출처: 윈도우 해킹피해 시스템 분석 - 초기분석(http://blog.pages.kr/179)

출처 : http://www.dduri.net/blog/
참조 : 사례로 배우는 해킹사고 분석&대응(영진닷컴)

백업

먼저 젤로 중요한 백업이죠. 해킹당했으면 그걸 bit단위로 제대로 백업해서 다른데 풀어서 하는게 좋죠..

백업하는데 필요한 도구들은 우리가 많이 쓰는 netcat(가볍지만 정말 유용한 프로그램입니다.)과 dd(리눅스에선 내장되어 있던데)입니다.

netcat -> http://www.atstake.com/ 다운로드 http://www.searchlore.org/aznetcat.htm(예제)

dd -> http://unxutils.sourceforge.net/ 다운로드 dd뿐만이 아니라 리눅스에서 유용하게 쓰였는데 윈도우에 없는 명령어들이 많이 담겨 있습니다. 위 사이트 참조

위 두개의 명령어로 사용한 예제

분석 시스템(192.168.1.1)
2002/tcp 포트로 들어오는 데이터를 backup.img로 저장한다.

cmd>nc -l -p 2002 > backup.img

피해 시스템(192.168.1.2)
cmd>dd if=.C: | nc 192.168.1.1 2002

이렇게 하면 dd로 이미지 뜬게 | 다음의 입력이 되서 분석 시스템이 저장이 됩니다.

시스템기본정보

psinfo -> http://www.sysinternal.com/ 다운로드 프로세서 정보를 보는 많은 파일들이 있습니다. 그리고 저 사이트에 그외 유용한 툴들도 많이 있으니 한번씩 보시기 바랍니다.

예제)
cmd>psinfo -h -s -d //-h는 핫픽스, -s는 설치소프트웨어, -d디스크 볼륨정보 옵션
cmd>psloggedon //현재사용자 로그인정보
cmd>pslist //프로세서 정보

네트웍정보

cmd> ipconfig /all //윈도우 명령어(아이피 보기)
cmd>net sess //윈도우 명령어(현재 접속한 세션보기)
cmd>nbtstat -c //윈도우 명령어(NetBIOS 테이블정보보기)
cmd>arp -a //윈도우 명령어(하드웨어주소 보기)
cmd>route print //윈도우 명령어(라우팅 테이블보기)
cmd>net share //윈도우 명령어(공유자원보기)
cmd>netstat -an //윈도우 명령어(현재 연결정보)

포트별서비스정보

fport -> 다운로드 포트별로 연결된 프로그램을 볼수 있습니다.

스니퍼실행여부확인

보통 NIC에 promiscuous 모드로 동작하는걸 보는데 윈도우에선 툴이 필요합니다. 리눅스같은 경우 그냥 ifconfig해서 PROMISC 뜨는거 보기만 하면되느뎅 ^^

promiscdete -> http://ntsecurity.nu/toolbox/promiscdetect/ 다운로드

예제)
cmd>promiscdetct //그냥 한번만 돌려보고 나온문구 보시면 됩니다.

사용자/그룹정보

cmd>net user //윈도우 명령어(사용자정보보기)
cmd>net localgroup 그룹명 //윈도우 명령어(그룹정보보기)

로컬서비스정보

cmd>net start //윈도우 명령어(현재 시작중인 서비스보기)

DLL 정보

listdlls -> http://www.sysinternals.com/ 다운로드

예제)
cmd>listdlls //관련된 DLL을 모두 뿌려준다.
cmd>listdlls 프로세서번호 | more //pslist에서 프로세서를 찾아서 관련 프로세서와 연관된 dll을 모두 뿌려준다.

핸들 정보

핸들은 프로그램이 실행되면서 참조되는 시스템 자원 사용 정보입니다.

handle -> http://www.sysinternals.com/ 다운로드

예제)
cmd>handle //프로세서와 관련된 핸들정보를 모두 뿌려준다.

열려진 정보 스캐닝

포트스캔을 흔히 말하며 nmap(http://www.nmap.org)라는 프로그램을 많이 사용한다.


위의 내용들을 하나의 배치파일로 묶어서 스크립트로 만들면 효율적일 것이다. 여기다 더 netcat를 이용하여 받으면 금상첨화겠죠?.. 이내용은 전부 책에 나와있는 내용을 요약한겁니다.

이제 위 스크립트를 직접 만들지 않고 만들어진 도구를 아래에서 설명합니다.

자동화된 스크립트 도구

Biatchux(F.I.R.E.) -> http://biatchux.dmzs.com/(다운로드주소)
http://www.securitymap.net/sp/docs/Biatchux_0.4a.pdf(설치메뉴얼)

위 프로그램은 CD롬으로도 부팅 가능하게 되어있습니다.

IRCR(Incident Response Collection Report) -> http://packetstormsecurity.nl/Win/IRCR.zip

위 프로그램은 Biatchux 툴킷내에도 포함되어 있습니다.(쉽게 사용할수 있다네요..) 위의 두 프로그램은 사용해보지 않았습니다. ^^

위의 내용들은 초기분석 작업들입니다. 뒤에 상세분석 내용이 있는데 올릴수 있을려나 모르겠네요 ^^

참고로 여기 모든 툴은 제가 한번씩 받아서 돌려봤습니다.
환경은 Windows 2000 프로페셔널에서 돌렸습니다.

유닉스용 해킹피해 분석을 실제로 해볼려면 http://www.sis.or.kr로 가서 해보길 바랍니다. 모든 단계를 클리어하면 상품도 준답니당..

관리방어공간은 방어하는거고 침해관리공간은 피해시스템 분석해서 대처하는 겁니당... 지금 관리방어 끝나고 침해관리 하는중 ^^

+ Recent posts