백 도어(Back Door) - 3

백 도어(Back Door) 종류

 

루트킷(rootkit)

백도어를 설치하는 가장 인기 있는 패키지 중 하나입니다. 루트킷(rootkit)에 소개된 전형적인 백도어용 프로그램은 다음과 같습니다.

1) z2 : utmp, wtmp, lostlog로부터 특정 엔트리를 제거한다.

2) Es : sun4 기반 커널들의 이더넷 스니퍼

3) Fix : 체크섬 값을 가장하는 도구

4) Sl : 매직 패스워드를 통하여 관리자로 로그인하는 도구

 

 

네트워크 트래픽 백도어(network traffic backdoors)

침입자들은 시스템에서 자신들의 흔적을 숨기려고 할 뿐 아니라 가능하면 자신들의 네트워크 트래픽까지 숨기기를 원합니다. 이러한 네트워크 트래픽 백도어들은 간혹 침입 차단시스템(firewall)을 거쳐서 침입할 수 있는 것도 존재합니다. 많은 네트워크 백도어들은 일반적으로 사용하지 않는 네트워크 포트를 사용해 시스템에 침입하므로 관리자들이 침입자의트래픽을 간과하기 쉽습니다.

 

 

TCP 셸 백도어

침입자는 침입 차단시스템이 막지 않는 높은 TCP 포트에 TCP 셸 백도어들을 설치할 수 있습니다. 관리자들은 넷스탯(netstat)를 통해 어느 포트들이 연결을 기다리고 있고, 어느 포트가 연결되어 있는지 점검할 수 있습니다. 이러한 백도어들은SMTP 포트 상에서 구동될 수도 있어, 이메일을 허용하는 침입 차단 시스템을 통과할 수 있습니다.

 

 

UDP 셸 백도어

관리자들이 TCP 연결에 대해서는 관리를 잘하고 이상한 행위를 감지하기 쉽지만, UDP 셸 백도어는 유닉스 시스템에 접속한 상태를 넷스탯 등으로 감지하기 쉽지 않습니다. 침입 차단시스템에서 DNS 서비스 등을 위해 UDP 패킷들을 허락하도록설정되어 있어 침입자는 UDP 백도어를 설치하여 침입 차단시스템을 무사히 통과할 수 있습니다.

 

 

ICMP 셸 백도어

핑(Ping)은 ICMP 패킷을 보내고 받음으로써 시스템이 살아있는지 확인하는 가장 일반적인 방법입니다. 많은 침입 차단시스템들이 외부로부터 내부 시스템에 대한 핑을 허락하는데, 침입자는 핑 ICMP 패킷에 데이터를 추가하여 핑을 하는시스템과 셸을 받을 수 있도록 합니다. 시스템관리자는 다량의 핑 패킷을 발견하겠지만 패킷 속의 데이터를 보지 않는 이상 침입 사실을 알 수가 없습니다.

 

 

암호화된 링크

관리자가 스니퍼를 설치하여 셸에 접근하려는 사람을 찾으려고 할 수 있습니다. 하지만 침입자는 네트워크 트래픽 백도어를 암호화하여 실제 두 시스템 간에 어떤 데이터가 전송되고 있는지를 숨깁니다.

 

 

윈도우 NT(windows NT)

윈도우 NT는 유닉스 시스템처럼 단일 시스템에 다수 사용자를 접속하도록 허락하지 않습니다. 이는 침입자가 윈도우NT 시스템에 침입하여 백도어를 설치하고 시스템을 공격하는 것을 어렵게 합니다. 그러나 다수 사용자 기술이 발달함에따라윈도우 NT 시스템에 대한 공격사례가 늘어나고 있습니다. 윈도우 NT를 위한 텔넷 데몬이 이미 나와있고, 네트워크트래픽 백도어를 윈도우 NT 시스템에 설치하기가 쉬워졌습니다.