윈도우 2000 서버를 FTP 서비스로 사용하기 위해 새로 설치하였다.
"ftp_user" 라는 사용자를 아래와 같은 정책으로 구성하여라.
1. 기호 및 숫자, 알파벳을 조합한 최소 암호길이를 7자리 이상으로 설정하여라.
=> "제어판>관리도구>로컬 보안 설정"
"계정 정책>암호 정책"에
정책중에서 "암호는 복잡성을 만조해야함"을 "사용"으로 설정
"최소 암호 길이" "7"로 설정
2. 패스워드 재 사용 금지를 위해 이전 패스워드 3개를 기억할 수 있도록
설정하여라.
=> "제어판>관리도구>로컬 보안 설정"
"계정 정책>암호 정책"에
정책중에서 "최근 암호 기억"을 "3"으로 설정
3. 패스워드 유출 사고를 대비하여 31일마다 패스워드를
재설정 하도록 하여라.
=> "제어판>관리도구>로컬 보안 설정"
"계정 정책>암호 정책"에
정책중에서 "최대 암호 사용 기간"을 "30"으로 설정
4. 사전 대입 공격을 차단하기 위해 5번의 로그인 실패 시 30분간
잠금 정책을 설정하여라.
=> "제어판>관리도구>로컬 보안 설정"
"계정 정책>계정 잠금 정책"에
정책에서 "계정 잠금 임계값"을 "5"로 설정한다.
//임계값을 설정하면 자동으로 계정 잠금 기간이 30으로 설정 된다.
5. 위 정책을 보안 템플릿 파일 형태로 작성하여라.
(저장 파일명: C:\Usrmply.inf)
=> 저장
6. `net`명령어를 이용하여 위에서 설정된 결과값을 저장하여라.
(저장 파일명: C:\Usrmply.txt)
=> C 드라이드 root로 이동후에
net accounts > Usrmply.txt
2.사용자 권한 할당
1. 하위 윈도우 버전(NT3.5, Windows 98등)과
텍스트 암호 통신을 하는 LM인증을 사용하지 않도록
윈도우 2000 서버의 인증 보안을 강화시켜라(NTLMv2사용).
=>
실행>secpol.msc(로컬보안설정)
"로컬 정책>보안 옵션"에서
정책중에 "네트워크 보안:LAN Manager 인증 수준"을
"NTLMv2 응답만 보냄\LM 거부"로 설정
2. 일반 사용자가 시스템에 직접 로컬 로그온 하여 악의적인 코드를
다운로드하고 실행하여 사용자 권한을 변경 할 수 있는 위험을 없애기 위해
허가된 관리자 그룹(Administrators)을 제외한 모든 그룹에 대하여
로컬 로그온을 하지 못하도록 설정하여라.
=>
실행>secpol.msc(로컬보안설정)
"로컬 정책>사용자 권한 할당"에서
정책중 "로컬로 로그온"을 Administrator만 남기고 모두 삭제
3. Windows XP컴퓨터에서 네트워크를 통해 Windows 2000 도메인 컨트롤러
공유자원에 접근하기 위해 SMB통신을 하려고 한다.
IPSec을 사용하지 않고 공격자의 세션 가로채기 공격을 방어할 수 있는
SMB 서명 인증 통신 방법을 설정하여라.
=>
실행>secpol.msc(로컬보안설정)
"로컬 정책>보안 옵션"에서
정책중에
"Microsoft 네트워크 서버 : 디지털 서명 통신 (서버에서 동의한 경우)"
"Microsoft 네트워크 서버 : 디지털 서명 통신 (항상)"
"Microsoft 네트워크 클라이언트 : 디지털 서명 통신 (서버에서 동의한 경우)"
"Microsoft 네트워크 클라이언트 : 디지털 서명 통신 (항상)"
위에 4개 정책을 모두 "사용"으로 설정한다.
"Microsoft 네트워크 클라이언트 : 디지털 서명 통신 (서버에서 동의한 경우)" 정책은
기본으로 사용으로 되어있는 경우도 있음.
3.익명 보안 옵션Windows 2000
※ 주의 : 문제서버를 Windows 2000 Server로 간주하고 문제를 해결하시오.
1. 대화형 로그온에 불법적으로 접근 시도를 하는 침입자를 위해
경고 문구를 생성하고 마지막으로 로그온한 사용자 계정을 감추어라.
[제목: 올바른 인증 없이 계속 진행하면 시스템에 대한 공격으로 간주합니다.]
[내용: 이 시스템은 권한 있는 사용자만 사용할 수 있습니다.
무단 접근을 시도하면 기소 사유가 됩니다.]
=>실행>regedit
[경고 문서 생성]
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 에
"LegalNoticeCaption" (제목)
"LegalNoticetext" (내용) 에 각각 해당 사항 입력
[마지막으로 로그온한 사용자 계정 감추기]
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" 에서
오른쪽클릭>새로만들기> DWORD 값
이름 : DontDisplayLastUserName
값 데이터 : 0x1(16진수)
2. 권한 없는 사용자가 서버의 계정 이름 목록을 수집하여 암호를 추측하거나
`사회 공학적 해킹`방법을 수행하는 형태의 접근을 차단하기 위해
익명 접근을 제한하라
=>
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA" 에
이름: RestrictAnonymous 에 값을 0x2(16진수) 로 변경
3. 각종 바이러스, 웜 감염에 대비하여 운영체제 시작 시 자동으로 공유되는
관리용 폴더를 검색하여 `C:\MgtShare.txt`파일로 저장하여라.
또한 현재 공유되어 있는 모든 관리용 폴더를 삭제하고 재 부팅 시에도
공유되지 않도록 레지스트리 값을 설정하여라.
=>
[관리용 폴더를 검색하여 저장]
net share > c:\MgtShare.txt
[현재 실행 중인 기본 공유 제거]
net share c$ /delete
net sharee admin$ /delete
net share IPC$ /delete (IPC는 커맨드로 삭제 불가능 - 서비스를 지워야함)
[기본 공유 제거 - XP / 2003]
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
- Value name : AutoShareServer
- Data Type : DWORD
- Value : 0(zero)
[기본 공유 제거 - 2000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Value name : AutoShareWks
- Data Type : DWORD
- Value : 0(zero)
===> 문제에서는 윈도우 2000 서버로 생각하고 풀어라고 했는데, 윈도우 2000 서버의 기본 공유 제거
방법이 먹히지 않음 (문제를 잘못 낸듯)
XP/2003에서의 기본 공유 제거 방법으로 해야 문제가 풀립니다.
4.익명 보안 옵션Windows XP
(3번문제과 연결된 문제)
4. 대화형 로그온에 불법적으로 접근 시도를 하는 침입자를 위해
경고 문구를 생성하고 마지막으로 로그온한 사용자 계정을 감추어라.
[제목: 올바른 인증 없이 계속 진행하면 시스템에 대한 공격으로 간주합니다.]
[내용: 이 시스템은 권한 있는 사용자만 사용할 수 있습니다.
무단 접근을 시도하면 기소 사유가 됩니다.]
=>
[경고 문구 입력]
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" 에
LegalNoticeCaption (제목)
LegalNoticetext (내용) 에 각각 해당 사항 입력
[마지막 로그온한 사용자 계정 감추기]
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" 에
"dontdisplaylastusername" 을 "1"로 설정
5. 권한 없는 사용자가 서버의 계정 이름 목록을 수집하여 암호를 추측하거나
`사회 공학적 해킹`방법을 수행하는 형태의 접근을 차단하기 위해
아래와 같이 익명 접근을 제한하여라.
A. 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한
=>
"로컬 보안 설정 > 로컬 정책 > 보안 옵션" 정책중에
"계정: 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한"을 사용으로 변경
B. SAM 계정의 익명 열거 허용 안함
=>
"로컬 보안 설정 > 로컬 정책 > 보안 옵션" 정책중에
"네트워크 액세스: SAM 계정과 공유의 익명 열거 허용 안 함 "을 사용으로 변경
C. SAM 계정과 공유의 익명 열거 허용 안함
=>
"로컬 보안 설정 > 로컬 정책 > 보안 옵션" 정책중에
"네트워크 액세스: SAM 계정의 익명 열거 허용 안 함 "을 사용으로 변경
6. 각종 바이러스, 웜 감염에 대비하여 운영체제 시작 시 자동으로 공유되는
관리용 폴더를 검색하여 `C:\MgtShare.txt` 파일로 저장하여라.
또한 현재 공유되어 있는 모든 관리용 폴더를 삭제하고 재 부팅 시에도
공유되지 않도록 레지스트리 값을 설정하여라.
=>
[관리용 폴더를 검색하여 저장]
net share > c:\MgtShare.txt
[현재 실행 중인 기본 공유 제거]
net share IPC$ /delete (IPC는 커맨드로 삭제 불가능 - 서비스를 지워야함)
net share c$ /delete
net sharee admin$ /delete
[기본 공유 제거 - XP / 2003]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Value name : AutoShareServer
- Data Type : DWORD
- Value : 0(zero)
5.관리자 계정 보안
1. 현재 관리자 sid값은 무엇인가?
=>
실행(ctrl+r) > cmd
c:\>user2sid administrator
S-1-5-21-796845957-412668190-839522115-500
Number of subauthorities is 5
Domain is KISA-1
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
c:\>getsid \\kisa-1 administrator \\kisa-1 administrator
The SID for account KISA-1\administrator matches account KISA-1\administrator
The SID for account KISA-1\administrator is S-1-5-21-796845957-412668190-839522115-500
2. 관리자 이름을 `eent123x`로 변경하여라. 변경 이후 관리자 sid값은 무엇인가?
=>
[관리자 이름 변경]
"로컬 보안 설정>로컬 정책 > 보안 옵션" 에 정책중
"계정 : Administrator 계정 이름 바꾸기" 값을 eent123x로 변경한다.
[변경 이후 관리자 sid 값]
1번 같은 방법으로..
3. 가짜 Administrator 계정을 만들고 guest 그룹으로 등록하여라.
=> "제어판 > 관리도구 > 컴퓨터 관리"에
"로컬 사용자 및 그룹 > 사용자"에서
"오른쪽 클릭 > 새 사용자"클릭 이름을 Administrator로 정하고 확인
목록에서 Administrator 우클릭> 속성에 "소속 그룹" 탭에서
"추가" 클릭> 그룹선택에서 "고급" 클릭
"지금 찾기"클릭후 목록에서 Guest 계정 클릭하고 확인
기존에 등록되어있던 소속 그룹은 삭제한다.
4. 패스워드 크랙 방지를 위해 SAM 데이터 베이스를 128bit로 암호화 시켜라.
=> 실행>cmd
c:>syskey
Windows XP 계정 테이터베이스 보안
암호화 사용> 확인
6.패치 및 업데이트 관리
※ 주의 : MBSA(Microsoft Baseline Security Analyzer)를 이용하여 해결하시오.
1. 현재 시스템에서 업데이트가 이루어지지 않았거나 잘못된 업데이트는
모두 몇 개 인가?
=> C:\Program Files\Microsoft Baseline Security Analyzer\mbsa를 실행한다.
17개
2. 현재 시스템에서 나타난 취약점은 모두 몇 개 인가?
0개
7.Windows XP 폴더 보안
Windows XP Professional을 사용하는 중소기업에서 개인 공유 폴더에 대한 보안을
아래와 같이 설정하려고 한다.
1. `4분기영업자료` 공유 폴더를 share_user 라는 사용자만 네트워크를 통해
읽기 가능하도록 설정하여라.
=> 해당 폴더 우클릭 > "공유 및 보안" 클릭
공유설정 확인한다.
사용자 제한설정이 나오지 않는다면 탐색기>도구>폴더 옵션 "보기"탭에서
"모든 사용자에게 동일한 폴더 공유 건한을 지정"에 체크를 해제한다.
"사용권한" 클릭 > "추가" 클릭 > "고급" 클릭 > "지금 찾기" 클릭
share_user 를 찾아서 확인
기존에 등록된 그룹또는 사용자는 삭제한다.
2. `4분기영업자료` 폴더에 접근할 사내 직원은 10명이 넘지 않으므로 10명만
동시 접속이 가능하도록 설정하여라
=>
"공유 및 보안"에서 사용자 제한> "허용 인원"을 10으로 설정
8.터미널 서비스 보안
1. `ftp_user` 계정만 터미널 서비스에 로그온 할 수 있도록 설정하여라.
=> "실행" > "compmgmt.msc"(컴퓨터관리)
"시스템 도구" > "로컬 사용자 및 그룹" > "사용자" > "ftp_user"추가
내 컴퓨터 > 속성 > "원격"탭에서 원격데스크톱에 사용자 추가 ftp_user
2. 기본적인 터미널 서비스 포트 3389/tcp를 3147포트로 변경하여라.
아래 레지스트리 경로로 이동하여 터미널 서비스 접속 포트를 변경 하여 준다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 에서 Port number 수정
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 에서 Port number 수정
10진수를 선택하고 3147을 넣어주면 된다.
9.레지스트리 보안
웜이 시스템 시작 시 레지스트리로부터 실행되는 것을 막기 위해 자동 실행관련
레지스트리 키를 찾아 관리자 그룹(administrators), 시스템 그룹(SYSTEM)만
접근 가능하도록 설정하였다.
1. 바이러스 웜 및 악성 프로그램이 시스템에 설치되었는지 감사하고자 한다.
자동 실행 관련 레지스트리 키의 `값 설정`, `삭제`, `하위 키 추가 성공`,
`연결 만들기` 이벤트 발생시 감사로그가 남도록 설정하여라.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion의 Run, RunOnce, RunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion의 Run, RunOnce, RunServices, RunServicesOnce
2. 패스워드 무작위 대입 공격이나 바이러스 웜 감염을 막기 위해 원격에서
레지스트리 조작을 허용하지 않도록 설정하여라
=> 실행 > services.msc
"Remote Registry" 항목 "사용 안함"으로 설정
10.전자 메일 보안
1. 바이러스 가능성이 있는 첨부파일을 저장하거나 열 수 없도록 설정하여라.
=> OutLook Express 실행 > "도구" > "옵션"
"보안"탭에 "바이러스 가능성이 있는 첨부 파일을 저장하거나 열 수 없음" 체크
2. 다른 응용 프로그램에서 나를 발신인으로 하는 메일을 보낼 때 경고하도록
설정하여라.
=> OutLook Express 실행 > "도구" > "옵션"
"보안"탭에 "다른 응용 프로그램에서 나를 발신인으로 하는 메일 보낼 때 경고" 체크
3. 선정적인 HTML이나 악성 HTML, 스파이웨어 등으로부터 컴퓨터를 보호하기 위해
수신된 모든 전자메일을 평문(Text)으로 읽을 수 있도록 설정하여라.
=> OutLook Express 실행 > "도구" > "옵션"
"읽기" 탭에 "일반 텍스트로 모든 메시지 읽기" 체크
4. 제목이 `[광고], (광고), [광 고], (광 고)`로 표기된 메일을 모두
`광고메일` 함으로 이동시키는 필터 규칙을 만들고 적용하여라.
(단, 규칙 이름은 `광고메일` 로 지정한다.)
=> "도구" > "메세지 규칙" > "메일" 클릭
1. 규칙의 조건 선택 에서 "제목란에 특정 단어 포함" 선택
2. 규칙의 동작 선택 에서 "지정된 폴더로 이동" 선택
3. 규칙 설명에서 특정단어와 지정된 폴더 클릭으로 들어가서 선택
4. 규칙 이름에 "광고메일" 입력
5. 제품 등록 키를 PGP로 암호화하여 수신된 E-Mail이 있다.(개인키 : kisa12#$)
전자메일 메시지 내의 제품 정식 등록 키 값은 무엇인가?
=> 메일 전체 복사
트레이아이콘(자물쇠) 클릭 > "clipboard" > decrypt & verify
"개인 키"에 kisa12#$를 입력 확인
제품 등록키 123-24-12345
11.파일 및 폴더 암호화
1. 기밀 파일을 담고 있는 `C:\Documents and Settings\kisa\My Documents`
폴더를 EFS를 사용하여 암호화 하고자 한다. 아래와 같이 설정하여라.
▶ 다른 계정으로 로그온 한 사용자가 접근하지 못하도록 제한하여라.
▶ 현재 폴더 및 하위 폴더에 모두 적용되도록 설정하여라.
[EFS 암호화]
해당 폴더 우클릭 > 속성 > "일반"탭 에서 "고급" 클릭
"보관 가능" 체크
"데이터 보호를 위해 내용을 암호화" 체크 후에 확인
현재 폴더 및 하위 폴더 적용 체크 후 다시 확인
2. `C:\EfsShare`에 EFS로 암호화되어 저장된 파일(sis.txt)을
`sis_admin` 사용자도 읽기 가능하도록 설정하여라.
=>
폴더로 이동하여 sis.txt 라는 파일을 새로 만든다.
1번과 동일하게 암호화 해준다.
c:\EFShare안에 sis.txt 파일을 만들고 똑같이 EFS로 암호화 하되 자세히를 눌러 접근 가능한 사용자를 추가해 준다.
자세히가 클릭이 안될경우
속성에 "보안" 탭에 sis_admin 사용자를 추가 한다.
3. 패스워드 분실 및 계정 삭제, 디스크 포맷등과 같은 만일의 사태에 대비하여
암호화한 파일 및 폴더를 복구 할 수 있도록 인증서를 백업(C:\EFSBackup.cer)하여라
=> "실행" > mmc > 파일 > 스냅입 추가/제거
인증서를 추가 한다.
인증서에서 "신뢰된 사용자" > "인증서"에서
"sis_admin" 우클릭 > 모든작업 > 내보내기
12.인터넷 익스플로어 보안
1. 공용 컴퓨터에서 인터넷 뱅킹 뿐만 아니라 사적인
컴퓨팅 활동을 보호 하려고 한다. 웹 사이트에서 입력된 사이트 주소,
사용자 ID 및 패스워드를 저장 시키지 않기 위한 옵션과 최근 방문했던
모든 사이트의 주소를 삭제하여라.
=> 익스플로러 > 속성 > "일반" 탭에서 쿠키 및 임시파일
인터넷 접속 목록을 모두 삭제 한다.
[사용자 ID 및 패스워드를 저장 시키지 않기]
익스플로러 > 속성 > "내용" > "자동 완성" 클릭
자동완성 대상을 모두 체크를 해제 한다.
2. 개인 보호 정책이 없는 제 3사 사이트로부터 쿠키를 차단 시키고,
제 1사 쿠키만을 허용하도록 쿠키 보안을 설정하여라.
=> 익스플로러 > 속성 > "개인 정보" 탭에서 "고급" 클릭
제 1사 쿠키 는 "적용"
제 3사 쿠키 는 "차단" 으로 적용한다.
13.DoS공격 방어
아래와 같이 웹 서버가 초당 1000개 이상의 SYN 패킷을 받고 있었다.
앞으로 이런 유형의 공격을(DoS) 방어하기 위한 레지스트리 값을 설정하여라.
C:>netstat -na | findstr ` SYN_RECEIVED`
TCP 211.241.82.71:80 6.55.194.236:51370 SYN_RECEIVED
TCP 211.241.82.71:80 16.192.252.18:22452 SYN_RECEIVED
TCP 211.241.82.71:80 49.5.243.221:52363 SYN_RECEIVED
TCP 211.241.82.71:80 50.145.99.80:46108 SYN_RECEIVED
TCP 211.241.82.71:80 51.53.109.147:28308 SYN_RECEIVED
TCP 211.241.82.71:80 61.58.85.212:52375 SYN_RECEIVED
TCP 211.241.82.71:80 63.33.85.135:32111 SYN_RECEIVED
TCP 211.241.82.71:80 67.206.19.195:28501 SYN_RECEIVED
TCP 211.241.82.71:80 68.79.239.155:42810 SYN_RECEIVED
TCP 211.241.82.71:80 221.29.79.118:36387 SYN_RECEIVED
=>서비스 거부 공격을 원천적으로 막을 수 있는 방법은 아직 없지만
윈도우는 TCP/IP 스택을 강화하면 일부 정도는 막을수 있다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters " 에
다음과 같은 항목을 추가한다.
name hex값(10진)
EnableICMPRedirect 0
SynattackProtect 2
TcpMaxHalfOpen 64(100)
TcpMaxHalfOpenRetried 64(100)
EnableDeadGWDetect 0
EnablePMTUDiscovery 0
KeepAliveTime 493e0(300000)
DisableIPSourceRouting 2
TcpMaxConnectResponseRetransmissions 2
TcpMaxDataRetransmissions 3
PerformRouterDiscovery 0
TcpMaxPortsExhausted 5
NoNameReleaseOnDemand 1
14.IPSec 보안
1. 외부의 특정 네트워크 대역으로부터 SMB Login Burst Force 공격이
지속적으로 발생되고 있다.
해당 네트워크 대역으로부터 서버를 보호하기 위한 IPSec 환경을 구성하여라.
(단, 보안정책 이름은 CIFS_DCOM Deny 로 지정한다.)
=> 로컬 보안 설정 > "로컬 컴퓨터의 IP 보안 정책"에
새 정책을 "CIFS_DCOM Deny"로 등록 한다.
2. 다른 서버에서도 적용 가능하도록 정책을 저장하여라[C:\Default_Care.ipsec].
내보내기로 저장
15.TCP/IP 필터링
1. 공개적인 웹 서비스를 구축하기 위해 TCP/IP 필터링을
사용하여 아래와 같이 구성하여라.
▶ 재시작 후에 웹 서비스 포트(80/TCP, 443/TCP)만 접근 가능하도록 설정하여라.
=> 네트워크 연결 > 로컬 네트워크 속성 > 인터넷 프로토콜 속성 >
"고급" 클릭 > 고급 tcp/ip 설정에 "옵션" 탭에 > 속성
TCP/IP 필터링 사용(모든 어댑터) 체크
다음만 허용 체크후에 포트 추가
tcp -> 80, 443
udp -> 없음.
ip -> 6
ip에 6번을 추가하는 이유
Decimal Keyword Protocol
======= ======= ==============
0 HOPOPT IPv6 Hop-by-Hop Option
1 ICMP Internet Control Message
2 IGMP Internet Group Management
3 GGP Gateway-to-Gateway
4 IP IP in IP (encapsulation)
5 ST Stream
6 TCP Transmission Control
7 CBT CBT
8 EGP Exterior Gateway Protocol
9 IGP any private interior gateway
(used by Cisco for their IGRP)
2. IPSec을 사용하여 아래와 같이 구성하여라.
▶ 웹 서버가 Ping에 응답되지 않도록 설정하여라.
(단, 보안정책 이름은 ICMP_ECHO Deny 로 지정한다.)
=>
머리속에 있음.
16.인터넷 연결 방화벽ICF
Windows XP에서 외부 공격을 효율적으로 차단하기 위해
ICF(Internet Connection Firewall)을 사용 하기로 하였다.
아래와 같이 구성하여라.
1. 211.241.82.71에서만 원격 데스크톱 서비스에 접근 가능하도록 설정하여라.
2. 원격 데스크톱 서비스에 접근 성공한 로그를 남기도록 설정하여라.
3. ping 요청에 응답하지 않도록 설정하여라.
17.이벤트 로그 분석
※C:LogParser를 사용하시오
피해 시스템에서 가져온 보안 이벤트 로그(C:sec_security.evt)를 분석하여
아래 질문에 답하시오. (시간은 `2004-11-24 19:30:29` 의 형태로 입력해야 함.)
1. 최초 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
=>
네트워크 로그온 이벤트 ID : 540
logparser "select * from sec_security.evt where eventid = 540" -o:csv > 515.csv
[로그온 성공한 시간] : 2003-08-13 20:07:24
[사용자명] : admin
[컴퓨터 이름] : SHANLUZ
Burst-Force Attack 성공 EventID : 680, 576, 540, 538
네트워크 로그온 command session 연결 성공 EventID : 680, 576, 540, 515
2. 원격 로그온에 사용된 프로세서는 무엇인가?
=> psexesvc.exe
3. 두 번째 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
[로그온 성공한 시간] :2003-08-13 20:24:25
[사용자명] : admin
[컴퓨터 이름] : UHUHLY
4. 원격 로그온에 사용된 프로세서의 윈도우 서비스 명은 무엇인가?
=>Tlntsvr.exe
18.인터넷 익스플로어 악성 프로그램 대응
1. 인터넷 익스플로어를 실행할 때마다 인터넷 옵션의
시작 페이지를 http://www.sis.or.kr 로 변경하였음에도 불구하고
http://movie2.ce.ro/로 계속 변경 되고 있다.
시작 페이지와 관련된 레지스트리 값을 모두 찾아
http://www.sis.or.kr로 변경하여라.
2. 인터넷 익스플로어 주소창에 등록되지 않은 도메인을 입력할 경우
원하지 않는 사이트(http://prosearching.com)로 이동되고 있다.
위와 관련된 레지스트리 값을 모두 찾아 www.sis.or.kr로 변경하라.
=> 아래에 나와있는 레지스트리를 찾아서 바꾸면된다.
혹은 검색해서 변경해도 결과는 같다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
19.악성 프로그램 대응서비스
윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상은 없었다.
시스템 관리자가 유심히 지켜본 결과 특정 네트워크 포트를 통해 시스템에
지속적으로 접근한다는 사실과 서버를 재 부팅하여도
계속적으로 동일한 현상이 발생한다는 것을 알았다.
1. 침입자가 설치한 백도어 파일 이름과 백도어 포트는 무엇인가?
※C:fport를 사용하시오
fport 를 실행시키면
pid3388 / c:\windows\system32\ismshrv.exe 이녀석이 실행되고 있음.
20.악성 프로그램 대응dll
윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상이 없고,
윈도우 작업 관리자를 통해 실행중인 프로세서 목록을 점검하여도 의심될 만한
프로그램이 없었다. 시스템 관리자가 유심히 지켜본 결과 침입자가
동적 연결 파일(Dynamic Linking Library File)를 이용한다는 것과
서버를 재 부팅하여도 계속적으로 동일한 현상을 발생 시킨다는 것을 알았다.
또한 특정한 외부 웹 서버로 일정 시간마다 SYN패킷을 보내고 있다는 것도 알았다.
1. 악성 프로그램이 이용하고 있는 서비스 이름과 DLL 파일, 포트는 무엇인가?
※C:\listdlls를 사용하시오
listdlls -? //도움말을 볼 수 있다.
시간이 너무 오래 걸려서 explorer만 확인해보았다.
c:> listdlls explorer.exe
hgfs.dll 만 버젼 정보가 나오지 않는다.. 수상한것으로 판단했다.
나머지 이런것들도 있단다.
iexplorer.dll
explorer.dll
msexcel.dll
21.악성 프로그램 대응.bat 레지스트리 실행
네트워크 관리자로부터 현재 사용중인 Windows 컴퓨터가 이상 트래픽이
발생된다는 보고를 받았다. CPU 사용률이나 메모리 점유율이 평소와 크게
차이가 없고, netstat 명령을 이용하여 네트워크 접속 상황을 점검하여도
특이할 사항이 발견되지 않았다. 그러나 윈도우 배치프로그램 실행할 때마다 동시에
알지 못할 프로세서가 시작된다는 것을 알았다.
1. 악성 프로그램 실행(.exe) 파일의 Original Filename은 무엇인가?
2. 악성 프로그램 제작자의 Messenger ID는 무엇인가?
3. 악성 프로그램이 변경한 시스템 환경을 원래대로 복구 하여라.
※C:\exefileinfo, Process Explorer등을 사용하시오
=> 프로세스 익스플로러를 실행시킨다.
윈도우 배치 프로그램이 수상하다 했으니 system32\ 파일을 검색해보자
3개에 배치파일일 검색된다.
ready.bat
start.bat
parsng.bat
ready.bat을 실행 시키로 프로세스 익스플로러를 확인해 보니
igmp.exe 라는 프로그램이 지속적으로 실행 종료를 반복하고 있다.
igmp.exe 프로그램도 system32\ 폴더에 있다.
exefileinfo 프로그램을 이용하여 igmp.exe를 열어보면
제일 아래쪽에 파일 설명이 나와있다.
파일 설명 : port of kiss of death dos attack to windows
버젼 : 1.2.0.0
저작권 : Kalibre (metinsdr@hotmail.com)
최초파일명 : bomba.exe
'Infrastructure' 카테고리의 다른 글
Crontab 설정 하기 (0) | 2010.02.09 |
---|---|
Time Server Operation (0) | 2010.02.05 |
TIP (0) | 2010.01.29 |
Dump 설정 (0) | 2010.01.29 |
DLL 도움말 데이터베이스 (0) | 2010.01.29 |