시스템 보안위협 백도어

시스템 보안위협 백도어

백도어(Back Door)

개요

시스템의 보안이 제거된 비밀 통로로, 서비스 기술자나 유지보수 프로그래머의 접근 편의를 위해 시스템 설계자가 고의로 만들어 놓은 통로

이런 통로를 만드는 이유는 현장에서 서비스 기술자나 공급사 유지보수 프로그래머의 업무 편의성을 향상하기 위함임

악의적인 목적으로 만들어 놓은 통로도 있는데, 백 오리피스(Back orifice)가 대표적임. 이 프로그램은 해킹 프로그램의 일종으로 PC에 내장되어 사용자의 정보를 저장, 유출하기 위한 프로그램임

리눅스/유닉스 백도어

root 권한으로 운영되는 http 데몬은 보안 취약점이 많아, 보안 관리가 취약한 환경에서 시작 프로그램으로 자동 실행될 때 발생

인터넷을 사용하는 동안에는 차이를 못 느끼지만, http 데몬이 root 계정으로 운영되는 서버에 웹으로 접속하면 root 권한을 사용하며, nobody 계정으로 웹에 접속하면 nobody 권한을 사용하여 시스템에 자료를 요청함

탐지와 대응책

현재 동작 중인 프로세스 확인

현재 프로세스를 확인하여 정상 프로세스와 백도어 프로세스를 구별하는 것이 중요함. 윈도우와 유닉스 시스템 등의 정상 프로세스를 외워두는 것이 좋음

특히 윈도우 프로세스는 이름을 어느 정도 인지하고 있으면 웜, 바이러스, 백도어에 대응하는 데 큰 도움이 됨

웜, 바이러스, 백도어가 가장 애용하는 것은 Csrss.exe와 Svchost.exe

• Csrss.exe(Xlient/Server Runtime SubSystem: Win32) : 윈도우 콘솔을 관장하고, 스레드를 생성/삭제하며, 32비트 가상 MS-DOS 모드를 지원하는 프로세스
• Explorer.exe : 작업 표시줄, 바탕 화면 등 사용자 셸을 지원하는 프로세스
• Lsass.exe(Local Security Authentication Server) : Winlogon 서비스에 필요한 인증 프로세스를 담당하며, 인증 성공 시 초기 셸을 실행함. 또한, 사용자별 엑세스 토큰을 생성하여 다른 프로세스들이 해당 토큰을 상속받게 됨
• Matask.exe(Window Task Scheduler) : 시스템 백업이나 업데이트 작업을 스케줄하는 프로세스
• Smss.exe(Session Manager SubSystem) : 사용자 세션 시작 기능을 담당하는 프로세스. Winlogon, Win32(Csrss.exe)을 구동하고, 시스템 변수를 설정함. 또한 Smss는 Winlogon이나 Csrss가 끝나기를 기다려 정상적인 Winlogon, Csrss 종료 시 시스템을 종료함
• Spoolsv.exe(Service Host Process) : 프린터와 팩스의 스풀링 기능을 담당하는 프로세스
• Svchost.exe(Service Host Process) : DLL(Dynamic Link Libraries)에 의해 실행되는 프로세스의 기본 프로세스. 따라서 한 시스템에서 svchost 프로세스를 여러 개 볼 수 있음
• Services.exe(Service Control Manager) : 시스템 서비스를 시작/정지하여 그들 간의 상호 작용하는 기능을 수행하는 프로세스
• Taskmgr.exe(Task Manager) : Window 작업 관리자 자신의 프로세스
• Winlogon.exe(Windows Logon Process) : 사용자 로그인/로그오프를 담당하는 프로세스. 윈도우의 시작/종료 시나, Ctrl + Alt + Del 키를 눌렀을 때 활성화되는 프로세스

H-IDS 사용

호스트 기반(host-based) IDS를 사용하는 것은 백도어를 탐지하기 위한 최선의 방법 중 하나. 백도어는 특정 포트에서 대기하고 있기 때문에, 호스트 기반 IDS는 의심스러운 포트 활동을 탐지할 수 있음

관리자는 의심스러운 실행 파일에 대한 변경을 확인하기 위해 checksum을 수행할 수 있음

이러한 활동들을 일반적으로 수작업이 아닌 안티바이러스나 IDS 소프트웨어를 통해 자동으로 수행됨