============================================================================
문 서 번 호 : CERTCC-KR-TR-97-005
문 서 제 목 : 침입 탐지 방법 및 절차
버전/작성일 : Version 1/ 1997. 6. 7. Sat.
원 문 : CERT/CC, Intruder Detection Checklist
August 1996, Version 1.1
ftp://info.cert.org/pub/tech_tips/intruder_detection_checklist
============================================================================
* 이 문서는 당신의 시스템이 침입당했는지에 대한 검사 절차를 기술한다.
—————————————————————————-
======================== 내 용 ===========================
—————————————————————————-
A. 시스템이 침입당했는지 흔적을 살펴본다.
—————————————————————————-
A. 시스템이 침입당했는지 흔적을 살펴본다.
—————————————————————————-
* 일반적으로 소속기관의 정책과 순서에 따라 조사한다.
1. 특별한 장소 또는 행위로부터의 접속에 대한 로그파일을 조사한다.
– last, syslog, 프로세스 로그와 그밖에 다른 로그들을 조사한다.
– 방화벽 또는 라우터에 의한 로그 기록이 있을 경우 조사한다.
2. setuid, setgid 파일을 조사한다.
– 침입자는 종종 추후에 루트권한으로 접속하기 위해 /bin/sh 또는
/bin/time과 같은 백도어 파일을 남겨둔다.
– 다음의 방법으로 setuid, setgid 파일을 찾는다.
# find / -user root -perm -4000 -print
# find / -group kmem -perm -2000 -print
NFS/AFS 마운트 시스템에서는 다음과 같은 명령어를 이용한다.
#find / -user root -perm -4000 -print -xdev
– setuid 파일을 찾는 다른 방법으로 각각의 파티션에 대해 적용하는
ncheck 가 있다.
# ncheck -s /dev/rsd0g
3. 시스템의 바이너리 파일의 변경 여부를 조사한다.
– 침입자는 /etc/inetd.conf 가 참조하는 다음과 같은 파일들을 변경한
다.
login, su, telnet, netstat, ifconfig, ls,
find, du, df, libc, sync 등
– 백업된 초기 파일과 현재의 파일을 비교하기 위한 유닉스의 sum 명령
어는 트로이목마프로그램에 의해 믿지못하는 결과를 나타낼 수 있으므
로 다음 프로그램을 사용한다.
cmp, MD5, Tripwire, 기타 다른 암호화 검사 유틸리티들
4. 인가받지 않은 네트워크 모니터링 프로그램의 사용을 조사한다.
– 침입자는 사용자의 계정과 패스워드 정보를 얻기 위해 sniffer 또는
packet sniffer를 사용한다. 스니퍼에 대한 정보는 다음을 참고함
ftp://info.cert.org/pub/cert_advisories/
CA-94:01.network.monitoring.attacks
5. cron과 at.으로 수행되는 모든 파일을 검사한다.
– 침입자는 보통 cron과 at 명령으로 수행되는 파일들에 백도어 프로그램
을 남겨둔다. 그러므로 이러한 프로그램으로 수행되는 파일들을 쓰기
금지로 설정한다.
6. 인가받지 않은 서비스를 조사한다.
– /etc/inetd.conf를 조사하여 인가받지 않은 추가되거나 변경된 서비스
를 조사한다. 특히 쉘을 수행할 수 있는 /bin/sh나 /bin/csh를 조사한
다.
7. /etc/passwd 파일을 조사하여 변경된 부분이 있는지 확인한다.
– 추가된 계정, 패스워드의 생략, uid(0로의)의 변경여부를 확인한다.
8. 시스템과 네트워크 설정 파일의 인가받지 않은 항목을 조사한다.
– /etc/hosts.equiv, /etc/hosts.lpd과 모든 .rhosts 파일에 ‘+’ 항목이
있는지 조사해서 제거한다.
9. 시스템에 숨겨지거나 ‘.’ 으로 시작하는 특이한 파일이 있는지 조사한다.
– ls 명령어로 보이지 않는 파일을 조사한다.
# find / -name “.. ” -print -xdev
# find / -name “.*” -print -xdev | cat -v
일반적으로 ‘.xx’ 파일이나 ‘.mail’ 파일이 침입자에 의해 이용된다.
10. 지역 네트워크의 모든 시스템을 조사한다.
— 한국정보보호센터 CERTCC-KR 침해사고 지원 안내 —————————
전 화 : 02-3488-4119 삐 삐 : 015-993-4571
핸드폰 : 011-732-7821 팩 스 : 3488-4129
Email : cert@certcc.or.kr
침해사고 접수 방법은 http://www.certcc.or.kr/service.html을 참고 바람
============================================================================
============================================================================
문 서 번 호 : CERTCC-KR 기술문서 : TR-97-006
문 서 제 목 : 유닉스 보안 도구
버전/작성일 : Version 1/ 1997. 6. 7. Sat.
원 문 : CERT/CC, Lists of Security Tools
August 1996, Version 1.1
ftp://info.cert.org/pub/tech_tips/security_tools
============================================================================
* 불법 사용자의 시스템 침입을 방어하고 시스템을 보완하는데 도움이 되는 보안
도구들로 모든 보안 도구를 사용할 때는 보안도구의 적용이 조직의 보안 정책
및 절차에 일치하는가를 확인하기 바람.
—————————————————————————-
======================== 내 용 ===========================
—————————————————————————-
A. 네트워크 감시 도구
1. Argus
2. swatch
B. 인증/패스워드 보안 도구
1. Crack
2. shadow passwords
C. 서비스 필터링 도구
1. TCP/IP wrapper
D. 취약성 스캐닝 도구
1. ISS(Internet Security Scanner)
2. SATAN(Security Administrator Tools for Analyzing Networks)
E. 시스템 보안 도구
1. COPS(Computer Oracle and Password System)
F. 무결성 검사 도구
1. MD5
2. Tripwire
G. 기타 도구들
1. losf
2. ifstatus
3. smrsh(SendMail Restricted SHell)
4. mail.local
—————————————————————————-
A. 네트워크 감시 도구
—————————————————————————-
1. Argus
Argus는 네트워크상의 패킷들을 모니터링하는 툴로 클라이언트/서버 모델
로 작동한다. 수집된 정보는 여러 프로토콜 분석, 침입탐지 및 여러 필요
사항에 적용하기 쉬운 형태이다.
ftp://ftp.net.cmu.edu/pub/argus-1.5/
2. swatch
Swatch(Simple WATCHer program)는 로그파일을 필터링하고 모니터링하는
툴로. 특정 로그를 잡아내고 사용자가 정의한 일을 수행시킨다.
ftp://ftp.stanford.edu/general/security-tools/swatch/
—————————————————————————-
B. 인증/패스워드 보안 도구
—————————————————————————-
1. Crack
Unix DES 암호화 알고리즘을 이용하여 패스워드를 추측해내는 프로그램이
다. 주기적으로 이 도구를 이용하여 취약한 패스워드를 발견해 안전한 패
스워드를 사용하도록 한다.
ftp://info.cert.org/pub/tools/crack/
2. shadow passwords
/etc/passwd 파일에서 암호화된 패스워드를 제거하고 shadow 파일에 저장
하여 일반 사용자가 암호화된 패스워드를 보지못하게 한다. 시스템이
shadow기능을 제공한다면 꼭 사용하도록 한다.
—————————————————————————-
C. 서비스 필터링 도구
—————————————————————————-
1. TCP/IP wrapper
추가적인 네트워크 로그 기능과 특정 시스템 및 도메인별로 접속을 허가
하거나 거부하는 기능을 제공한다.
ftp://info.cert.org/pub/tools/tcp_wrappers/
—————————————————————————-
D. 취약성 스캐닝 도구
—————————————————————————-
1. ISS(Internet Security Scanner)
주어진 IP 주소 범위내의 모든 호스트을 스캔하여 알려진 여러 보안 취약
성을 찾아내는 도구.
ftp://info.cert.org/pub/tools/iss/
2. SATAN(Security Administrator Tools for Analyzing Networks)
네트워크로 연결된 호스트에 대한 여러 종류의 정보를 수집하여 알려진
취약성을 점검하는 도구.
ftp://ftp.win.tue.nl/pub/security/satan-1.1.1.tar.Z
SATAN과 관련된 자료
ftp://info.cert.org/pub/cert_advisories/CA-95:07a.REVISED.satan.vul
—————————————————————————-
E. 시스템 보안 도구
—————————————————————————-
1. COPS(Computer Oracle and Password System)
UNIX 시스템에서의 보안 문제점을 밝혀내는 도구로 취약성을 고치지는 않
고 취약성을 점검하여 보고한다.
ftp://info.cert.org/pub/tools/cops/
—————————————————————————-
F. 무결성 검사 도구
—————————————————————————-
1. MD5
암호를 이용한 체크섬 프로그램으로 임의의 길이의 메시지를 입력받아 지
문과 같은 128 비트의 메시지 다이제스트(message digest)를 만들어낸다.
서로 다른 메시지는 서로 다른 메시지 다이제스트(message digest)를 만
들어 내어 파일의 변조유무를 알아낼 수 있다.
ftp://info.cert.org/pub/tools/md5/
2. Tripwire
파일 및 디렉토리의 무결성을 검사하는 도구로 주어진 파일 및 디렉토리
에 대한 변조유무 및 삭제, 추가 사항을 알아낸다. 주기적으로 사용하여
중요한 파일의 변조유무를 알아내도록 한다.
ftp://info.cert.org/pub/tools/tripwire/
—————————————————————————-
G. 기타 도구들
—————————————————————————-
1. losf
모든 열려진 파일과 그 파일들을 연 프로세스들을 나열한다. 침입 프로그
램을 탐지하는데 중요한 역할을 한다.
ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/
2. ifstatus
UNIX 시스템에서 debug 또는 promiscuous 모드를 가진 네트워크 인터페이
스를 찾아낸다. 네트워크 인터페이스의 debug 또는 promiscuous 모드는
침입자가 패스워드 및 다른 정보를 얻기위해 네트워크를 감시하고 있다는
단서가 될 수 있다.
ftp://info.cert.org/pub/tools/ifstatus/ifstatus.tar.Z
ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/ifstatus.tar.Z
3. smrsh(SendMail Restricted SHell)
일반 사용자가 sendmail의 취약성(예, pipes 취약성)을 이용하여 임의의
프로그램을 실행시키지 못하게하는 도구로 모든 sendmail에 설치할 것을
권장한다.
ftp://info.cert.org/pub/tools/smrsh/
ftp://ftp.uu.net/pub/security/smrsh/
sendmail 관련 정보
ftp://info.cert.org/pub/cert_advisories/CA-93:16.sendmail.
vulnerability
ftp://info.cert.org/pub/cert_advisories/CA-95:11.sun.
sendmail-oR.vul
4. mail.local
BSD 4.3 UNIX 시스템 /bin/mail 프로그램의 취약성을 보완한 프로그램으
로 패치를 설치할 수 없을 경우 이 프로그램을 쓰도록 한다.
ftp://info.cert.org/pub/tools/mail.local/
mail.local 관련 정보
ftp://info.cert.org/pub/cert_advisories/CA-95:02.binmail.
vulnerabilities
—————————————————————————-
H. 기타
—————————————————————————-
* 기타 다른 보안도구에 관한 정보는 AUSCERT에서 제공하는 “UNIX
Computer Security Checklist”의 Appendix B를 참고하기 바람.
ftp://info.cert.org/pub/tech_tips/AUSCERT_checklist1.1
— 한국정보보호센터 CERTCC-KR 침해사고 지원 안내 —————————
전 화 : 02-3488-4119 삐 삐 : 015-993-4571
핸드폰 : 011-732-7821 팩 스 : 3488-4129
Email : cert@certcc.or.kr
침해사고 접수 방법은 http://www.certcc.or.kr/service.html을 참고 바람
============================================================================