백도어 탐지 방법

백도어를 직접 탐지해보는 시간을 가져보자.

현재 우분투 서버에 백도어가 발견된 vsftpd의 구버전을 몰래 다운받게 하였따.

탐지 프로세스는 이 블로그에 나온 내용대로 하였다.

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=luuzun&logNo=50188359632 

시스템 해킹 5강 - 백 도어(Backdoor) 탐지

 

백도어를 찾아는 내는 사람 입장에서는 vsftpd에 백도어가 심어진 사실에 대해서는 모르기 때문에, 나도 이 사실을 

배제한체 찾아보도록 하겠다.

 

1. 현재 동작중인 프로세스 및 열린 포트 확인

ps -ef를 통해 실행되어지고 있는 프로세스를 확인하였다. 내가 모르는 프로세스가 무엇이 있는지 살펴보자.

 

ps -ef

맨 첫줄부터 보면 저 sshd는 내가 ssh 통신으로 해당 클라우드 가상머신에 접속한 상태이기 때문에 생긴 프로세스이고 내가 배쉬쉘을 실행하였고, sudo su를 통해 root권한을 가져왔기 때문에 발생한 명령어들이 약 7줄정도가 보인다.

[kworker/0:0-eve], [kworker/u2:2-ev], , [kworker/u2:0-ml], , [kworker/u0:1], , [kworker/u2:1-ev]가 무엇인지 모르겠다.(ftp localhost와 sudo /usr/local/sbin/vsftpd와 /usr/local/sbin/vsftpd는 내가 백도어 test 때문에 실행한 명령어기 때문에 배제하겠다.) 맨 마지막 root권한으로 실행된 프로세스인 ps-ef는 내가 실행한것이니 넘어가도록 하겠다.

수상한건 [kworker/0:0-eve], [kworker/u2:2-ev], , [kworker/u2:0-ml], , [kworker/u0:1], , [kworker/u2:1-ev]

 

2. 열려있는 포트 확인

netstat -an

 

netstat -an

지금 21번 22번 53번 49220번 58번 68번 22번이 열려있다.

(21번과 22번은 각각 ftp와 ssh통신에 의해 열린것은 알고 있다. 하지만 나머지는 무엇일까)

 

3. 무결성 검사

 

Tripwire툴을 이용하여 무결성 검사를 진행하겠다.

무결성 검사란 모든 파일의 변화된 파일을 감지하는 검사다.

설치 관련 명령어로는 

sudo apt update

sudo apt install tripwire

참고 : https://www.geeksforgeeks.org/linux-installing-tripwire-ids-intrusion-detection-system/amp/

하였고 파일을 못찾겠다는 에러와 데이터 베이스 초기화 관련 에러 및 tripwire --init, tripwire --check 관련 에러는 아래 url을 통해 해결하였다. 

https://alibaba-cloud.medium.com/how-to-install-and-configure-tripwire-ids-on-ubuntu-16-04-d7941c6b4db9

How to Install and Configure Tripwire IDS on Ubuntu 16.04

 

고로 tripwire --check를 진행할 경우 아래와 같은 화면이 나타나게 된다.

tripwire --check

변화된 파일이 존재하지 않기 때문에 invariant Directories (맨아래)는 0으로 존재하지 않음, 무결성 괜차늠을 알수있다.

이제 칼리로 돌아와서

우분투에 있는 백도어를 통해 파일을 바꿔 변화를 줘보도록 하자.

 

칼리 (공격서버)

음 샹 백도어로의 연결이 갑자기 안되네.......?

 

다시 우분투로 돌아와서

tripwire --check

음 이건...내가 tripwire 오류 해결과정중 바꾼 사항들인데..?

 

 

알아내면 다시 오겠다.