16.인터넷 연결 방화벽ICF
Windows XP에서 외부 공격을 효율적으로 차단하기 위해
ICF(Internet Connection Firewall)을 사용 하기로 하였다.
아래와 같이 구성하여라.
1. 211.241.82.71에서만 원격 데스크톱 서비스에 접근 가능하도록 설정하여라.
2. 원격 데스크톱 서비스에 접근 성공한 로그를 남기도록 설정하여라.
3. ping 요청에 응답하지 않도록 설정하여라.
17.이벤트 로그 분석
※C:LogParser를 사용하시오
피해 시스템에서 가져온 보안 이벤트 로그(C:sec_security.evt)를 분석하여
아래 질문에 답하시오. (시간은 `2004-11-24 19:30:29` 의 형태로 입력해야 함.)
1. 최초 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
=>
네트워크 로그온 이벤트 ID : 540
logparser "select * from sec_security.evt where eventid = 540" -o:csv > 515.csv
[로그온 성공한 시간] : 2003-08-13 20:07:24
[사용자명] : admin
[컴퓨터 이름] : SHANLUZ
Burst-Force Attack 성공 EventID : 680, 576, 540, 538
네트워크 로그온 command session 연결 성공 EventID : 680, 576, 540, 515
2. 원격 로그온에 사용된 프로세서는 무엇인가?
=> psexesvc.exe
3. 두 번째 침입자가 시스템에 네트워크로 로그온 성공한 시간과 사용자명,
컴퓨터 이름은 무엇인가?
[로그온 성공한 시간] :2003-08-13 20:24:25
[사용자명] : admin
[컴퓨터 이름] : UHUHLY
4. 원격 로그온에 사용된 프로세서의 윈도우 서비스 명은 무엇인가?
=>Tlntsvr.exe
18.인터넷 익스플로어 악성 프로그램 대응
=> 아래에 나와있는 레지스트리를 찾아서 바꾸면된다.
혹은 검색해서 변경해도 결과는 같다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
19.악성 프로그램 대응서비스
윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상은 없었다.
시스템 관리자가 유심히 지켜본 결과 특정 네트워크 포트를 통해 시스템에
지속적으로 접근한다는 사실과 서버를 재 부팅하여도
계속적으로 동일한 현상이 발생한다는 것을 알았다.
1. 침입자가 설치한 백도어 파일 이름과 백도어 포트는 무엇인가?
※C:fport를 사용하시오
fport 를 실행시키면
pid3388 / c:\windows\system32\ismshrv.exe 이녀석이 실행되고 있음.
20.악성 프로그램 대응dll
윈도우 2000 Server 시스템이 해킹 당한 것으로 의심되었다.
백신 프로그램으로 바이러스 감염여부를 조사하였지만 특별한 이상이 없고,
윈도우 작업 관리자를 통해 실행중인 프로세서 목록을 점검하여도 의심될 만한
프로그램이 없었다. 시스템 관리자가 유심히 지켜본 결과 침입자가
동적 연결 파일(Dynamic Linking Library File)를 이용한다는 것과
서버를 재 부팅하여도 계속적으로 동일한 현상을 발생 시킨다는 것을 알았다.
또한 특정한 외부 웹 서버로 일정 시간마다 SYN패킷을 보내고 있다는 것도 알았다.
1. 악성 프로그램이 이용하고 있는 서비스 이름과 DLL 파일, 포트는 무엇인가?
※C:\listdlls를 사용하시오
listdlls -? //도움말을 볼 수 있다.
시간이 너무 오래 걸려서 explorer만 확인해보았다.
c:> listdlls explorer.exe
hgfs.dll 만 버젼 정보가 나오지 않는다.. 수상한것으로 판단했다.
나머지 이런것들도 있단다.
iexplorer.dll
explorer.dll
msexcel.dll
21.악성 프로그램 대응.bat 레지스트리 실행
네트워크 관리자로부터 현재 사용중인 Windows 컴퓨터가 이상 트래픽이
발생된다는 보고를 받았다. CPU 사용률이나 메모리 점유율이 평소와 크게
차이가 없고, netstat 명령을 이용하여 네트워크 접속 상황을 점검하여도
특이할 사항이 발견되지 않았다. 그러나 윈도우 배치프로그램 실행할 때마다 동시에
알지 못할 프로세서가 시작된다는 것을 알았다.
1. 악성 프로그램 실행(.exe) 파일의 Original Filename은 무엇인가?
2. 악성 프로그램 제작자의 Messenger ID는 무엇인가?
3. 악성 프로그램이 변경한 시스템 환경을 원래대로 복구 하여라.
※C:\exefileinfo, Process Explorer등을 사용하시오
=> 프로세스 익스플로러를 실행시킨다.
윈도우 배치 프로그램이 수상하다 했으니 system32\ 파일을 검색해보자
3개에 배치파일일 검색된다.
ready.bat
start.bat
parsng.bat
ready.bat을 실행 시키로 프로세스 익스플로러를 확인해 보니
igmp.exe 라는 프로그램이 지속적으로 실행 종료를 반복하고 있다.
igmp.exe 프로그램도 system32\ 폴더에 있다.
exefileinfo 프로그램을 이용하여 igmp.exe를 열어보면
제일 아래쪽에 파일 설명이 나와있다.
파일 설명 : port of kiss of death dos attack to windows
버젼 : 1.2.0.0
저작권 : Kalibre (
metinsdr@hotmail.com)
최초파일명 : bomba.exe