본문 바로가기
리눅스와 웹개발

시스템 보안 VIII

by kuksool 2024. 1. 14.
728x90
반응형

1.파일시스템 분석 방법

정책에 따른 분류
1.라이브 파일시스템 분석
2.복사본 분석
3.분석 전용 부팅 매체를 이용한 분석

 

분석기법에 따른 분류

1.알려진 공격 방법 분석
2.변조된 파일 분석
3.MAC time 분석
4.삭제된 파일 분석
5.LKM 분석

2. 알려진 공격방법 분석

일반적인 공격 절차
–시스템 침입 à 백도어/트로이목마 설치
 
백도어
–침입에 성공한 공격자가 이후에 다시 재 침입 할 수 있도록 설치하는 프로그램
 
트로이목마
–정상적인 기능을 하는것 처럼 보이지만, 사용자 몰래 패스워드 추출, 시스템 정보 추출 등 악의적인 기능을 하는 프로그램
 
루트킷
–트로이목마, 백도어, 공격프로그램을 하나의 패키지로 모아 놓은 것
 

3. 루트킷 분석

트로이목마, 백도어, 공격프로그램의 패키지
lrk3, lrk4, lrk5, t0rn kit …
 

주요 트로이 목마 프로그램

crontab
find
ifconfig
inetd
chsh
login
ls
netstat
passwd
ps
syslogd
tcpd
sshd

 

백도어/공격 프로그램

bindshell특정 포트에 루트쉘 바인딩
linsniffer, es스니퍼
sniffchk스니퍼 감시
wtedwtmp, utmp 파일 편집
z2 – utmp, wtmp, lastlog 삭제
 

루트킷 설정 파일

/dev/ptyrls 명령으로부터 숨기고 싶은 파일이나 디렉토리 지정
/dev/ptyqnetstat 명령으로 부터 숨기고 싶은 IP, UID, PORT
/dev/ptypps 명령으로부터 숨기고 싶은 프로세스
 
 
일반적인 루트킷 점검 방법
 
/dev/ 이하에 일반 파일 찾기

# find /dev –type f - print

 

숨겨진 디렉토리 찾기

# find / -name “..*” -print

# find / -name “.*” -print

 

1. How to analyze the file system
Classification by policy
1. Analysis of the live file system
2. Analysis of copies
3. Analysis using a boot medium exclusively for analysis



Classification according to the analysis method

1. Analysis of known attack methods
2. Analyzing Modulated Files
3. Analyzing MAC time
4. Analyzing deleted files
5.LKM Analysis



2. Analysis of known attack methods
General attack procedures
–Intrusion of the system ̀Installation of the back door/troy horse

a back door
–A program installed to allow successful attackers to re-invade later

Trojans' Riding
–Programs that appear to be functioning normally, but perform malicious functions such as password extraction and system information extraction without the user's knowledge

Rootkit
– a package of Trojan horses, back doors, and attack programs

3. Rootkit Analysis
Trojans, backdoor, attack program packages
lrk3, lrk4, lrk5, t0rn kit …

Major Trojan horse programs

crontab
find
ifconfig
inetd
chsh
login
ls
netstat
passwd
ps
syslogd
tcpd
sshd

반응형



a backdoor/attack program

bindshell – Rootshell Binding to a Specific Port
linsniffer, es – Sniper
sniffchk – Sniper Watch
wted – wtmp, editing utmp files
z2 – utmp, wtmp, lastlog 삭제

Rootkit configuration file

/dev/ptyr – Specify the file or directory you want to hide from the ls command
/dev/ptyq – IP, UID, PORT you want to hide from netstat command
/dev/ptyp – The process you want to hide from the ps command


Common Rootkit Check Method

/dev/ Find general files below
# # find /dev –type f - print



Find hidden directories
# # find / -name “..*” -print

# # find / -name “.*” -print

728x90
반응형

'리눅스와 웹개발' 카테고리의 다른 글

AJAX 소개  (224) 2024.01.15
PHP 소개  (6) 2024.01.15
시스템 보안 VII  (54) 2024.01.12
시스템 보안 VI  (50) 2024.01.11
시스템 보안 V  (50) 2024.01.09

loading