백 도어 (Back Door) - 1

백 도어 (Back Door)이란?

트랩도어(Trap Door)라고도 불리는 백도어는 원래 시스템 관리자나 개발자가 유사시 트러블슈팅이나 유지보수 등을 할 관리적 목적으로 필요에 의해 시스템에 고의로 남겨 둔 보안 헛점의 일종입니다. 그러나 이것이 순수한 목적으로 이용되지 않고 악의적으로 이용되는 경우 보안상 치명적인 문제를 일으킬 수 있습니다. 특히 정상적인 로그인 절차를 거치지 않고 트로이목마를 침투시켜 백도어로 이용하는 경우, 시스템 침입 사실 은폐는 물론이고 재침입을 위한 백도어 설치 등이 가능하기 때문에 매우 위험합니다. 

 

 

백도어의 주요 특징은 다음과 같습니다. 1) 시스템 관리자의 보안 관리를 우회하여 동작하기 때문에 관리자가 수시 패스워드 갱신 등 아무리 안전한 관리를 하더라도 언제든지 시스템에 침입할 수 있습니다. 2) 대부분의 백도어 프로그램은 로그(흔적)를 남기지 않고 침입합니다(wtmp, utmp, lastlog 등). 3) 시스템 침입시간이 짧습니다. 

 

 

대표적인 백도어의 종류는 다음과 같습니다. 패스워드 크랙킹 백도어 / Rhosts++ 백도어/ 체크섬(Checksum) 백도어 / 타임스탬프(Timestamp) 백도어 / 로긴(Login) 백도어 / Telnetd 백도어 / Services 백도어 / Cronjob 백도어 / Library 백도어 / Kernel 백도어 / 파일 시스템(File system) 백도어 / 부트 블럭(Bootblock) 백도어 / 프로세스 은닉 백도어 / 루트킷(Rootkit) / 네트워크 트래픽(Network traffic) 백도어 / TCP 쉘(TCP Shell) 백도어 / UDP 쉘(UDP Shell) 백도어 / ICMP 쉘(ICMP Shell) 백도어 / 암호화 링크(Encrypted Link)

 

 

패스워드 크래킹 백도어(password cracking backdoors)

유닉스 시스템에 접속하기 위한 최초이며 고전적인 침입 방법으로 백도어들은 패스워드 크래커를 실행하여 취약한 패스워드를 가진 계정을 알아냅니다. 이러한 계정들은 시스템에 침입하기 위한 백도어의 가능성을 내재하고 있습니다. 침입자들은 취약한 패스워드를 가진 계정들 중 사용하지 않는 계정을 탐색하여 그 패스워드를 어려운 계정으로 바꿔버립니다. 시스템 관리자가 유추 가능한 취약한 패스워드를 찾아 사용을 금지하려 해도 이미 계정을 찾을 수 없는 상태가 됩니다.

 

 

Rhost++ 백도어

네트워크에 연결된 유닉스 시스템에서 사용의 편리성을 위해 rsh, rlogin 등의 서비스를 많이 사용합니다. 이 명령어들은 호스트 이름에 의해 인증이 이루어지고 추가적인 패스워드를 묻지 않는 보안 취약성을 내재하는데, 이를 이용해 침입자는 어떤사람의 rhosts 파일에 '++'을 넣어 어떤 호스트의 어떤 사용자라도 해당 사용자로 패스워드 없이 들어올 수 있도록 합니다. 많은 침입자가 NFS가 홈디렉터리를 모든 호스트에 내보내고 있으면 이 방법을 많이 사용합니다. 이 계정들은 시스템에 침입할 수 있는 백도어가 됩니다. 시스템 관리자가 rhosts 파일에서 '++'를 검사할 수 있으므로, 침입자는 여기에 자신이 해킹한 다른 계정을 등록함으로써 발견 가능성을 줄입니다.

 

 

체크섬과 타임스팸프 백도어(checksum and timestamp backdoors)

침입자들이 실행 파일을 자신의 트로이목마 버전으로 교체시키는 경우가 있습니다. 많은 시스템 관리자들은 타임스탬프와 유닉스의 섬(sum) 프로그램 등과 같은 체크섬 값에 의해 실행 파일의 변경 유무를 진단합니다. 하지만 침입자들의 기술도 발달하여 트로이목마 프로그램의 타임스탬프를 원래 파일의 타임스탬프 값으로 생성시킬 수 있고, CRC 체크섬 값도 원래의 체크섬 값으로 가장할 수 있습니다. MD5 체크섬은 이러한 임의적인 가장이 불가능하므로 무결성을 위한 도구로 권고합니다.

 

 

로그인 백도어(login backdoors)

유닉스 시스템에서 로그인 프로그램은 사용자가 텔넷을 통해 시스템에 접속할 경우 패스워드 인증을 수행합니다. 침입자들은 login.c 프로그램을 수정하여 특정한 백도어 패스워드가 입력될 경우 관리자가 어떤 패스워드를 설정하든 상관없이 로그인을 허용하고, utmp나 wtmp와 같은 로그 파일에 기록도 하지 않아서 침입자는 침입한 흔적을 남기지 않고 시스템에 로그인하여 셸을 획득할 수 있습니다. 시스템 관리자는 strings라는 명령어를 사용하여 로그인 실행 프로그램에 백도어 패스워드의 유무를 점검하기도 하지만, 침입자들은 백도어 패스워드를 암호화하여 저장함으로써 이러한 명령어에 의한 발견을 피할 수 있다. 가장 좋은 방법은 MD5 체크섬을 이용하여 이러한 백도어들을 탐지해내는 것입니다.