홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 3탄~!! 백도어 점검

[Global Services]/Asia IDC

홍콩, 일본 서버 관리자를 위한 피싱대응 가이드 제 3탄~!! 백도어 점검

이호스트ICT 2015. 8. 27. 16:49

안녕하세요.

이호스트데이터센터입니다.

홍콩, 일본서버호스팅 운영자 분들을 위한 가이드 3탄! 해외 서버 운영자및 서버호스팅 관리자 분들은 꼭 읽으셨으면 좋겠네요^^

지난 피싱대응 가이트 1,2탄에 이어 계속 포스팅하도록 하겠습니다.

오늘은 백도어 점검에 대한 포스팅을 하도록 하겠습니다.

참고로 참고로 아래 내용은 한국인터넷 진흥원에서 배포하는 피싱 가이드에서 발췌한 내용입니다.

* 루트킷(rootkit) 확인

시스템 침입 사실을 숨기거나 재 침입을 용이하게 하기위해 사용되는 파일 들을 모아 놓은 패키지 프로그램입니다.

􀙊 애용되는 디렉토리 : /dev, /tmp, /var/tmp, /dev/shm, /lib, /etc/rc.d/, /usr/src,/usr/info 등 많은 파일이 존재하거나 누구나 접근할 수 있는 디렉토리 등

􀙊 공격자와 관련된 파일, 프로세스, 특정한 네트워크 컨넥션 (특정 어드레스, 프로토콜. 예를 들면 IRC 컨넥션 등)을 숨기기 위해 중요한 시스템 binary들을 변조.

일반적으로 /dev 디렉토리에 /dev/MAKEDEV 외의 file 타입의 파일이 존재한다면 루트킷을 의심해 볼 필요가 있습니다.

[ 루트킷 탐지사례 ]

[root@I업체 root]# find /dev -type f -print

/dev/MAKEDEV

/dev/.sk56/.sniffer

/dev/.sk56/sk

/dev/.lost/ibei.tgz

/dev/.lost/signin.ebay.com/ws/eBayISAPI.dll?SignIn&co_partnerId=2&p

UserId=~ 생략

[root@I업체 .sk56]# strace -e trace=open ls

open“( /etc/ld.so.preload”, O_RDONLY) = -1 ENOENT (No such file

or directory) ~중략

open“( /lib/tls/libc.so.6”, O_RDONLY) = 3

open“( /usr/lib/locale/locale-archive”, O_RDONLY|O_LARGEFILE) = 3

open“( /usr/include/file.h”, O_RDONLY) = 3 ~이하 생략

바이너리 파일이 실행될 때 참고하는 /etc/ld.so.preload 라이브러리 파일 에 entry를 추가하여 다른 시스템 라이브러리 파일 전에 load 되도록 하고, ls, ps, netstat, find 등의 바이너리 실행 시 숨기고자 하는 목록을 지정하여 출력되지 않도록 합니다.

􀙊 숨길 목록 : 파일명, IP, 포트, 프로세스 명, 관련 로그 등

커널에 새로운 모듈을 로드할 수 있도록 제공된 편리성을 이용해 커널을 직접 수정하는 커널 루트킷이 설치될 경우 커맨드 라인상에서는 탐지가 쉽지 않습니다.

알려져 있는 루트킷이나 커널 루트킷은 chkrootkit, RootkitHunter,kstat 등의 탐지툴을 이용하여 점검할 수 있습니다.

* 백도어(backdoor) 확인

공격자는 정상적인 로그인 과정을 거치지 않고 단 시간에 쉽게 접속하면서 접속한 로그가 남지 않도록 백도어를 설치하게 됩니다. 대부분 정상적인 프로세스인 것처럼 가장하기 위해 프로세스 명을 httpd나 swapd 등과 같이 위장하는 경우가 많으며 재부팅을 하거나 관련된 프로세스가 중단되더라도 다시 구동될 수 있도록 시작스크립트나 crontab에 등록하는 경우가 많습니다.

[ 서비스 백도어 ]

telnet, ssh, rlogin 등 터미널 접속서비스를 변조하여 특정한 터미널 설정을 가진 유저에게 루트권한을 제공하도록 변조된 서비스 프로그램을 설치하는 형태로, 최근 몇 년 동안은 ssh서비스를 백도어로 이용한 사고가 많이 발견되고 있음

[ 시작 스크립트 파일에 삽입된 백도어 예 ]

[root@localhost www]# more /etc/rc.d/rc.sysinit

…

/usr/bin/hdparm -t1 -X53 -p

[root@localhost www]# strings /usr/bin/hdparm | more

#!/bin/sh

cd /dev/ida/.inet

./sshdu -f ./s ← 백도어 역할의 변조된 ssh

./linsniffer >> ./tcp.log & ← 스니퍼링 결과 저장

cd /

※ /etc/rc.d/ 디렉토리 내의 다른 파일들을 이용할 수 있음

[ Crontab 파일에 삽입된 백도어 예 ]

[root@localhost bin]# strings crontabs

/lib/ld-linux.so.2

libc.so.6

~중략 ~

GLIBC_2.0

PTRh<

“smbd -D” ← 백도어 역할의 변조된 ssh

“(swapd)”& ← 스니퍼링 툴

[ Network 백도어 ]

일반적으로 사용되는 특정 포트를 백도어로 이용하는 경우로, SMTP와 같은 일반 서비스포트를 이용할 경우 해당포트가 백도어인지 정상적인 서비스포트로 열린 것인지 구분하기 힘듦

예) ICMP shell 백도어

ping 패킷에 데이터를 실어 전달하는 백도어의 경우 관리자가 보기에는 일반

ping이 송수신 되는 것으로만 보이기 때문에 ping 패킷 분석을 통해서만 확인가능

점차 백도어의 형태가 더욱 교묘하게 만들어지고 커널 루트킷의 백도어 기능을 이용하는 등 모든 백도어를 찾아서 제거하기는 점점 더 힘들어지고 있습니다.

이러한 백도어가 해킹 피해시스템의 사후조치 시 재설치를 권유하게 되는큰 이유가 되기도 합니다.

보다 안정적이고 빠른 일본,홍콩 서버를 원하신다면 정답은 이호스트에 있습니다.

해외 서버호스팅은 역시 이호스트에 정답이 있습니다.

(일본, 홍콩,러시아,네덜란드,싱가포르,미국 - LA)

궁금하신 사항이나 문의 하실 내용 있으시면 언제든 아래 연락처로 문의 주시면 됩니다.

언제나 상담은 환영입니다~^^

감사합니다.

서비스 문의.

전화 : 070-7600-5521

메일 : jsyoon@ehostidc.co.kr

스카이프 : EhostIDC Hosting Manager

* 일본 서버호스팅

Intel® Xeon® Quad Core L5520 x 2CPU

24GB DDR RAM

1TB SATA3 HDD raid 1 구성.

Intel® Xeon® Quad Core E3 1230 v2

8GB DDR RAM

1TB SATA3 HDD raid 1 구성.

* 홍콩 서버호스팅