최근 해킹 분석 - 2007.10.

윈도우 보안 2007/10/23 15:25

 얼마 전에 NTFAQ에서 다양한 해킹으로 시스템이 위험에 빠지고 있다고 말씀드렸습니다. 특히 기존의 단순히 약간의 속임수를 보여주는 백도어를 심는 것을 넘어, 루트킷을 이용한 수법이 있다고 언급했습니다.
 이런 수법은 불행하게도 일반 백신으로 잡히지도 않으며, 한번 걸리면 재설치 후라 할지라도, 잠시 후에 다시 감염되는 상황이 발생합니다.

 하지만, 이번에 발견된 샘플은 웹해킹이 아닌, SMB의 취약점을 통한 방법으로 기존의 IDC에 서버 호스팅을 받는 상황이라면 모두 위험한 상태입니다. 즉, IDC안에 한 대의 취약점이 있다면, 그 취약한 서버를 통해 방화벽 내부에 있는 모든 서버가 위험해지는 상황입니다.

다음의 예를 참고해 보시기 바랍니다. 현재의 시스템에서 작업관리자를 통해 보았을 때는 특별히 이상한 모습은 발견되지 않습니다.

사용자 삽입 이미지

[그림1] 정상적으로 보이는 시스템


그러나, 백도어 탐지를 위해 IceSword를 거치고 나면...

사용자 삽입 이미지

[그림2] IceSword를 거치고 난 후에 생긴 taskdaemon.exe라는 정체불명의 프로세스


taskdaemon.exe라는 프로세스가 추가되어 있음을 볼 수 있습니다. 단순히 백신과 같은 툴을 거치고 나면 보이는 정보는 아니며, 루트킷을 제거를 한 후에 볼 수 있는 프로세스 입니다.

세부적인 해킹 정보 보기 (클릭)


 이 시스템의 경우 꽤 깊은 해킹을 당하긴 했지만, 현재 관련 프로세스 및 모든 해킹 수단의 제거를 하였기 때문에 이제는 안전한 시스템이 되었습니다. 참고로, 이 시스템에서 거의 모든 백신을 돌려봤지만, 처리는 불가능하였으며(백신의 실행불가 및 수동 검색시 발견 불가), 대부분의 루트킷 탐지 프로그램 역시 실행이 불가능이었습니다.


 이런 해킹 공격의 해결책은 모든 서버의 1. 해킹에 대한 공격을 막기위한 방법 강구(웹방화벽 및 IPS의 도입) 및 각 2. 서버들 간의 통신도 제어 할 수 있는 방법 강구(윈도우 방화벽 활성화)을 취해야만 합니다.

 아마, 대부분의 현업에 계신 분들이라면 이런 내용을 직접 찾아내는 것이 어려울 것이기도 하지만, 그보다 더 큰 문제는 현재 자신의 시스템이 해킹되어 사용되고 있다는 사실조차 모르고 있다는 사실이 더 큰 문제입니다. 더구나 현재 이런 좀비 머신을 만드는 해킹은 서버뿐만이 아니라 개인 PC에서도 동일하게 발생되고 있습니다.


'윈도우 보안' 카테고리의 다른 글

WPAD 취약점으로 정보 누출 위험  (0) 2007/12/04
보이지 않는 스팸처리비용과 하론 UTM 효과  (0) 2007/10/31
최근 해킹 분석 - 2007.10.  (0) 2007/10/23
메신저 통한 웜 감염 급증  (0) 2007/08/27
2007년 8월 Microsoft 보안 공지 요약  (0) 2007/08/17
avast! 맥 에디션 출시 예정 - Mac OS X, PowerPC  (2) 2007/08/10
Posted by NTFAQ
TAG , , , , , ,
트랙백 0, 댓글 0개가 달렸습니다

트랙백 주소 :: http://ntfaq.co.kr/trackback/4084 관련글 쓰기

댓글을 달아 주세요