마이크로소프트 환경에서 보안을 기대하기란 애시당초 무리다. 제아무리 설정을 잘 해두었다 하더라도 마이크로소프트가 열심히 보안 패치를 발표하는 동안에도 크래커가 공격할 여지는 여기저기 산재해 있다. 인터넷상에 나도는 해킹툴의 대다수가 윈도우즈용이다. 잊을만하면 다시 또 세상을 떠들썩하게 하는 이메일 바이러스도 거의가 마이크로소프트 아웃룩을 겨냥한 것들이다. 보안을 생각한다면 하루빨리 윈도우즈 9x 과 ME를 제거하는 것이 최상책이다. 윈도우즈 NT나 2000 이라고 해서 예외가 될수는 없다. 네트워크는 날로 거대해져만 간다. 사람들은 여행지에서 혹은 집에서 회사의 네트워크에 VPN으로 접속한다. VPN으로 연결되었다면 "논리적으로" 그 네트위크는 랜의 일부분이라는 것을 혹 생각해 보았는지.
부팅시간
만일 크래커가 CD-Rom이나 플로피 디스크를 사용해 기계를 재부팅한는데 성공한다면 게임은 이미 끝난 것이라 보아도 좋다. 재부팅하고 나서 시스템의 내용을 마음대로 읽고 고치는 것이 가능하기 때문이다. 인터넷상에는 관리자 패스워드를 고치는 프로그램들이 있다. NTFS(NTFSDOS) 용 DOS 드라이버를 사용하면 파일 복사를 할수 있다. (이것은 리눅스 부팅 디스켓으로도 가능하다.) Remote Recover와 NT Recover 를 사용하면 죽은 NT 머신이나 타겟 머신을 부팅할수 있다. 일단 부팅하면 관리자 패스워드를 백업하거나 간단히 C:\Winnt\repair\sam._. 을 가로채 L0pht 크랙을 돌릴 수 있다. Locksmith를 사용해 관리자 패스워드를 다른것으로 대체, 시스템 부팅, 다른 슈퍼유저 어카운트 생성, 관리자 패스워드를 원래의 것으로 리셋, 그리고 나서 WinZapper를 사용해 자신의 자취를 지워버린다. BIOS를 체크해 부팅할 때 실행되는 기능을 제한하는 것은 모든 기계를 일일이 체크해야 한다는 수고를 필요로 하지만 이렇게 하면 많은 문제점을 방지할수 있다.
분리 가능한 기록매체와 커뮤니케이션 포트
CD-Rom이나 플로피 디스켓 같은 분리 가능한 기록매체 그리고 BIOS를 통한 커뮤니케이션 포트로의 접속을 제한하는 것은 바람직한 해결책이 되지 못한다. 일일이 기계를 재부팅 시키고 패스워드를 입력하고 설정을 고쳐야 한다. 시스템에 모뎀을 부착해 다이얼업으로 접속 가능하도록 설정하는 사용자도 있다. 이것은 집에서 일할때는 그만이지만 크래커가 들어올 수 있게 해주는 백도어를 제공하는 빌미를 제공한다. 포트를 통하면 외부로부터 CD 버너 공격을 할 수 있다. 회사 기밀이 외부로 유출되는 것을 막기 위해 직원의 컴퓨터 사용을 모니터링하는 회사들이 최근 들어 늘고 있다. 이 모니터링 시스템은 직윈이 이메일이나 ftp로 기가바이트의 파일을 보내는 것을 알아낼수는 있지만 CD를 집으로 가져가는 것까지는 알아내지 못한다.
윈도우즈에는 분리 가능한 기록 매체를 통해 접속하는 것을 막는 기능이 없다. 이 기능을 사용하려면 제 3의 상용 소프트웨어를 따로 구입해야 한다. SecureNT는 사용자나 그룹이 특정 분리가능한 기록매체나 특정 커뮤니케이션 포트에 접속하는 것을 제한시켜 주기 때문에 네트워크 중앙 통제실로 사용할 수있다. SecureNT에는 플로피 디스켓에 무엇이 복사되는지를 기록하는 로그옵션이 있고 복사를 특정한 디렉토리에 할 수 있게 설정할 수 있기 때문에 플로피 디스크로 데이타를 훔치는 것을 미연에 방지할 수 있게 해준다.
공격유형
윈도우즈 9x와 ME는 다른 OS에 비해 상대적으로 크래킹하기가 쉽다. 일단 코드를 타겟 머신에 실행시키면 그 다음은 무엇이든 할수 있기 때문이다. 윈도우즈 9x와 ME에는 사용자나 파일에 관한 보안 개념이 없다. 누구든 관리자 권한을 가질 수 있다. 윈도우즈 NT 설치시 디폴트로 설정되는 디렉토리(보통 C:\Winnt)와 파일 퍼미션은 누구에게나 허용되어 있으므로 누구든지 제어하는 것이 가능하다. System32 같은 아주 중요한 디렉토리도 마찬가지다. 그러므로 반드시 퍼미션을 조정해야 한다. 그러지 않으면 누구든 코드로 시스템 조작을 하는것이 가능하다. 마이크로소프트 오피스와 코렐 오피스 같은 많은 프로그램은 파일을 System32같은 디렉토리에 쓰게 설정되어있기 때문에 접속을 제한하는 등의 설정은 문제를 일으킬 소지가 다분하다.
크래커가 리모트 공격으로 코드를 실행시키는 방법은 다양하다. 그 중 가장 널리 쓰이는 방법이 이메일을 통해 코드를 보내는 것이다. 그동안 수없이도 이메일 바이러스에 관한 뉴스를 들어왔다. 아웃룩, 유도라, 넷스케이프같은 유명한 이메일 프로그램에는 수많은 취약점이 존재한다. 심지어 구버전은 유저 프롬프트 없이도 내용을 실행시키는 것이 가능하기 때문에 최신 버전을 사용하는 것이 중요하다. 바이러스 백신도 악성 코드 실행을 막는데 사용된다. 하지만 이것도 최신 바이러스나 소스 일부를 수정한 바이러스 앞에서는 무용지물이다. 바이러스 백신을 쉽게 통과할수 있기 때문이다. 바이러스 백신은 압축된 파일인 경우 압축을 풀고나서 검사를 한다. 그런데 바이러스 백신이 지원하지 않는 파일 포맷이 많다는데 문제가 있다. 최근 주목을 끌고 있는 프로그램중 NeoLite 가 있는데 이 NeoLite를 이용하면 바이너리를 압축해서 전송하는 것이 가능하다. 물론 바이러스도 사용할수 있다. 이것을 막으려면 Finjan의 SurfinShield 같은 소프트웨어를 사용하면 된다. SurfinShield는 다운로드한 파일이 무엇을 하는지 감시하므로 하드 드라이브를 포맷하는 등의 악성 코드 실행을 막는데 도움이 된다. 이 프로그램은 웹사이트에도 사용할 수 있어 웹사이트에 숨어있는 악성코드를 찾아낸다. 넷스케이프와 마이크로소프트 인터넷 익스플로러의 구버전은 자바와 자바 스크립트 실행에 있어 수많은 취약점을 가지고 있다.
크래킹에 사용되는 보안 프로그램도 있다. 그 한 예가 McAfee 바이러스 스캔 4.5다. 이 프로그램은 NT 를 부팅할때 바이러스 데이타를 스캔하도록 만들어졌는데, 개발자가 스캐닝의 실행 경로를 지정하는 것을 깜빡 한 모양이다. common.exe 라고 불리는 바이너리를 C:\Program Files 디렉토리에 저장하면 부팅할때마다 이 프로그램이 실행된다. 이 프로그램은 Local System 권한으로 실행되므로 어떤 것이든 할 수있다. SecureExe를 사용하면 이것을 막을수 있다. SecureExe를 실행하면 프로그램 이름과 전체 경로를 포함한 데이타베이스가 암호화되어 안전한 해쉬가 생성된다. (SHA1 사용) 그리고 나서 다이얼로그 박스를 통해 관리자에게 실행중인 문제의 트로이 프로그램에 관한 정보를 준다.
파일과 레지스터리 퍼미션
NT 파일과 레지스트리를 디폴트로 설정하는 경우 크래커는 쉽게 관리자 권한으로 침입해 시스템을 바꾸고 트로이를 심을 수 있다. 디폴트로 설정된 전체 사용자 퍼미션을 인증된 사용자 퍼미션으로 바꿀 수 있다. 하지만 로그인한 사용자가 파일을 고칠 수 있는 여지는 여전히 남아있기 때문에 인증된 사용자 퍼미션을 Read로 바꾸는 것이 중요하다. 하지만 C:\WINNT와 C:\Program Files 디렉토리에는 사용자 권한과 실행권한을 일일이 지정해 주어야 하는 파일과 디렉토리들이 많다. 사용자가 웹 브라우징을 원하는 경우 Cookies 디렉토리와 Temporary Internet Files 디렉토리는 쓰기 가능하게 고쳐야 한다. 크래커가 플로피 디스켓으로 시스템 부팅하기를 시도하거나 로컬이나 리모트 익스플로이트를 사용해 좀더 많은 것을 접근하려 한다는 것을 항시 염두에 두어야 한다. 레지스트리 퍼미션도 마찬가지다.
레지스트리 퍼미션을 바꿀 때 만일 바꿀 것이 많다면 regedit32를 사용한다면 퍼미션을 바꾸기 위해 모든 것을 일일이 클릭해야 하기 때문에 귀찮을 것이다. 이럴땐 RegDACL 프리버전을 다운받아 사용하는 것이 좋다. 모든 사용자에게 열린 권한을 인증된 사용자로 제한하는 것이 거의 모든 경우 가능하지만 항상 레지스트리를 백업부터 하는 것을 잊지 말도록 한다. NT에서 주의할 것은 SAM(Security Accounts Manager)이다. 디폴트 설정시 C:\WINNT\repair\sam 에 있는 SAM 데이타베이스의 카피는 모든 사용자에게 열려있다. 이것을 막으려면 퍼미션을 바꾸는 것도 좋지만 SAM에 강력한 암호를 거는 것이 좋다. syskey 프로그램을 실행시켜 Encryption Enabled를 선택하면 된다.
네트워크
NT가 제공하는 네트워크 서비스는 다양하다. 그 중 중요한 것이 파일과 프린트 서비스. IIS(본질적으로 WWW), Exchange, MS-SQL 이다. 먼저 파일과 프린트 공유와 인증 서비스를 살펴보자. 리모트 사용자가 서버 접속에 성공하면(예를 들어 137번 - 139번 포트) 그 사용자는 서버에 관한 거의 모든 정보를 알아낼 수 있다. CIS 같은 툴을 사용하면 모든 사용자와 그룹, 멤버쉽, 특정 어카운트의 패스워드가 가장 마지막으로 바뀐 것이 언제인지, 특정 어카운트가 몇 번이나 사용되었는지 등을 알아낼 수있다. 크래커는 무차별 대입법을 시도하는 방법으로 패스워드를 알아낸다. 로그인시 실패한 경우 이것을 고치도록 해놓지 않으면 알아내기 힘들다. NT에서는 기껏해야 맥시멈 글자수만 정할 수 있고 대문자나 숫자, 특별문자를 반드시 포함해야 한다는 등의 규정을 만들 수 없다. 크래커는 공유, 디스크 숫자와 구조, 설치된 서비스팩 등의 정보를 수집할 수 있다. 최근 랜덤 스캔한 NT 웹서버 일부를 예를 들어보자.
Group Information
Group Name : Domain Admins Users
Administrator
michael
poor
william2
Group Name : Domain Guests
Users
Guest
Group Name : Domain Users
Users
Administrator
LITTLEMAN$
IUSR_LITTLEMAN
IWAM_LITTLEMAN
michael
poor
scotty
william
michelle
john
SQLAgentCmdExec
william2
tempadmin
tempadmin2
tempadmin3
happyfry
추가적으로
WARNING - Null session can be established to \\10.3.0.10\IPC$
Share Name :C$
Share Type :Default Disk Share
Comment :Default share
Share Name :E$
Share Type :Default Disk Share
Comment :Default share
Share Name :F$
Share Type :Default Disk Share
Comment :Default share
Share Name :G$
Share Type :Default Disk Share
Comment :Default share
Share Name :H$
Share Type :Default Disk Share
Comment :Default share
Share Name :I$
Share Type :Default Disk Share
Comment :Default share
Share Name :littleman_net
Share Type :Disk
Comment :
CD-ROM 드라이브가 D:.임이 틀림없다. 다행히 그들은 파일공유를 열어두지 않았다. 만일 열어두었다면 다음과 같이 나타날 것이다.
Share Name :wwwroot
Share Type :Disk
Comment :
Share Name :data
Share Type :Disk
Comment :
Share Name :PWRCHUTE
Share Type :Disk
Comment :
Share Name :print$
Share Type :Disk
Comment :Printer Drivers
여기서 우리는 이 서버에 프린터가 있고 UPS(PC Powerchute software 를 사용하는 APC)라는 것을 알 수있다. 이메일로 트로이를 보내거나, 안전하지 못한 모뎀, 제대로 설정되지 않은 파이어월 등을 이용해 이 네트워크에 접속하는 경우 사용자나 디스크 공유 등, 네트워크의 전체 리스트를 구하는 것은 시간문제다. 135번포트에서(135번은 마이크로소프트의 RPC) 139번까지 아웃바운드와 인바운드 전부를 반드시 파이어월하도록 한다. 아웃바운드 접속이 허용되는 경우 크래커는 온갖 테크닉을 동원해 내부 위크스테이션의 인증을 받아내 유저네임과 패스워드를 알아내고야 말 것이다.
anonymous 접속도 막아야 한다. 다행히 이것은 어려운 일이 아니다. 간단히 HKEY_LOCAL_MACHINE 으로 가서 \System\CurrentControlSet\Control\Lsa 에서 RestrictAnonymous로 불리는 REG_DWORD를 생성하고 value를 1로 하면 된다. 하지만 IPC$ 공유를 사용하면 서버의 설정을 알아낼수 있다. IPC$ 공유를 막아놓으면 많은 것들이 네트워크에 로그하지 못하는 부작용이 생긴다. 웹서버와 로그하지 않는 기계의 IPC$ 공유만 제거하는 방법이 있다. 의심이 가는 기계는 net share IPC$ /delete 를 실행한다. .bat 파일에 삽입시켜 부팅할 때마다 실행하도록 하는 방법도 있다. 자동 관리 공유(C$ 나 D$ 같은)를 막으려면 HKEY_LOCAL_MACHINE 으로 가서 \System\CurrentControlSet\Services\LanmanServer\Parameters 에 NT 서버는 AutoShareServer, NT 워크스테이션은 AutoShareServer 라고 불리는 REG_DWORD 를 생성하고 value를 0으로 하면 된다.
IIS
IIS는 보안에 관한 한 최악이라는 오명의 역사를 갖고 있다. 지난해 발견된 유니코드 취약점은 서버에 임의의 코드를 실행하는 것이 가능하다는 것을 만천하에 공개했다. 크래커는 로컬 (최악의 경우 유저 어카운트로) 접속으로 관리자 권한을 얻어내기 위해 엄청난 트릭을 사용한다. 심지어 마이크로소프트의 웹서버조차 취약점으로 몇 번이나 당한 적이 있다. 몇몇 취약점은 몇달 전 패치되었다. IIS는 철저하게 소프트웨어를 업데이트하는 것이 중요하다. 그리고 나서 마이크로소프트 제품 보안 페이지를 체크해 IISLock.exe 를 다운받아 사용하고 IIS4와 IIS5의 보안 체크리스트를 수시로 읽고, 웹페이지의 #exec 기능을 꺼두어 웹페이지에 시스템 커맨드를 호출하는 코드를 삽입하지 못하게 한다. IIS 4.0 에서 asp 파일은 SYSTEM으로 어떤 커맨드이든 실행할수 있다는 버그가 발견되었다. 간단히
SCRIPT LANGUAGE="[large_buffer_of_2220_characters_or_more]" RUNAT="Server" /SCRIPT
를 삽입하면 된다. 이것은 zip 파일로도 나와있다.
MS-SQL
MS-SQL의 가장 큰 문제점은 디폴트로 된 sa 어카운트에 패스워드가 없다는 것이다. 이 sa 어카운트에는 많은 권한이 있다. 테이블을 만들고 없애고 고칠수가 있는 것은 물론 시스템 커맨드를 서버에 실행시켜 관리자 권한을 얻을 수도 있다. MS-SQL을 사용하는 서버들은 대부분 sa 패스워드가 없는것 같다. 크래커에게 좋은 기회를 제공해 준다. sa 패스워드를 만드는 방법은 아래 링크를 참조한다.
Exchange 서버
Exchange 서버 역시 많은 문제점을 안고 있다. 예를 들어 Exchange 는 받는 이메일을 이메일 주소(예: mud@hackerslab.org)로 구분하지 않고 도메인(예: hackerslab,org)로 구분한다. 따라서 받는 존재하지 않는 이메일 주소로 보내지는 메일도 받아들인다. 받은 메일은 48시간동안 전달을 시도하도록 디폴트 설정이 되어있기 때문에 존재하지 않는 사용자에게 보낸 이메일은 이틀동안이나 시스템의 원활한 소통을 방해한다. 예를 들어 수백 수천통의 이메일을 존재하지 않는 메일 주소로 보내면 심각한 문제가 발생한다. 이 이메일들을 제거하려면 서버를 중단하고 로그 파일을 분석해 매뉴얼로 모든 메세지를 제거해야 한다. 다른 옵션으로는 delivery-attempt 시간을 짧게 하는 방법을 택할수 있지만 이메일들이 도착해 시스템의 스페이스를 차지하는 것을 막아주지는 못한다. 한가지 해결책은 메일 게이트웨이를 Exchange 서버에 설정해 들어오는 이메일을 사용자나 도메인 네임으로 구별해 존재하지 않는 사용자 앞으로 가는 메일을 받지 않는 것이다. 이것은 Exchange 서버의 노출을 줄이고 크래커가 보안 취약점을 익스플로이트하는 것을 한층 어렵게 만들어줄 것이다.
트로이와 Cleanup
크래커는 일단 시스템에 들어오는데 성공하면 간단히 웹사이트을 도배하거나 데이타를 삭제하는 등의 일을 하게 된다. 관리자 입장에서는 당장은 창피스럽더라도 들어왔다는 흔적을 확실히 남겨주는 것이 몰래 흔적도 없이 나가는 것보다 고마울 것이다. 왜냐면 백도어 때문이다. 경험있는 크래커는 tini 를 제어하는 백오리피스 2000, 어셈블러로 만들어진 3k 같은 백도어를 심는다. 이런 백도어를 알려진 취약점이 존재하는 IIS 같은 서비스에 설치하는 것은 누워서 떡먹기다. 관리자를 더욱 난처하게 만드는 것은 크래커가 일단 관리자 모드로 들어오면 나갈 때 로그를 깨끗이 지울수 있는 WinZapper 같은 툴이다. 이 툴을 사용하면 이벤트 로그는 고쳐 지지만 이벤트 뷰어는 기계가 재부팅할때까지 작동하지 않는다. 그리고 시스템에는 dummy.dat 라는 파일이 남는데 이 파일에는 이벤트 로그의 오리지널 카피가 들어있다. 하지만 WinZapper의 새 버전은 이런 제한조차 없기 때문에 일단 크래커가 관리자 모드로 접속했다면 더이상 로그 파일에 의존해서는 안된다. 이것은 대부분 유닉스 시스템에서도 마찬가지다. 네트워크 스니퍼를 깔아 패스워드를 기웃거리는 크래커들이 많다. 이것을 막는 방법은 허브 대신 스위치를 사용하는 것이다. 하지만 이것도 완전하다고 볼수는 없다.
요약
마이크로소프트 제품들은 일반적으로 안전 대신 사용하기 쉽게 만드는 데에만 주력했다. 소프트웨어 판매에 있어서는 성공했지만 보안 면에서는 최하위하는 신화를 창조했다. 덕분에 마우스 클릭과 웹브라우저를 여는것 밖에 모르는 사람도(쉽게 말해 개나 소나) 크래킹을 할 수 있게 되었다. 최근에는 보안 취약점을 발견시 제품회사에 연락하는 대신 웹상에 공개하는 일이 다반사다. 크래커는 이것을 이용해 너무도 쉽게 크래킹을 한다. 크래커들이 날로 새로운 테크놀로지를 사용하는 동안 보안 이슈는 점점 심각해져만 가고 있다.
http://ntsecurity.nu/toolbox/ -- WinZapper, winfo, DelGuest, FakeGINA 등등
http://www.cerberus-infosec.co.uk/cis.shtml -- CIS (NTInfoScan), 훌륭한 NT scanner
http://www.bo2k.com/ - Back Orifice 2000
http://www.conclave.com/ntsafe/ -- NTSafe, Windows NT Configuration Auditor
http://www.securewave.com/html/products.html -- SecureNT 와 SecureEXE
http://www.somarsoft.com/ -- DumpSec, DumpEvt, DumpReg
http://www.winternals.com/products/index.shtml -- NTFSDOS, Locksmith 등등
http://www.l0pht.com/l0phtcrack/ -- L0pht Crack, 패스워드 크래커
http://www.heysoft.de/index.htm -- RegDACL
http://www.securityportal.com/research/exploits/microsoft/ -- 각종 마이크로소프트용 익스플로이트
http://www.microsoft.com/technet/security/prodtech.asp -- 마이크로소프트 보안 - 제품과 테크놀로지
http://msdn.microsoft.com/library/psdk/sql/1_server_4.htm -- MS-SQL에서 sa 패스워드 바꾸는 법
http://corporate.windowsupdate.microsoft.com/en/default.asp -- 윈도우즈 업데이트 및 다운로드
스크립트 키디들이 사용하는 이 모든 스크립트와 익스플로이트에 관한 정보는 어디에 가면 구할수 있을까? 인터넷상에는 이런 주제를 다루는 수많은 웹사이트가 있다. IRC에서 실시간으로 해킹툴에 관한 정보를 주고받을 수도 있다. 다음은 스크립트 키디들이 애용하는 사이트다.
http://www.antionline.com/
아주 유명한 사이트이다. 이 사이트에는 시스코, 윈도우즈, BSD, AIX 등을 비롯, 거의 모든 컴퓨터 네트워크에 사용 가능한 익스플로이트가 수백개나 실려 있다. 또한 수많은 네트워크 스캐너, 패스워드 제네레이터, 키로거를 비롯한 툴들이 있다.
http://www.rootshell.com/
이 사이트는 한때는 익스플로이트의 최고 권위를 자랑하는 사이트였지만 최근 몇 달 간 업데이트가 잘 되지 않는것 같다. 이 사이트에는 서치 엔진도 있다.
http://packetstorm.securify.com/
지난 몇년간 최고의 익스플로이트 창고임을 자부하는 너무도 유명한 사이트다.
http://www.nmap.org/
포트 스캐너는 이곳에서 찾도록 할것. 전부 무료다. 사용자 중에는 말없이 서버를 추가하는 사람도 있으므로 내부의 신뢰관계에 있는 호스트에서 네트워크를 스캔해 무엇이 실행되고 있는지를 알아보는 것이 필요하다. 외부의 신뢰하지 않는 호스트로부터 스캔해 크래커들이 나의 시스템에서 무엇을 보는지 알아보는 것도 필요하다.
http://www.nessus.org/
침입 스캐너를 찾는데는 그만인 사이트. 소스도 공개되어 있다. 클라이언트/서버 아키텍처로 유닉스와 윈도우즈용 모두 있다. 문제점 해결에 관한 보고서도 있다. DoS 테스트도 가능.
회사 모뎀을 스캐닝하는데 4가지 방법이 있다. 첫째, 컴퓨터에 모뎀이 있는지 직접 확인하는 것이다. 그러나 사용자는 외장 모뎀을 사용할수도 있다. 둘째, 전화선을 스캔해 모뎀을 찾는 것이다. 사용자 모뎀이 켜져있지 않거나 외장모뎀으로 부착되어있지 않을수도 있다. 셋째, 사용자들에게 com 포트를 사용하지 못하게 하는것. 유닉스에서는 /dev/ 의 퍼미션을 적당히 조절하면 된다. 마지막으로 전화선을 파이어월하는 것이다. 이 기능이 있는 유일한 파이어월은 TeleWall 이다.
http://www.hackers.co.za/archive/hacking/wardialers/
전화를 스캔하는 THC(The Hackers Choice) 같은 무료 wardialer 들이 있다. 이런 툴을 사용할때는 caller ID 기능을 끄는 것을 잊지말것.
http://www.securelogix.com/
이 사이트는 TeleWall 을 만든다. TeleWall은 전화 시스템의 파이어월이다. 이것을 PBX 앞에 둔다. 24개의 전화선에 사용 가능하고 원하는대로 많이 사용할수있다. 들어오고 나가는 전화를 근원지, 목적지, 시간 등 어떤 타입의 통화도 필터링할수 있다. 이 사이트는 또한 TeleSweep도 만든다.
http://www.securewave.com/
SecureNT는 com과 LPT 포트에 연결하는 것을 컨트롤할수 있게 해준다. 플로피 디스트나 CD-ROM 같은 분리 가능한 기록매체는 물론. 그리고 윈도우즈의 zip 드라이브도. 이것을 윈도우즈 9x , NT, 2000 을 잠그는데 사용할 수 있다.
출처 : 해커스랩
부팅시간
만일 크래커가 CD-Rom이나 플로피 디스크를 사용해 기계를 재부팅한는데 성공한다면 게임은 이미 끝난 것이라 보아도 좋다. 재부팅하고 나서 시스템의 내용을 마음대로 읽고 고치는 것이 가능하기 때문이다. 인터넷상에는 관리자 패스워드를 고치는 프로그램들이 있다. NTFS(NTFSDOS) 용 DOS 드라이버를 사용하면 파일 복사를 할수 있다. (이것은 리눅스 부팅 디스켓으로도 가능하다.) Remote Recover와 NT Recover 를 사용하면 죽은 NT 머신이나 타겟 머신을 부팅할수 있다. 일단 부팅하면 관리자 패스워드를 백업하거나 간단히 C:\Winnt\repair\sam._. 을 가로채 L0pht 크랙을 돌릴 수 있다. Locksmith를 사용해 관리자 패스워드를 다른것으로 대체, 시스템 부팅, 다른 슈퍼유저 어카운트 생성, 관리자 패스워드를 원래의 것으로 리셋, 그리고 나서 WinZapper를 사용해 자신의 자취를 지워버린다. BIOS를 체크해 부팅할 때 실행되는 기능을 제한하는 것은 모든 기계를 일일이 체크해야 한다는 수고를 필요로 하지만 이렇게 하면 많은 문제점을 방지할수 있다.
분리 가능한 기록매체와 커뮤니케이션 포트
CD-Rom이나 플로피 디스켓 같은 분리 가능한 기록매체 그리고 BIOS를 통한 커뮤니케이션 포트로의 접속을 제한하는 것은 바람직한 해결책이 되지 못한다. 일일이 기계를 재부팅 시키고 패스워드를 입력하고 설정을 고쳐야 한다. 시스템에 모뎀을 부착해 다이얼업으로 접속 가능하도록 설정하는 사용자도 있다. 이것은 집에서 일할때는 그만이지만 크래커가 들어올 수 있게 해주는 백도어를 제공하는 빌미를 제공한다. 포트를 통하면 외부로부터 CD 버너 공격을 할 수 있다. 회사 기밀이 외부로 유출되는 것을 막기 위해 직원의 컴퓨터 사용을 모니터링하는 회사들이 최근 들어 늘고 있다. 이 모니터링 시스템은 직윈이 이메일이나 ftp로 기가바이트의 파일을 보내는 것을 알아낼수는 있지만 CD를 집으로 가져가는 것까지는 알아내지 못한다.
윈도우즈에는 분리 가능한 기록 매체를 통해 접속하는 것을 막는 기능이 없다. 이 기능을 사용하려면 제 3의 상용 소프트웨어를 따로 구입해야 한다. SecureNT는 사용자나 그룹이 특정 분리가능한 기록매체나 특정 커뮤니케이션 포트에 접속하는 것을 제한시켜 주기 때문에 네트워크 중앙 통제실로 사용할 수있다. SecureNT에는 플로피 디스켓에 무엇이 복사되는지를 기록하는 로그옵션이 있고 복사를 특정한 디렉토리에 할 수 있게 설정할 수 있기 때문에 플로피 디스크로 데이타를 훔치는 것을 미연에 방지할 수 있게 해준다.
공격유형
윈도우즈 9x와 ME는 다른 OS에 비해 상대적으로 크래킹하기가 쉽다. 일단 코드를 타겟 머신에 실행시키면 그 다음은 무엇이든 할수 있기 때문이다. 윈도우즈 9x와 ME에는 사용자나 파일에 관한 보안 개념이 없다. 누구든 관리자 권한을 가질 수 있다. 윈도우즈 NT 설치시 디폴트로 설정되는 디렉토리(보통 C:\Winnt)와 파일 퍼미션은 누구에게나 허용되어 있으므로 누구든지 제어하는 것이 가능하다. System32 같은 아주 중요한 디렉토리도 마찬가지다. 그러므로 반드시 퍼미션을 조정해야 한다. 그러지 않으면 누구든 코드로 시스템 조작을 하는것이 가능하다. 마이크로소프트 오피스와 코렐 오피스 같은 많은 프로그램은 파일을 System32같은 디렉토리에 쓰게 설정되어있기 때문에 접속을 제한하는 등의 설정은 문제를 일으킬 소지가 다분하다.
크래커가 리모트 공격으로 코드를 실행시키는 방법은 다양하다. 그 중 가장 널리 쓰이는 방법이 이메일을 통해 코드를 보내는 것이다. 그동안 수없이도 이메일 바이러스에 관한 뉴스를 들어왔다. 아웃룩, 유도라, 넷스케이프같은 유명한 이메일 프로그램에는 수많은 취약점이 존재한다. 심지어 구버전은 유저 프롬프트 없이도 내용을 실행시키는 것이 가능하기 때문에 최신 버전을 사용하는 것이 중요하다. 바이러스 백신도 악성 코드 실행을 막는데 사용된다. 하지만 이것도 최신 바이러스나 소스 일부를 수정한 바이러스 앞에서는 무용지물이다. 바이러스 백신을 쉽게 통과할수 있기 때문이다. 바이러스 백신은 압축된 파일인 경우 압축을 풀고나서 검사를 한다. 그런데 바이러스 백신이 지원하지 않는 파일 포맷이 많다는데 문제가 있다. 최근 주목을 끌고 있는 프로그램중 NeoLite 가 있는데 이 NeoLite를 이용하면 바이너리를 압축해서 전송하는 것이 가능하다. 물론 바이러스도 사용할수 있다. 이것을 막으려면 Finjan의 SurfinShield 같은 소프트웨어를 사용하면 된다. SurfinShield는 다운로드한 파일이 무엇을 하는지 감시하므로 하드 드라이브를 포맷하는 등의 악성 코드 실행을 막는데 도움이 된다. 이 프로그램은 웹사이트에도 사용할 수 있어 웹사이트에 숨어있는 악성코드를 찾아낸다. 넷스케이프와 마이크로소프트 인터넷 익스플로러의 구버전은 자바와 자바 스크립트 실행에 있어 수많은 취약점을 가지고 있다.
크래킹에 사용되는 보안 프로그램도 있다. 그 한 예가 McAfee 바이러스 스캔 4.5다. 이 프로그램은 NT 를 부팅할때 바이러스 데이타를 스캔하도록 만들어졌는데, 개발자가 스캐닝의 실행 경로를 지정하는 것을 깜빡 한 모양이다. common.exe 라고 불리는 바이너리를 C:\Program Files 디렉토리에 저장하면 부팅할때마다 이 프로그램이 실행된다. 이 프로그램은 Local System 권한으로 실행되므로 어떤 것이든 할 수있다. SecureExe를 사용하면 이것을 막을수 있다. SecureExe를 실행하면 프로그램 이름과 전체 경로를 포함한 데이타베이스가 암호화되어 안전한 해쉬가 생성된다. (SHA1 사용) 그리고 나서 다이얼로그 박스를 통해 관리자에게 실행중인 문제의 트로이 프로그램에 관한 정보를 준다.
파일과 레지스터리 퍼미션
NT 파일과 레지스트리를 디폴트로 설정하는 경우 크래커는 쉽게 관리자 권한으로 침입해 시스템을 바꾸고 트로이를 심을 수 있다. 디폴트로 설정된 전체 사용자 퍼미션을 인증된 사용자 퍼미션으로 바꿀 수 있다. 하지만 로그인한 사용자가 파일을 고칠 수 있는 여지는 여전히 남아있기 때문에 인증된 사용자 퍼미션을 Read로 바꾸는 것이 중요하다. 하지만 C:\WINNT와 C:\Program Files 디렉토리에는 사용자 권한과 실행권한을 일일이 지정해 주어야 하는 파일과 디렉토리들이 많다. 사용자가 웹 브라우징을 원하는 경우 Cookies 디렉토리와 Temporary Internet Files 디렉토리는 쓰기 가능하게 고쳐야 한다. 크래커가 플로피 디스켓으로 시스템 부팅하기를 시도하거나 로컬이나 리모트 익스플로이트를 사용해 좀더 많은 것을 접근하려 한다는 것을 항시 염두에 두어야 한다. 레지스트리 퍼미션도 마찬가지다.
레지스트리 퍼미션을 바꿀 때 만일 바꿀 것이 많다면 regedit32를 사용한다면 퍼미션을 바꾸기 위해 모든 것을 일일이 클릭해야 하기 때문에 귀찮을 것이다. 이럴땐 RegDACL 프리버전을 다운받아 사용하는 것이 좋다. 모든 사용자에게 열린 권한을 인증된 사용자로 제한하는 것이 거의 모든 경우 가능하지만 항상 레지스트리를 백업부터 하는 것을 잊지 말도록 한다. NT에서 주의할 것은 SAM(Security Accounts Manager)이다. 디폴트 설정시 C:\WINNT\repair\sam 에 있는 SAM 데이타베이스의 카피는 모든 사용자에게 열려있다. 이것을 막으려면 퍼미션을 바꾸는 것도 좋지만 SAM에 강력한 암호를 거는 것이 좋다. syskey 프로그램을 실행시켜 Encryption Enabled를 선택하면 된다.
네트워크
NT가 제공하는 네트워크 서비스는 다양하다. 그 중 중요한 것이 파일과 프린트 서비스. IIS(본질적으로 WWW), Exchange, MS-SQL 이다. 먼저 파일과 프린트 공유와 인증 서비스를 살펴보자. 리모트 사용자가 서버 접속에 성공하면(예를 들어 137번 - 139번 포트) 그 사용자는 서버에 관한 거의 모든 정보를 알아낼 수 있다. CIS 같은 툴을 사용하면 모든 사용자와 그룹, 멤버쉽, 특정 어카운트의 패스워드가 가장 마지막으로 바뀐 것이 언제인지, 특정 어카운트가 몇 번이나 사용되었는지 등을 알아낼 수있다. 크래커는 무차별 대입법을 시도하는 방법으로 패스워드를 알아낸다. 로그인시 실패한 경우 이것을 고치도록 해놓지 않으면 알아내기 힘들다. NT에서는 기껏해야 맥시멈 글자수만 정할 수 있고 대문자나 숫자, 특별문자를 반드시 포함해야 한다는 등의 규정을 만들 수 없다. 크래커는 공유, 디스크 숫자와 구조, 설치된 서비스팩 등의 정보를 수집할 수 있다. 최근 랜덤 스캔한 NT 웹서버 일부를 예를 들어보자.
Group Information
Group Name : Domain Admins Users
Administrator
michael
poor
william2
Group Name : Domain Guests
Users
Guest
Group Name : Domain Users
Users
Administrator
LITTLEMAN$
IUSR_LITTLEMAN
IWAM_LITTLEMAN
michael
poor
scotty
william
michelle
john
SQLAgentCmdExec
william2
tempadmin
tempadmin2
tempadmin3
happyfry
추가적으로
WARNING - Null session can be established to \\10.3.0.10\IPC$
Share Name :C$
Share Type :Default Disk Share
Comment :Default share
Share Name :E$
Share Type :Default Disk Share
Comment :Default share
Share Name :F$
Share Type :Default Disk Share
Comment :Default share
Share Name :G$
Share Type :Default Disk Share
Comment :Default share
Share Name :H$
Share Type :Default Disk Share
Comment :Default share
Share Name :I$
Share Type :Default Disk Share
Comment :Default share
Share Name :littleman_net
Share Type :Disk
Comment :
CD-ROM 드라이브가 D:.임이 틀림없다. 다행히 그들은 파일공유를 열어두지 않았다. 만일 열어두었다면 다음과 같이 나타날 것이다.
Share Name :wwwroot
Share Type :Disk
Comment :
Share Name :data
Share Type :Disk
Comment :
Share Name :PWRCHUTE
Share Type :Disk
Comment :
Share Name :print$
Share Type :Disk
Comment :Printer Drivers
여기서 우리는 이 서버에 프린터가 있고 UPS(PC Powerchute software 를 사용하는 APC)라는 것을 알 수있다. 이메일로 트로이를 보내거나, 안전하지 못한 모뎀, 제대로 설정되지 않은 파이어월 등을 이용해 이 네트워크에 접속하는 경우 사용자나 디스크 공유 등, 네트워크의 전체 리스트를 구하는 것은 시간문제다. 135번포트에서(135번은 마이크로소프트의 RPC) 139번까지 아웃바운드와 인바운드 전부를 반드시 파이어월하도록 한다. 아웃바운드 접속이 허용되는 경우 크래커는 온갖 테크닉을 동원해 내부 위크스테이션의 인증을 받아내 유저네임과 패스워드를 알아내고야 말 것이다.
anonymous 접속도 막아야 한다. 다행히 이것은 어려운 일이 아니다. 간단히 HKEY_LOCAL_MACHINE 으로 가서 \System\CurrentControlSet\Control\Lsa 에서 RestrictAnonymous로 불리는 REG_DWORD를 생성하고 value를 1로 하면 된다. 하지만 IPC$ 공유를 사용하면 서버의 설정을 알아낼수 있다. IPC$ 공유를 막아놓으면 많은 것들이 네트워크에 로그하지 못하는 부작용이 생긴다. 웹서버와 로그하지 않는 기계의 IPC$ 공유만 제거하는 방법이 있다. 의심이 가는 기계는 net share IPC$ /delete 를 실행한다. .bat 파일에 삽입시켜 부팅할 때마다 실행하도록 하는 방법도 있다. 자동 관리 공유(C$ 나 D$ 같은)를 막으려면 HKEY_LOCAL_MACHINE 으로 가서 \System\CurrentControlSet\Services\LanmanServer\Parameters 에 NT 서버는 AutoShareServer, NT 워크스테이션은 AutoShareServer 라고 불리는 REG_DWORD 를 생성하고 value를 0으로 하면 된다.
IIS
IIS는 보안에 관한 한 최악이라는 오명의 역사를 갖고 있다. 지난해 발견된 유니코드 취약점은 서버에 임의의 코드를 실행하는 것이 가능하다는 것을 만천하에 공개했다. 크래커는 로컬 (최악의 경우 유저 어카운트로) 접속으로 관리자 권한을 얻어내기 위해 엄청난 트릭을 사용한다. 심지어 마이크로소프트의 웹서버조차 취약점으로 몇 번이나 당한 적이 있다. 몇몇 취약점은 몇달 전 패치되었다. IIS는 철저하게 소프트웨어를 업데이트하는 것이 중요하다. 그리고 나서 마이크로소프트 제품 보안 페이지를 체크해 IISLock.exe 를 다운받아 사용하고 IIS4와 IIS5의 보안 체크리스트를 수시로 읽고, 웹페이지의 #exec 기능을 꺼두어 웹페이지에 시스템 커맨드를 호출하는 코드를 삽입하지 못하게 한다. IIS 4.0 에서 asp 파일은 SYSTEM으로 어떤 커맨드이든 실행할수 있다는 버그가 발견되었다. 간단히
SCRIPT LANGUAGE="[large_buffer_of_2220_characters_or_more]" RUNAT="Server" /SCRIPT
를 삽입하면 된다. 이것은 zip 파일로도 나와있다.
MS-SQL
MS-SQL의 가장 큰 문제점은 디폴트로 된 sa 어카운트에 패스워드가 없다는 것이다. 이 sa 어카운트에는 많은 권한이 있다. 테이블을 만들고 없애고 고칠수가 있는 것은 물론 시스템 커맨드를 서버에 실행시켜 관리자 권한을 얻을 수도 있다. MS-SQL을 사용하는 서버들은 대부분 sa 패스워드가 없는것 같다. 크래커에게 좋은 기회를 제공해 준다. sa 패스워드를 만드는 방법은 아래 링크를 참조한다.
Exchange 서버
Exchange 서버 역시 많은 문제점을 안고 있다. 예를 들어 Exchange 는 받는 이메일을 이메일 주소(예: mud@hackerslab.org)로 구분하지 않고 도메인(예: hackerslab,org)로 구분한다. 따라서 받는 존재하지 않는 이메일 주소로 보내지는 메일도 받아들인다. 받은 메일은 48시간동안 전달을 시도하도록 디폴트 설정이 되어있기 때문에 존재하지 않는 사용자에게 보낸 이메일은 이틀동안이나 시스템의 원활한 소통을 방해한다. 예를 들어 수백 수천통의 이메일을 존재하지 않는 메일 주소로 보내면 심각한 문제가 발생한다. 이 이메일들을 제거하려면 서버를 중단하고 로그 파일을 분석해 매뉴얼로 모든 메세지를 제거해야 한다. 다른 옵션으로는 delivery-attempt 시간을 짧게 하는 방법을 택할수 있지만 이메일들이 도착해 시스템의 스페이스를 차지하는 것을 막아주지는 못한다. 한가지 해결책은 메일 게이트웨이를 Exchange 서버에 설정해 들어오는 이메일을 사용자나 도메인 네임으로 구별해 존재하지 않는 사용자 앞으로 가는 메일을 받지 않는 것이다. 이것은 Exchange 서버의 노출을 줄이고 크래커가 보안 취약점을 익스플로이트하는 것을 한층 어렵게 만들어줄 것이다.
트로이와 Cleanup
크래커는 일단 시스템에 들어오는데 성공하면 간단히 웹사이트을 도배하거나 데이타를 삭제하는 등의 일을 하게 된다. 관리자 입장에서는 당장은 창피스럽더라도 들어왔다는 흔적을 확실히 남겨주는 것이 몰래 흔적도 없이 나가는 것보다 고마울 것이다. 왜냐면 백도어 때문이다. 경험있는 크래커는 tini 를 제어하는 백오리피스 2000, 어셈블러로 만들어진 3k 같은 백도어를 심는다. 이런 백도어를 알려진 취약점이 존재하는 IIS 같은 서비스에 설치하는 것은 누워서 떡먹기다. 관리자를 더욱 난처하게 만드는 것은 크래커가 일단 관리자 모드로 들어오면 나갈 때 로그를 깨끗이 지울수 있는 WinZapper 같은 툴이다. 이 툴을 사용하면 이벤트 로그는 고쳐 지지만 이벤트 뷰어는 기계가 재부팅할때까지 작동하지 않는다. 그리고 시스템에는 dummy.dat 라는 파일이 남는데 이 파일에는 이벤트 로그의 오리지널 카피가 들어있다. 하지만 WinZapper의 새 버전은 이런 제한조차 없기 때문에 일단 크래커가 관리자 모드로 접속했다면 더이상 로그 파일에 의존해서는 안된다. 이것은 대부분 유닉스 시스템에서도 마찬가지다. 네트워크 스니퍼를 깔아 패스워드를 기웃거리는 크래커들이 많다. 이것을 막는 방법은 허브 대신 스위치를 사용하는 것이다. 하지만 이것도 완전하다고 볼수는 없다.
요약
마이크로소프트 제품들은 일반적으로 안전 대신 사용하기 쉽게 만드는 데에만 주력했다. 소프트웨어 판매에 있어서는 성공했지만 보안 면에서는 최하위하는 신화를 창조했다. 덕분에 마우스 클릭과 웹브라우저를 여는것 밖에 모르는 사람도(쉽게 말해 개나 소나) 크래킹을 할 수 있게 되었다. 최근에는 보안 취약점을 발견시 제품회사에 연락하는 대신 웹상에 공개하는 일이 다반사다. 크래커는 이것을 이용해 너무도 쉽게 크래킹을 한다. 크래커들이 날로 새로운 테크놀로지를 사용하는 동안 보안 이슈는 점점 심각해져만 가고 있다.
http://ntsecurity.nu/toolbox/ -- WinZapper, winfo, DelGuest, FakeGINA 등등
http://www.cerberus-infosec.co.uk/cis.shtml -- CIS (NTInfoScan), 훌륭한 NT scanner
http://www.bo2k.com/ - Back Orifice 2000
http://www.conclave.com/ntsafe/ -- NTSafe, Windows NT Configuration Auditor
http://www.securewave.com/html/products.html -- SecureNT 와 SecureEXE
http://www.somarsoft.com/ -- DumpSec, DumpEvt, DumpReg
http://www.winternals.com/products/index.shtml -- NTFSDOS, Locksmith 등등
http://www.l0pht.com/l0phtcrack/ -- L0pht Crack, 패스워드 크래커
http://www.heysoft.de/index.htm -- RegDACL
http://www.securityportal.com/research/exploits/microsoft/ -- 각종 마이크로소프트용 익스플로이트
http://www.microsoft.com/technet/security/prodtech.asp -- 마이크로소프트 보안 - 제품과 테크놀로지
http://msdn.microsoft.com/library/psdk/sql/1_server_4.htm -- MS-SQL에서 sa 패스워드 바꾸는 법
http://corporate.windowsupdate.microsoft.com/en/default.asp -- 윈도우즈 업데이트 및 다운로드
스크립트 키디들이 사용하는 이 모든 스크립트와 익스플로이트에 관한 정보는 어디에 가면 구할수 있을까? 인터넷상에는 이런 주제를 다루는 수많은 웹사이트가 있다. IRC에서 실시간으로 해킹툴에 관한 정보를 주고받을 수도 있다. 다음은 스크립트 키디들이 애용하는 사이트다.
http://www.antionline.com/
아주 유명한 사이트이다. 이 사이트에는 시스코, 윈도우즈, BSD, AIX 등을 비롯, 거의 모든 컴퓨터 네트워크에 사용 가능한 익스플로이트가 수백개나 실려 있다. 또한 수많은 네트워크 스캐너, 패스워드 제네레이터, 키로거를 비롯한 툴들이 있다.
http://www.rootshell.com/
이 사이트는 한때는 익스플로이트의 최고 권위를 자랑하는 사이트였지만 최근 몇 달 간 업데이트가 잘 되지 않는것 같다. 이 사이트에는 서치 엔진도 있다.
http://packetstorm.securify.com/
지난 몇년간 최고의 익스플로이트 창고임을 자부하는 너무도 유명한 사이트다.
http://www.nmap.org/
포트 스캐너는 이곳에서 찾도록 할것. 전부 무료다. 사용자 중에는 말없이 서버를 추가하는 사람도 있으므로 내부의 신뢰관계에 있는 호스트에서 네트워크를 스캔해 무엇이 실행되고 있는지를 알아보는 것이 필요하다. 외부의 신뢰하지 않는 호스트로부터 스캔해 크래커들이 나의 시스템에서 무엇을 보는지 알아보는 것도 필요하다.
http://www.nessus.org/
침입 스캐너를 찾는데는 그만인 사이트. 소스도 공개되어 있다. 클라이언트/서버 아키텍처로 유닉스와 윈도우즈용 모두 있다. 문제점 해결에 관한 보고서도 있다. DoS 테스트도 가능.
회사 모뎀을 스캐닝하는데 4가지 방법이 있다. 첫째, 컴퓨터에 모뎀이 있는지 직접 확인하는 것이다. 그러나 사용자는 외장 모뎀을 사용할수도 있다. 둘째, 전화선을 스캔해 모뎀을 찾는 것이다. 사용자 모뎀이 켜져있지 않거나 외장모뎀으로 부착되어있지 않을수도 있다. 셋째, 사용자들에게 com 포트를 사용하지 못하게 하는것. 유닉스에서는 /dev/ 의 퍼미션을 적당히 조절하면 된다. 마지막으로 전화선을 파이어월하는 것이다. 이 기능이 있는 유일한 파이어월은 TeleWall 이다.
http://www.hackers.co.za/archive/hacking/wardialers/
전화를 스캔하는 THC(The Hackers Choice) 같은 무료 wardialer 들이 있다. 이런 툴을 사용할때는 caller ID 기능을 끄는 것을 잊지말것.
http://www.securelogix.com/
이 사이트는 TeleWall 을 만든다. TeleWall은 전화 시스템의 파이어월이다. 이것을 PBX 앞에 둔다. 24개의 전화선에 사용 가능하고 원하는대로 많이 사용할수있다. 들어오고 나가는 전화를 근원지, 목적지, 시간 등 어떤 타입의 통화도 필터링할수 있다. 이 사이트는 또한 TeleSweep도 만든다.
http://www.securewave.com/
SecureNT는 com과 LPT 포트에 연결하는 것을 컨트롤할수 있게 해준다. 플로피 디스트나 CD-ROM 같은 분리 가능한 기록매체는 물론. 그리고 윈도우즈의 zip 드라이브도. 이것을 윈도우즈 9x , NT, 2000 을 잠그는데 사용할 수 있다.
출처 : 해커스랩