검색어 입력폼

백도어의 탐지와 대응책 - Tripwire

저작시기 2009.10 |등록일 2010.02.20 한글파일한글 (hwp) | 8페이지 | 가격 2,000원

소개글

본 레포트는 시스템 보안에서 백도어의 탐지와 대응책에 대한 레포트로
Tripwire를 이용한 linux 시스템 백도어의 탐지와 대응을 다루고 있습니다.
간단한 백도어 제작 예제와 탐지 및 대응에 대해 화면 캡춰 및 소스코드
등도 첨부 되어 있습니다.

목차

1. 전체적인 시나리오와 제약점 제시
2. 진행과정
3. 사용 프로그램
4. 상세 과정

본문내용

1. 전체적인 시나리오와 제약점 제시
가. 전체적인 현재 환경
1) 해킹 대상 즉, 무결성 검사의 대상이 되는 시스템의 OS는 Red Hat Linux 9 이다.
2) 해커는 ICMP 원격 쉘 백도어를 이용하여 대상 시스템을 컨트롤할 수 있다.
나. 진행을 위한 사전 기반 지식
1) ICMP 백도어는 방화벽 우회용으로 사용되기도 하는 백도어이다. ICMP 패킷이 모두 막혀
있는 방화벽에서는 통과할 수 없다. ICMP 패킷은 ping을 위한 프로토콜로써, 이 ICMP 패킷을
데이터 전송에 이용한 것이 ICMP 백도어이다. 보통 ping을 보내면 ping 유틸리티는 ICMP
Request 패킷을 보내고 상대 시스템은 이에 대한 응답으로 ICMP Reply 패킷을 보내는데,
ICMP 백도어는 이 ICMP Reply만을 이용한다. 따라서 백도어가 동작중이라고 해도 ICMP
패킷만 왔다갔다 하기 때문에 단순히 ping 유틸리티에 의한 것이라고 생각하기 쉽다.
2) 백도어 탐지에 있어서 무결성 검사는 매우 중요하다. 윈도우와 달리 리눅스나 유닉스 시스템의
특성상 무결성 검사에서 많은 것을 탐지해 낼 수 있다. 유닉스의 경우에는 시스템의 프로세스가
비교적 관리자의 통제안에 있지만, 윈도우의 경우에는 너무나 많은 설정 파일이 윈도우 자체적
으로 바뀌므로 무결성 검사로 이를 통제할 경우에는 많은 확인을 요구한다. 유닉스 시스템의
대표적인 무결성 점검툴에는 Tripwire가 있다.
2. 진행과정
해커는 기존 ICMP백도어 서버가 설치되어 있는 시스템에 ICMP백도어 클라이언트를 이용하여
침투한다. 해커는 ICMP 백도어의 발각을 우려 새로운 백도어를 추가적으로 생성하여 시스템의
중요한 파일과 교체한다.
시스템의 관리자는 Tripwire를 이용하여 시스템의 중요한 파일에 대하여 무결성 검사를 수행하고
백도어를 탐지해 낸다.
3. 사용 프로그램
가. ICMP 원격 쉘 백도어
ICMP 백도어는 ping을 위한 프로토콜인 ICMP 패킷을 이용한 백도어
DOWNLOAD : http://mac.softpedia.com/get/Network-Admin/ISH.shtml
나. GCC
GNU C Compiler
DOWNLOAD : http://gcc.gnu.org/releases.html
다. Tripwire
유닉스 시스템의 대표적인 무결성 점검툴
DOWNLOAD : http://www.linux.co.kr/home/search/?select=rpmView&no=11111
4. 상세 과정
가. ICMP 백도어를 이용한 침투
(침투 대상 시스템에는 ICMP 백도어 서버가 기 설치되어 있다고 가정합니다.)
해커는 ICMP 서버가 설치되어 있는 시스템에 ICMP 백도어 클라이언트를 이용하여 접속한다.
ICMP 클라이언트를 실행하면 처음 uid와, gid가 0으로 현재 관리자의 권한으로 접속되어 있음을
확인할 수 있다.
나. 향후 ICMP 서버가 제거 되었을 경우를 대비한 추가 백도어 생성
(‘나’항에서 실행되는 항목들은 모두 ICMP 백도어 환경에서 수행되는 것입니다.)
해커는 향후 ICMP 서버가 발각되어 제거되었을 경우를 고려하여 추가적인 백도어를 생성하고자
다운로드 맨위로