호스팅 TIP > 윈도우 > [SIS] 윈도우보안 훈련프로그램 정리 16번-21번

호스팅 TIP

보안

시스템

프로그래밍

윈도우

월간 인기 게시물

	게시물 256건

[SIS] 윈도우보안 훈련프로그램 정리 16번-21번

글쓴이 : 최고관리자 날짜 : 2011-02-08 (화) 16:27 조회 : 7071

글주소 :

출처 : http://l2j.co.kr/entry/sisorkr-%EC%9C%88%EB%8F%84%EC%9A%B0-%EB%B3%B4%EC%95%88-%EC%B4%9D%EC%A0%95%EB%A6%AC

16.인터넷 연결 방화벽ICF

Windows XP에서 외부 공격을 효율적으로 차단하기 위해
ICF(Internet Connection Firewall)을 사용 하기로 하였다.
아래와 같이 구성하여라.

1. 211.241.82.71에서만 원격 데스크톱 서비스에 접근 가능하도록 설정하여라.

2. 원격 데스크톱 서비스에 접근 성공한 로그를 남기도록 설정하여라.

3. ping 요청에 응답하지 않도록 설정하여라.

17.이벤트 로그 분석

※C:LogParser를 사용하시오

피해 시스템에서 가져온 보안 이벤트 로그(C:sec_security.evt)를 분석하여
아래 질문에 답하시오. (시간은 `2004-11-24 19:30:29` 의 형태로 입력해야 함.)

1. 최초 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
=>
네트워크 로그온 이벤트 ID : 540
logparser "select * from sec_security.evt where eventid = 540" -o:csv > 515.csv

[로그온 성공한 시간] : 2003-08-13 20:07:24
[사용자명] : admin
[컴퓨터 이름] : SHANLUZ

Burst-Force Attack 성공 EventID : 680, 576, 540, 538
네트워크 로그온 command session 연결 성공 EventID : 680, 576, 540, 515

2. 원격 로그온에 사용된 프로세서는 무엇인가?

=> psexesvc.exe

3. 두 번째 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
[로그온 성공한 시간] :2003-08-13 20:24:25
[사용자명] : admin
[컴퓨터 이름] : UHUHLY

4. 원격 로그온에 사용된 프로세서의 윈도우 서비스 명은 무엇인가?
=>Tlntsvr.exe

18.인터넷 익스플로어 악성 프로그램 대응

1. 인터넷 익스플로어를 실행할 때마다 인터넷 옵션의
시작 페이지를 http://www.sis.or.kr 로 변경하였음에도 불구하고
http://movie2.ce.ro/로 계속 변경 되고 있다.
시작 페이지와 관련된 레지스트리 값을 모두 찾아
http://www.sis.or.kr로 변경하여라.

2. 인터넷 익스플로어 주소창에 등록되지 않은 도메인을 입력할 경우
원하지 않는 사이트(http://prosearching.com)로 이동되고 있다.
위와 관련된 레지스트리 값을 모두 찾아 www.sis.or.kr로 변경하라.

=> 아래에 나와있는 레지스트리를 찾아서 바꾸면된다.
혹은 검색해서 변경해도 결과는 같다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\CustomizeSearch

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchAssistant

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page

19.악성 프로그램 대응서비스

윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상은 없었다.
시스템 관리자가 유심히 지켜본 결과 특정 네트워크 포트를 통해 시스템에
지속적으로 접근한다는 사실과 서버를 재 부팅하여도
계속적으로 동일한 현상이 발생한다는 것을 알았다.

1. 침입자가 설치한 백도어 파일 이름과 백도어 포트는 무엇인가?

※C:fport를 사용하시오

fport 를 실행시키면

pid3388 / c:\windows\system32\ismshrv.exe 이녀석이 실행되고 있음.

20.악성 프로그램 대응dll

윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상이 없고,
윈도우 작업 관리자를 통해 실행중인 프로세서 목록을 점검하여도 의심될 만한
프로그램이 없었다. 시스템 관리자가 유심히 지켜본 결과 침입자가
동적 연결 파일(Dynamic Linking Library File)를 이용한다는 것과
서버를 재 부팅하여도 계속적으로 동일한 현상을 발생 시킨다는 것을 알았다.
또한 특정한 외부 웹 서버로 일정 시간마다 SYN패킷을 보내고 있다는 것도 알았다.

1. 악성 프로그램이 이용하고 있는 서비스 이름과 DLL 파일, 포트는 무엇인가?

※C:\listdlls를 사용하시오

listdlls -? //도움말을 볼 수 있다.

시간이 너무 오래 걸려서 explorer만 확인해보았다.

c:> listdlls explorer.exe

hgfs.dll 만 버젼 정보가 나오지 않는다.. 수상한것으로 판단했다.

나머지 이런것들도 있단다.
iexplorer.dll
explorer.dll
msexcel.dll

21.악성 프로그램 대응.bat 레지스트리 실행

네트워크 관리자로부터 현재 사용중인 Windows 컴퓨터가 이상 트래픽이
발생된다는 보고를 받았다. CPU 사용률이나 메모리 점유율이 평소와 크게
차이가 없고, netstat 명령을 이용하여 네트워크 접속 상황을 점검하여도
특이할 사항이 발견되지 않았다. 그러나 윈도우 배치프로그램 실행할 때마다 동시에
알지 못할 프로세서가 시작된다는 것을 알았다.

1. 악성 프로그램 실행(.exe) 파일의 Original Filename은 무엇인가?

2. 악성 프로그램 제작자의 Messenger ID는 무엇인가?

3. 악성 프로그램이 변경한 시스템 환경을 원래대로 복구 하여라.

※C:\exefileinfo, Process Explorer등을 사용하시오

=> 프로세스 익스플로러를 실행시킨다.
윈도우 배치 프로그램이 수상하다 했으니 system32\ 파일을 검색해보자

3개에 배치파일일 검색된다.

ready.bat
start.bat
parsng.bat

ready.bat을 실행 시키로 프로세스 익스플로러를 확인해 보니

igmp.exe 라는 프로그램이 지속적으로 실행 종료를 반복하고 있다.

igmp.exe 프로그램도 system32\ 폴더에 있다.