해킹 당한 후 증상들 #1

해킹을 하는 방법은 공개적으로 어떻게 어떻게 하라라고 지정되어 있지는 않습니다. 이런 내용이 있다면, 비공개적으로 하지, 공개적으로 하지는 않습니다. 최소한 금전적인 부분을 노리고 공개하는 사람들은 있습니다. 하지만, 이런 많은 해킹 방법이 있음에도 불구하고 실제 발생되는 증상은 비슷합니다. 그 증상들이란, 몇가지 경우를 제외하고는 모두 비슷한 형식을 나타낸다는 것이지요.

예를 들면 다음과 같은 화면을 봅시다. 무엇이 잘못됐을까요?

 이건 비교적 쉬우실꺼라 생각됩니다. Messenger라는 서비스는 윈도우 내부의 사용자들 끼리 메시지를 주고받는 서비스입니다. 사용법을 아는 분은 꽤 적지만, 아무튼 윈도우에는 이런 서비스도 있습니다. 윈도우에 정상적이라면 다음과 같이 설명이 붙어있습니다.  

클라이언트와 서버 사이에 net send 및 경고 서비스 메시지를 전송합니다. 이 서비스는 Windows Messenger와 관련되지 않습니다. 서비스를 중지하면 경고 메시지가 전송되지 않습니다. 서비스를 사용하지 않도록 설정하면 관련된 모든 서비스를 시작할 수 없습니다.

 더구나, 실행 파일 경로가 대단히 의심스럽게 생겼습니다. 정상적인 위치라는건

C:\WINDOWS\system32\svchost.exe -k netsvcs

입니다. 실행 파일의 위치나 파일명이 정상이 아니라는 점(C:\WINDOWS\system\com\Hacker.com.cn.exe)은 너무나 친절하다 싶을 정도로 발견하기 쉽지요. 어쩌면 해킹이란 의외로 발견하기 쉽다는 느낌을 받으실 지도 모르겠습니다. 그러면 한단계 난이도를 높여보도록 하겠습니다.

다음 그림에서 잘못된 곳은 어디일까요?

제가 커서를 둔 rotatelogs.exe는 단순한 눈속임입니다

 많이 다뤄보신 분이라면, 다음과 같은 환경 분석까지는 가능하실 겁니다.

• 사용하는 백신은 V3이다        : MonSvcNT.exe가 실행되어 있음으로 판단
• 이 컴퓨터는 HP의 서버이다   : rotatelogs.exe나 smhstart.exe같은 프로세스가 있는 것으로 판단
• MS-SQL Server 가 설치되어 있다. : 맨 밑에 sqlagent.exe가 있은 걸로 보아 판단
• 웹서버 또는 FTP서버다        : inetinfo.exe가 설치되어 있음
• 윈도우의 버전은 2003이다     : LOCAL SERVICE와 NETWORK SERVICE 계정이 있음

 이번 문제는 조금 힘드셨을지 모르지만, 이번의 문제는 우리가 아는 IEXPLORE.EXE에 있습니다. IEXPLORE.EXE 프로세스는 인터넷 익스플로어의 프로세스 이름입니다. 하지만 이를 실행한 사용자 계정이 잘못 됐지요. SYSTEM이라는 사용자가 실행을 했다는 이야기인데, 혹시 SYSTEM계정의 비밀번호를 알고 계시면서 이 계정으로 작업을 하시는 분 계신가요?

 IEXPLORE.EXE 가 SYSTEM계정으로 실행됐다는 것은 SYSTEM계정의 비밀번호를 알아냈다거나, SYSTEM계정을 이미 장악했다는 뜻이 됩니다. 또한  IEXPLORE.EXE를 실행했다는 것은 어딘가의 웹서버에 접속해서 무엇인가를 다운로드를 받았을 가능성이 크다는 사실이지요.

Administrator계정도 SYSTEM계정에 준하는 레벨을 갖고 있지만, SYSTEM보다 강력하지는 않지요. 따라서 단순히 파일 접근 권한을 뺏는다던가, 파일을 삭제한다는가 하는 방법으로는 해결되지 않습니다. 상대방은 Administrator계정보다 더 높은 계정을 사용하고 있는걸요...

위에 적은 두 개는 해킹당한 시스템에서 비교적 쉽게 볼 수 있는 증상들입니다. 이 시스템에서 발생된 해킹은 이게 다가 아니고, 이런 증상이 별도의 도구 없이도 해킹 여부를 판단하게 된 판단의 시작입니다.

 이런 시스템을 보고 포맷한다는건 그다지 나쁜 선택이 아닙니다. 막을 수 있는 방법을 알고 있다면 말이죠. 막는 방법을 강구하지 않은 상태에서 포맷한다면, 그 시스템에 동일한 증상이 다시 발생하지 않으리라는 믿음은 어디에서 발생되는 것인지 모르겠습니다.