리눅스, 윈도우 백도어 탐지 및 대응기법
1. 현재 동작중인 프로세스 및 열린 포트 확인 [리눅스] - 프로세스 확인 : ps -ef - 열린 포트 확인 : netstat -an [윈도우] - 프로세스 확인 : tasklist - 열린 포트 확인 : netstat -an - 열린 포트별 프로세스 확인 : TCPview 프로그램 이용 2. SetUID 파일 검사 find / -user root -perm +4000 3. 바이러스 및 백도어 탐지 툴 이용 [백신 탐지 기법]- 1. 파일이름 (netbus.exe)- 2. 해쉬 (무결성 검사)- 3. 시그니처 (기계어 관련)- 4. opcode (어셈블리어 관련)- 5. 행동기반 (특정포트오픈 -> 파일다운 -> 실행 -> 레지스트리변경) 4. 무결성 검사 TRIPWIRE - 무결성 검사 자동화 프로..
리눅스 백도어 숨기기
리눅스 의 Setuid 때 배운 백도어를 좀 더 찾기 어렵게 즉 관리자의 눈에 띄지 않게 숨기는 방법입니다. 물론 기존 불필요한 Setuid 랑 바꿔치기 할 수도 있지만 저희는 연습이니깐 ㅎㅎ 그냥 새로 한번 만들어 보겠습니다. 우선 find / -user root -perm +4000 으로 root 권한을 가지는 setuid 목록들을 확인해봅시다 여기 있는 파일들과 섞여도 잘 모를 이름으로 그럴듯하게 만들 면 되겠죠? 파일명은 /usr/bin/chbsh 로 하겠습니다. 근데 관리자를 좀더 속이려면 백도어 파일을 실행시켰을때 일반 프로그램처럼 출력을 하되 특정키를 입력시키면 백도어가 실행되는 그런 파일이면 감쪽같겠죠?? 저는 겉으로는 /usr/bin/chsh 파일을 실행시켰을 때 내용을 출력시키는 그런 ..