원격 접속 및 공격 - 공격의 인지 및 이해 / Trojan, Exploit 등 식별, 대처

ㅇ ㅂㅇ

원격 접속 및 공격의 인지 및 이해

> 원격 공격
 - 원격 네트워크의 공격자가 피해 시스템에 접근하여 명령을 전달 할 수단을 획득하는 공격
 - Backdoor, Null Session Hacking 등의 기법으로 대상의 시스템을 제어 할 수 있는 권한 등을 획득

> Trojan, Exploit 등 식별, 대처
 - Trojan(트로이 목마)
  -- 악성 프로그램 또는 악성코드를 의미
 - Exploit
  -- 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상의 결함을 이용하여 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램 또는 특정한 데이터 조각을 말하며, 이러한 것들을 사용한 공격 행위를 이름
 - Backdoor
  -- 시스템에 접근 할 수 있는 뒷문
  -- 패스워드 없이 로그인 하기 위해 백도어를 설치하며, 이를 위해선 타겟의 시스템에 백도어 프로그램을 설치해야하며, 타겟의 시스템에 디폴트 공유가 해제되어 있다면 스케쥴 서비스를 실행하여 스케쥴에 등록한 뒤 공유 디렉토리를 설정함. 이후 백도어를 공유 디렉토리에 복사하고 스케쥴에 등록하여 공격자가 원격지에서 nc 또는 telnet을 이용하여 접속을 하면 command shell을 얻을 수 있음
  -- Back Oriffice 를 시작으로 제작되었고 현재 다양한 종류가 있음
 - Null Session
  -- 윈도우는 NetBIOS 프로토콜을 사용하기 때문에 몇가지 취약점을 가지고 있는데, 널 세션을 허용할 경우 이를 이용하여 윈도우에 승인받지 않은 자도 접근을 할 수 있음
  -- 널 세션은 사용자가 ID, PW를 입력하지 않고도 공유 대상인 IPC$(Inter Process Communicaction)에 연결하는 것으로 일반적 NetBIOS를 사용하는 시스템에서는 IPC$, C$, Admin$는 항상 공유 되어 있음
  -- 널 세션 접속은 윈도우에 인증받지 않은 접속으로 공격자에게 타겟 시스템의 사용자 계정, 그룹정보, 서비스 정보, 운영중인 프로세서 정보, 공유파일, 프린터에 대한 정보를 제공해 주게 됨
  -- 사용 Port : TCP/UDP 135~139 번