Windows Nt/2000 시스템 해킹 분석절차.

서버 시스템의 해킹여부를 분석할수 있는 일반적인 분석절차입니다.

1. 네트워크 상태 및 프로세스 점검

* 네트워크 상태확인 : [시작]-[실행]-[cmd]-[netstat -na]로 네트워크상태를 확인합니다.
Local 시스템에서 열린 Port확인 후 비정상적인 Port나 일반적인 접속이 아닌 접속자의
IP 및 service port을 확인합니다.
( service port 정보- " /winnt/system32/drivers/etc/services " 메모장으로 열고확인)

* 불법적인 접속자을 확인 :[시작]-[프로그램]-[관리도구]-[컴퓨터관리]-[공유폴더]-[세션]
세션에 다른 접속자가 있으면 끊어버려야 합니다.
불법적인 사용자가 접근하는 파일 확인:[시작]-[프로그램]-[관리도구]-[컴퓨터관리]-[공유폴더]-[세션]

2. 실행중인 서비스 및 프로세스 확인

* [시작]-[프로그램]-[관리도구]-[서비스] Windows 시스템은 기본적으로 많은 서비스가 열려있으므로
서버 구축시에 불필요한 서비스는 미리 제거합니다.
(Windows 서비스정보)
http://www.microsoft.com/korea/technetprodtechnol/windows2000serv/deploy/prodspecs/win2ksvc.asp

* [Cult+Alt+Del]-[작업관리자]-[프로세스] 의심가는 프로세스의 CPU 사용량과 메모리 사용량 확인.
악성프로그램도 일반 프로세스명과 비슷하게 변경되어 실행되므로 주의하여 확인합니다.
[작업관리자]-[보기]-[열선택]-[사용자 이름]을 확인하면 누가 프로세스를 실행했는지 알수 있습니다.

3. 시스템 설정 및 악성 프로그램 탐지

* 계정 및 그룹 점검:[시작]-[프로그램]-[관리도구]-[컴퓨터관리]-[로컬사용자및그룹]-[사용자],[그룹]
현재 생성되어 있는 계정 및 그룹을 확인하여 불법적인 계정이나 일반사용자의 Administrators 그룹권한 여부 및
불법 그룹의 생성여부를 점검합니다. guest가 사용안함으로 되어있는지 확인합니다.

* 명령 프롬프트 창에서도 확인하실수 있습니다.
net user - 사용자 계정확인
net localgroup - 로컬그룹 계정확인
net group - 도메인 컨트롤러인 경우는 그룹계정 확인

* 실행중인 스케줄러 점검 :[시작]-[설정]-[제어판]-[예약된작업]
악성프로그램이 일정시간에 시작되로록 등록할 수 있으므로 예약된 작업을 확인합니다.

* 변경된 시스템 바이너리 파일점검 :[탐색기]-[검색]-[날짜]-[수정된파일]-기간설정
일반적인 파일은 설치된 후 거의 수정되지 않습니다. 트로이잔 버전의 파일로 변경되는 경우가 많은데
최근에 이상증상이 나타난 전후로 수정된 파일을 찾아 예전의 시스템의 원본 파일의 크기를 비교합니다.
특히 패스워드 크래킹 프로그램은 숨김 속성이 있으므로 [제어판]-[폴더옵션]-[보기]-[숨김파일 및 폴더표시]
선택한 후 점검하는 것이 좋습니다.

4. 로그 분석

* 이벤트로그 분석:[시작]-[프로그램]-[관리도구]-[이벤트뷰어]
Windows 시스템은 최소 설치시에는 시스템 로그온이나 불법적인 접근에 관한 로그를 남기지 않기 때문데
시스템 관리자가 [시작]-[프로그램]-[관리도구]-[로컬보안정책]-[보안설정]-[로컬정책]-[감사정책]
을 직접 설정 해주어야 보안로그가 남습니다.보안로그는 로컬보안설정에서 감사정책을 설정한 로그가
남기 때문에 정기적인 점검이 필요합니다.파일생성,접근,삭제 등의 리소스 사용 및 로그온 시도와 같은
접근제어 기록이 보안로그에 기록되므로 확인해보아야 합니다.

5. IIS 로그분석

* Windows 해킹은 IIS를 통한 해킹이 주를 이루고 있으며 취약점이 계속 발견되고 있습니다.
IIS로그는 단순히 단순히 특정작업이 성공했는지 실패했는지를 알려주는 것만이 아니라, 문제를
해결하는데 필요한 정보도 알려주며 IIS관련 취약점으로 해킹이 들어 왔을 때에도 로그가 남게 됩니다.
IIS로그는 Dafault로 %systemroot%\system32\logfile 디렉토리 아래에 저장되어 있습니다.
[웹사이트등록정보]-[웹사이트텝]-[등록정보]-[확장속성]:
로그에 기록되는 정보는 클라이언트 IP주소,사용자이름,날짜,시간,사용한서비스,서버의 이름,
서버의IP주소, 처리시간, 받은바이트수, 보낸바이트수, 서비스상태코드, Win32 에러코드, 작업의이름
작업의 대상 또는 목표, 넘겨진 인자 등입니다.

한 시스템이 해킹을 당했다면 일반적으로 같은 방법으로 다른 시스템도 해킹을 당했을 경우가 많으므로
해킹방법을 분석하여 로컬 네트워크내의 모든 시스템을 점검하여야 하며 모든 시스템의 패스워드를
변경하여야 합니다. Windows보안을 위해서는 최소 8자리이상의 특수문자가 포함된 패스워드 및 patch가
우선이 되어야 할것입니다.
2005/06/15 12:41 2005/06/15 12:41

트랙백 주소 :: http://thinkit.or.kr/windows/trackback/83