IT 정보/정보보안
[정보보안학원/보안/해킹] samba를 이용한 rootkit
김윤석
2007. 12. 17. 16:01
[정보보안학원/보안/해킹] samba를 이용한 rootkit
이 취약성이 발표된 이후 초기에는 tcp/139번에 대한 스캔이 증가하다가 5월 중순 이후부터는 tcp/901번에 대한 스캔도 많이 증가하고 있습니다. 참고로 tcp/901번은 Samba Web Administration Tool (SWAT) 이 리슨하는 포트입니다.
http://isc.incidents.org/port_details.html?port=901
현재 공개된 exploit 이 기본적으로 공격하는 버전은 아래와 같습니다.
(레드햇의 경우)
samba-2.2.x - Redhat 9.0
samba-2.2.x - Redhat 8.0
samba-2.2.x - Redhat 7.x
samba-2.2.x - Redhat 6.x
일단은 바로 시스템을 재설치하지 말고 버전(RH 9.0)과 관련된 패치를 하신후
http://www.redhat.com/apps/support/errata/
이번 기회에 피해 시스템을 분석해보는 것이 좋을 것 같습니다. 아울러 rootkit 이나 백도어등은 chkrootkit 에서 다운로드받아 찾아 보시기 바랍니다.
http://www.chkrootkit.org/
그리고 usr/sbin/smbd stop 과 같이 samba 프로세스를 kill 한 것은 다른 곳에서 재공격을 할 수 없도록 stop 해 둔 것으로 추측되며 tcp/6112는 dtspc 서비스로서 역시 다른 시스템을 스캔하면서 많은 CPU 로드가 유발된 것 같습니다.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0803
http://isc.incidents.org/port_details.html?port=6112
감사합니다.
-------------------------------------------------------------------------------
안녕하세요!
질문에 대한 내용입니다.
공격 루트 :
확실한건 시스템을 분석해 봐야 알겠지만 일단 적어주신 내용으로만 봐서는 samba
버전이 최신버전이 아니고, 공격 스크립트에서 삼바서비스를 제거하는걸 보면 삼바의
취약성을 이용한 공격일 가능성이 크다고 봅니다.
삼바와 관련된 취약성은 다음 링크에서 "업체선택(samba) -> 제품선택(samba) ->
버전선택(all)" 을 차례로 선택하시면 취약성 리스트를 보실수 있습니다.
http://www.securitymap.net/svm/vuldb/product.php
dtsscan :
TCP 6112(dtspcd) 포트에 대한 스캔공격
주로 솔라리스 시스템을 타겟으로한 공격으로 오래전에 발견된 취약점인데도 최근까지
인터넷상에 많이 나타나고 있는 공격입니다. 자세한 내용은 아래 링크 참조바랍니다.
아마도 해킹당한후 다른 시스템 공격에 사용되다 보니 그쪽 네트워크 담당자에게
항의메일이 많이 갔을 겁니다.
dtspcd 취약성 정보 :
http://www.securitymap.net/svm/vms/detail.php?cveid=CVE-2001-0803
dtspcd 공격 분석 :
http://www.securitymap.net/sp/forensics/scan20_solaris_dtspcd_attack.pdf
추가 분석 :
보통 scan 프로그램이 있으면, 그 결과 값이 시스템 어딘가에 저장되어 있을 겁니다.
숨겨진 디렉토리를 잘 찾아보셔야 할듯 합니다. 시스템 분석에 관한 자세한 내용은
다음 문서 참고 바랍니다.
유닉스 피해시스템 분석 : http://www.securitymap.net/sp/docs/UNIX_analysis.doc
침입자 추적 :
추적 여부는 백도어를 찾아야 합니다. 백도어가 있다면, 공격자가 다시 시스템에
접근할 가능성이 있다는 겁니다. tcpdump 등을 이용해서 해당 백도어로 접근하는
패킷을 로깅하면서 기다리면 언젠가 공격자가 접속을 시도할 겁니다.(아마도 trojaned
ssh이 아닐까 합니다. 요즘 가장많이 사용하니깐요) 물론 네트워크 관리자가 블라킹을
해제해야 겠죠! 침입자의 추적또는 모니터링에 대해서는 많은 설명이 필요해서,
여기에 다 적기에는 힘듭니다.
아뭏든 만약 공격자 행동을 모니터링을 한다고 하면, 시스템 날릴 각오는 하는것이
좋습니다. 날려도 상관없다면, 해보는것도 좋은 경험이 될겁니다.
물론 어쩌면 공격자 IP가 로그파일에 남아있을수도 있습니다. 지우지 않았다면 ,,,
복구 및 사후 처리:
본인 스스로 생각하기에 모든 공격 흔적을 찾아서 복구했다 생각하시면, 그냥 쓰시고,
그게 아니다라는 생각이 드시면, OS 다시 새로 설치하고, 웹서버등 각종 서버의
홈피찾아서 최신버전으로 다시 설치하시고 쓰세요!
만약 공격자의 IP를 찾으셨다면, 다음 문서 참고하셔서 관련 로그와 함께 공격
사이트에 항의메일을 보내세요! 공격사이트도 해킹을 당했을 경우가 대부분 이므로
알려주는것이 좋겠죠!
http://www.certcc.or.kr/paper/cert.html
서버를 다시 설치하실 경우에는 다음문서 참고 바랍니다.
http://www.securitymap.net/sdm/docs/system-sec/linux_security.html
관련 정보들 :
다음 사이트의 "보안취약점맵", "피해시스템분석" 자료를 잘 활용하시기 바랍니다.
http://www.securitymap.net
출처 : http://www.it-bank.or.kr/boan/boan.htm
이 취약성이 발표된 이후 초기에는 tcp/139번에 대한 스캔이 증가하다가 5월 중순 이후부터는 tcp/901번에 대한 스캔도 많이 증가하고 있습니다. 참고로 tcp/901번은 Samba Web Administration Tool (SWAT) 이 리슨하는 포트입니다.
http://isc.incidents.org/port_details.html?port=901
현재 공개된 exploit 이 기본적으로 공격하는 버전은 아래와 같습니다.
(레드햇의 경우)
samba-2.2.x - Redhat 9.0
samba-2.2.x - Redhat 8.0
samba-2.2.x - Redhat 7.x
samba-2.2.x - Redhat 6.x
일단은 바로 시스템을 재설치하지 말고 버전(RH 9.0)과 관련된 패치를 하신후
http://www.redhat.com/apps/support/errata/
이번 기회에 피해 시스템을 분석해보는 것이 좋을 것 같습니다. 아울러 rootkit 이나 백도어등은 chkrootkit 에서 다운로드받아 찾아 보시기 바랍니다.
http://www.chkrootkit.org/
그리고 usr/sbin/smbd stop 과 같이 samba 프로세스를 kill 한 것은 다른 곳에서 재공격을 할 수 없도록 stop 해 둔 것으로 추측되며 tcp/6112는 dtspc 서비스로서 역시 다른 시스템을 스캔하면서 많은 CPU 로드가 유발된 것 같습니다.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0803
http://isc.incidents.org/port_details.html?port=6112
감사합니다.
-------------------------------------------------------------------------------
안녕하세요!
질문에 대한 내용입니다.
공격 루트 :
확실한건 시스템을 분석해 봐야 알겠지만 일단 적어주신 내용으로만 봐서는 samba
버전이 최신버전이 아니고, 공격 스크립트에서 삼바서비스를 제거하는걸 보면 삼바의
취약성을 이용한 공격일 가능성이 크다고 봅니다.
삼바와 관련된 취약성은 다음 링크에서 "업체선택(samba) -> 제품선택(samba) ->
버전선택(all)" 을 차례로 선택하시면 취약성 리스트를 보실수 있습니다.
http://www.securitymap.net/svm/vuldb/product.php
dtsscan :
TCP 6112(dtspcd) 포트에 대한 스캔공격
주로 솔라리스 시스템을 타겟으로한 공격으로 오래전에 발견된 취약점인데도 최근까지
인터넷상에 많이 나타나고 있는 공격입니다. 자세한 내용은 아래 링크 참조바랍니다.
아마도 해킹당한후 다른 시스템 공격에 사용되다 보니 그쪽 네트워크 담당자에게
항의메일이 많이 갔을 겁니다.
dtspcd 취약성 정보 :
http://www.securitymap.net/svm/vms/detail.php?cveid=CVE-2001-0803
dtspcd 공격 분석 :
http://www.securitymap.net/sp/forensics/scan20_solaris_dtspcd_attack.pdf
추가 분석 :
보통 scan 프로그램이 있으면, 그 결과 값이 시스템 어딘가에 저장되어 있을 겁니다.
숨겨진 디렉토리를 잘 찾아보셔야 할듯 합니다. 시스템 분석에 관한 자세한 내용은
다음 문서 참고 바랍니다.
유닉스 피해시스템 분석 : http://www.securitymap.net/sp/docs/UNIX_analysis.doc
침입자 추적 :
추적 여부는 백도어를 찾아야 합니다. 백도어가 있다면, 공격자가 다시 시스템에
접근할 가능성이 있다는 겁니다. tcpdump 등을 이용해서 해당 백도어로 접근하는
패킷을 로깅하면서 기다리면 언젠가 공격자가 접속을 시도할 겁니다.(아마도 trojaned
ssh이 아닐까 합니다. 요즘 가장많이 사용하니깐요) 물론 네트워크 관리자가 블라킹을
해제해야 겠죠! 침입자의 추적또는 모니터링에 대해서는 많은 설명이 필요해서,
여기에 다 적기에는 힘듭니다.
아뭏든 만약 공격자 행동을 모니터링을 한다고 하면, 시스템 날릴 각오는 하는것이
좋습니다. 날려도 상관없다면, 해보는것도 좋은 경험이 될겁니다.
물론 어쩌면 공격자 IP가 로그파일에 남아있을수도 있습니다. 지우지 않았다면 ,,,
복구 및 사후 처리:
본인 스스로 생각하기에 모든 공격 흔적을 찾아서 복구했다 생각하시면, 그냥 쓰시고,
그게 아니다라는 생각이 드시면, OS 다시 새로 설치하고, 웹서버등 각종 서버의
홈피찾아서 최신버전으로 다시 설치하시고 쓰세요!
만약 공격자의 IP를 찾으셨다면, 다음 문서 참고하셔서 관련 로그와 함께 공격
사이트에 항의메일을 보내세요! 공격사이트도 해킹을 당했을 경우가 대부분 이므로
알려주는것이 좋겠죠!
http://www.certcc.or.kr/paper/cert.html
서버를 다시 설치하실 경우에는 다음문서 참고 바랍니다.
http://www.securitymap.net/sdm/docs/system-sec/linux_security.html
관련 정보들 :
다음 사이트의 "보안취약점맵", "피해시스템분석" 자료를 잘 활용하시기 바랍니다.
http://www.securitymap.net
출처 : http://www.it-bank.or.kr/boan/boan.htm