백도어에 대한 모든 것!

[CONTENT]

1. 백도어란?
2. 백도어의 생성조건
3. 백도어 기능
4. 백도어 종류
5. 백도어를 방지하기 위한 방안

 

1. 백도어란?

  : 프로그램, 장치, 포털 또는 서비스의 보안 기능을 피하는데 사용할 수 있는 기능 또는 프로그램

  : 일반적으로 코드 결함을 이용하며, 그 결함은 버그, 취약점 또는 문서화되지 않은 기능일 수 있다.

  : 공격자가 백도어를 사용하여 권한 없는 액세스 권한을 획득하거나 엑세스 제한, 인증 또는 암호화 같은 보안 기능을 피할 수 있도록 하는 유해한 작업을 수행할 수 있습니다.

 

 

2. 백도어의 생성조건

 1) 시스템 관리자가 예방해도 재접근

 2) 로깅 시스템을 피해 발견되지 않음

 3) 최단 시간에 시스템에 침입

 

 

3. 백도어  기능

 1) 파일 숨기기

 2) 프로세스 숨기기

 3) 네트워크 커넥션 숨기기

 4) 원격 명령 실행 가능

 5) 관리자 권한 획득

 

 

4. 백도어 종류

 1) 로컬 백도어 : 서버의 셀을 얻어내 관리자로 권한 상승

 2) 원격 백도어 : 계정에 패스워드 입력하고 로그인한 것처럼 원격으로 관리자 권한 획득

 3) 패스워드 크래킹 백도어 : 인증에 필요한 패스워드를 원격지 공격자에게 전송

 4) 시스템 설정 변경 백도어 : 시스템 설정을 해커가 원하는 대로 변경

 5) 트로이 목마 형태의 프로그램 : 해커가 배포되는 프로그램에 배포 사이트 크랙

 6) 거짓 업그레이드 : 시스템을 패치하거나 업그레이드할 때 잘못된 프로그램 실시

 7) login 백도어 : 매직 패스워드와 같이 특정 패스워드 입력 시 인증 과정 없이 로그인을 허용

 8) telnetd 백도어:특정 터미널에서 시스템에 접속하는 경우 인증 과정 없이 셸을 부여

 9) Service 백도어 : finger,rsh,rexec,rlogin,ftp,inetd 등과 같은 대부분의 유닉 스 서비스들에 존재하는 백도어 버전

 10) Cronjob 백도어 : 특정 시간에 예약된 백도어 프로그램을 수행

 11) 라이브 러리 백도어 : 시스템에 설치된 라이브러리를 수정하여 백도어 코드를 삽입

 12) 커널 백도어 : 백도어와 침입을 인지하기 매우 힘들고 MD5등과 같은 무결 성 검사로드 진단이 불가

 13) 파일 시스템 백도어 : ls,du,fsck 등과 같은 명령어를 수정하여 특정 디렉터리나 파일을 숨기는 백도어

 14) 프로세스 은닉 백도어 : 패스워드 크래커나 스니퍼등과 같은 프로세스들을 숨김

 15) 네트워크 트래픽 백도어 : 네트워크 트래픽을 숨겨 사용하지 않는 포트로 침입

 16) TCP 셀(shell) 백도어 : 1024번 이상의 TCP 포트에 셸 제공 서비스를 설치하는 것을 허용

 17) UDP 셀 백도어 : 칩입차단 시스템을 우회

 18) Rhosts ++ 백도어 : 어떤 유저의 rhosts 파일에 "++"를넣어 어떤 호스트의 어떤 사용자라도 해당 사용자로 패스워드 없이 들어올 수 있도록 함

 19) Checksum과 Timestamp백도어 : 트로이목마 프로그램의 타임 스탬프를 원래 파일의 타임 스탬프 값으로 생성시킬 수 있고, CRC 체크섬 값도 원래의 체크섬 값으로 가장

 20) Bootblock 백도어

 21) 루트킷

 22) ICMP 쉘 백도어

 23) Windows NT

 

 

5. 백도어를 방지하기 위한 방안

 1) 시스템 및 네트워크에 대한 보안 취약점을 주기적으로 판단

 2) 시스템 개발사로부터 주기적으로 패치 버전을 다운로드 받아 설치

 3) 주요 백도어 대상 프로그램에 대한 백업 및 해시 코드 값을 유지

 4) 프로그램 설치전에 MD5 등을 통해 무결성을 진단

 5) 관리자가 새로운 백도어 공격과 이에 대한 예방책에 대한 동향을 주기적으로 파악하여 시스템에 대한 관리를 철저히 하는것이 필요

 

 

◈ 백도어 방지 상세 방안

 

 - 일반사용자-

  - 불법 사이트 방문 자제(P2P, 와레즈, 불법 자료, 외설, 음란 등)
  - 바이러스 백신 프로그램 사용(지속적인 업데이트 필요)
  - 개인 방화벽(HOST Based IPS) 사용
  - 정품 S/W 사용
  - 비정상적이거나 임의로 전달된 실행 파일이나 첨부 파일 실행 금지

  - 네트워크 침입 탐지 시스템 사용
  - 네트워크 침입 방지 시스템 사용
  - 침입 차단 시스템 사용
  - 무결성 점검 시스템 사용
  - 취약점 점검 도구 사용