검색해야 하지만 IsHelp.exe 레지스트리 항목에서는 해당 경로가 자동 탐색되며, 삭제는 IceSword.exe의 Registry항목에서만 가능합니다.

 

내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

 

[Hender]

 

[WmiMpmt]

 

④ 루트킷 및 백도어(바이러스) 경로검색

검출된 루트킷 및 백도어(바이러스)의 파일명을 이용하여 파일의 위치를 검색할 수 있습니다.

 

⑤ 위와같이 IceSword, IsHelp에서 루트킷 및 백도어(바이러스) 의심 프로세스가 검출되거나 특정 Port로 해외쪽 아이피가 연결되어 있고 System Check 목록에 히든파일이 검출될 때는 루트킷이나 백도어(바이러스) 의심을 해 야합니다. 백신검사 및 cport, RootkitRevealer 등의 프로그램으로  루트킷 존재여부를 다시 확인하여 삭제여부를 결정합니다. 위의경우 백신이나 cport, RootkitRevealer 는 검출되지 않는 부분이 있었으므로 해당 프로세스 및 파일, 레지스트리를 삭제할 때는 신중히 결정하셔야 합니다.

 

⑥ 만약 문제되는 프로세스가 explorer.exe, winlogon.exe, svchost.exe와 같은 윈도우의 정상프로세스라면 dll injection을 의심해 보아야 합니다. IsHelp.exe로 문제를 야기한 dll을 확정한 후 process explorer와 같은 프로그램으로 해당 프로세스를 정지(suspend)시킨 후 IceSword.exe로 해당 dll을 프로세스에서 제거(unload) 합니다. 그 후에 IceSword.exe의 file 항목에서 찾아 직접 삭제합니다. 정지시킨 프로세스는 process explorer로 다시시작 (resume)합니다.

process explorer에는 프로세스를 정지시키는 기능은 있지만 dll을 프로세스에서 제거하는 기능은 없고, IceSword.exe는 그 반대입니다. 문제되는 윈도우의 정상프로세스가 2개 이상이라면 프로세스가 서로 연동되어 있을 수 있으므로 해당 프로세스를 모두 정지시킨 후 위 설명에 따릅니다.

 

4) 루트킷 및 백도어(바이러스) 재검사

 

① 검출된 루트킷 및 백도어(바이러스) 프로세스 및 파일, 레지스트리를 모두 삭제 하셨다면 IceSword.exe, IsHelp.exe을 재 실행하여 루트킷 및 백도어(바이러스)의 검출을 재확인과 백신검사(안전모드), 계정, 로컬디스크보안, 패스워드변경, 윈도우업데이트, 포트차단등의 보안관련 설정을 확인합니다.


출처 : nextline.net


Trackback 0 Comment 0