Security Study/System Security

์•…์„ฑ์ฝ”๋“œ ๋Œ€์‘

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2015. 9. 3.
728x90
๋ฐ˜์‘ํ˜•

๋„คํŠธ์›Œํฌ ์ƒํƒœ ์ ๊ฒ€ํ•˜๊ธฐ

์‹œ์Šคํ…œ์—์„œ๋Š” netstat์™€ ๊ฐ™์€ ๋ช…๋ น์œผ๋กœ ์—ด๋ ค ์žˆ๋Š” ํฌํŠธ๋ฅผ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Œ.



๋„คํŠธ์›Œํฌ ์ƒํƒœ ์ ๊ฒ€ํ•˜๊ธฐ

* ์•…์„ฑ์ฝ”๋“œ๊ฐ€ ์‚ฌ์šฉํ•˜๋Š” ํฌํŠธ๋ฅผ ํ™•์ธํ•˜๊ธฐ ์–ด๋ ค์šด ๊ฒฝ์šฐ CPorts์™€ ๊ฐ™์€ ํ”„๋กœ๊ทธ๋žจ์„ ์‚ฌ์šฉํ•˜์—ฌ ์„œ๋น„์Šค ํฌํŠธ๋ณ„๋กœ ์‚ฌ์šฉํ•˜๋Š” ์‘์šฉ ํ”„๋กœ๊ทธ๋žจ์„ ํ™•์ธํ•  ์ˆ˜ ์žˆ์Œ.

* BackDoor-DVR๋ฅผ ์‹คํ–‰ํ•œ ๋’ค CPorts์—์„œ ํ™œ์„ฑํ™”๋œ ๋„คํŠธ์›Œํฌ ํ•ญ๋ชฉ์„ ์‚ดํŽด๋ณด๋ฉด ํŠน์ดํ•œ ์—ฐ๊ฒฐ์ด ์กด์žฌ


์ •์ƒ์ ์ธ ํ”„๋กœ์„ธ์Šค์™€ ๋น„๊ตํ•˜๊ธฐ

* ์œˆ๋„์šฐ์™€ ์œ ๋‹‰์Šค ์‹œ์Šคํ…œ ๋“ฑ์˜ ์ •์ƒ์ ์ธ ํ”„๋กœ์„ธ์Šค๋ฅผ ์™ธ์›Œ๋‘๋ฉด ๋น„์ •์ƒ์ ์ธ ํ”„๋กœ์„ธ์Šค๋ฅผ ์‹๋ณ„ํ•˜๋Š” ๋ฐ ๋งŽ์€ ๋„์›€์ด ๋จ.

* ์œˆ๋„์šฐ ์‹œ์Šคํ…œ์ด ๋™์ž‘ํ•˜๊ธฐ ์œ„ํ•œ ๊ธฐ๋ณธ ํ”„๋กœ์„ธ์Šค

    - Csrss.exe(Client/Server Runtime SubSystem : Win 32) : ์œˆ๋„์šฐ ์ฝ˜์†”์„ ๊ด€์žฅํ•˜๊ณ , ์Šค๋ ˆ๋“œ๋ฅผ ์ƒ์„ฑยท์‚ญ์ œํ•˜๋ฉฐ 32๋น„ํŠธ ๊ฐ€์ƒ MS-DOS ๋ชจ๋“œ๋ฅผ ์ง€์›

    - Explorer.exe : ์ž‘์—…ํ‘œ์‹œ์ค„, ๋ฐ”ํƒ•ํ™”๋ฉด๊ณผ ๊ฐ™์€ ์‚ฌ์šฉ์ž ์…ธ์„ ์ง€์›

    - Lsass.exe(Local Security Authentication Server) : Winlogon ์„œ๋น„์Šค์— ํ•„์š”ํ•œ ์ธ์ฆ ํ”„๋กœ์„ธ์Šค๋ฅผ ๋‹ด๋‹น

    - Mstask.exe(Window Task Scheduler) : ์‹œ์Šคํ…œ์— ๋Œ€ํ•œ ๋ฐฑ์—…์ด๋‚˜ ์—…๋ฐ์ดํŠธ ๋“ฑ์— ๊ด€๋ จ๋œ ์ž‘์—…์˜ ์Šค์ผ€์ค„๋Ÿฌ

    - Smss.exe(Session Manager SubSystem) : ์‚ฌ์šฉ์ž ์„ธ์…˜์„ ์‹œ์ž‘ํ•˜๋Š” ๊ธฐ๋Šฅ์„ ๋‹ด๋‹น. ์ด ํ”„๋กœ์„ธ์Šค๋Š” Winlogon, Win32(Csrss.exe)์„ ๊ตฌ๋™์‹œํ‚ค๊ณ , ์‹œ์Šคํ…œ ๋ณ€์ˆ˜๋ฅผ ์„ค์ •. Smss๋Š” Winlogon์ด๋‚˜ Csrss๊ฐ€ ๋๋‚˜๊ธฐ๋ฅผ ๊ธฐ๋‹ค๋ ค ์ •์ƒ์ ์ธ Winlogon, Csrss ์ข…๋ฃŒ์‹œ ์‹œ์Šคํ…œ์„ ์ข…๋ฃŒ์‹œํ‚ด.

    - Spoolsv.exe(Printer Spooler Service) : ํ”„๋ฆฐํ„ฐ์™€ ํŒฉ์Šค์˜ ์Šคํ’€๋ง ๊ธฐ๋Šฅ์„ ๋‹ด๋‹น

    - Svchost.exe(Service Host Process) : DLL(Dynamic Link Libraries)์— ์˜ํ•ด ์‹คํ–‰๋˜๋Š” ํ”„๋กœ์„ธ์Šค์˜ ๊ธฐ๋ณธ ํ”„๋กœ์„ธ์Šค ํ•œ ์‹œ์Šคํ…œ์—์„œ ์—ฌ๋Ÿฌ ๊ฐœ์˜ svchost ํ”„๋กœ์„ธ์Šค๋ฅผ ๋ณผ ์ˆ˜ ์žˆ์Œ.


์ •์ƒ์ ์ธ ํ”„๋กœ์„ธ์Šค์™€ ๋น„๊ตํ•˜๊ธฐ

* ์›œ/๋ฐ”์ด๋Ÿฌ์Šค๋‚˜ ๋ฐฑ๋„์–ด๊ฐ€ ์ฃผ๋กœ ์‚ฌ์šฉํ•˜๋Š” ์„œ๋น„์Šค๋ช…์€ Csrss์™€ Svchost

     - Services.exe (Service Control Manager) : ์‹œ์Šคํ…œ ์„œ๋น„์Šค๋ฅผ ์‹œ์ž‘ยท์ •์ง€์‹œํ‚ค๊ณ , ๊ทธ๋“ค๊ฐ„์˜ ์ƒํ˜ธ ์ž‘์šฉํ•˜๋Š” ๊ธฐ๋Šฅ์„ ์ˆ˜ํ–‰

     - System : ๋Œ€๋ถ€๋ถ„์˜ ์ปค๋„ ๋ชจ๋“œ ์Šค๋ ˆ๋“œ์˜ ์‹œ์ž‘์ ์ด ๋˜๋Š” ํ”„๋กœ์„ธ์Šค

     - System Idle Process : ๊ฐ CPU๋งˆ๋‹ค ํ•˜๋‚˜์”ฉ ์‹คํ–‰๋˜๋Š” ์Šค๋ ˆ๋“œ๋กœ์„œ CPU์˜ ์ž”์—ฌ ํ”„๋กœ์„ธ์Šค ์ฒ˜๋ฆฌ๋Ÿ‰์„ %๋กœ ๋‚˜ํƒ€๋‚ธ ๊ฐ’

     - Taskmgr.exe(Task Manager) : ์ž‘์—… ๊ด€๋ฆฌ์ž ์ž์‹ 

     - Winlogon.exe(Windows Logon Process) : ์‚ฌ์šฉ์ž ๋กœ๊ทธ์ธ/๋กœ๊ทธ์˜คํ”„๋ฅผ ๋‹ด๋‹นํ•˜๋Š” ํ”„๋กœ์„ธ์Šค. ์œˆ๋„์šฐ์˜ ์‹œ์ž‘/์ข…๋ฃŒ์‹œ์— ํ™œ์„ฑํ™”๋˜๋ฉฐ Ctrl+Alt+Delete ํ‚ค๋ฅผ ๋ˆŒ๋ €์„ ๊ฒฝ์šฐ์—๋„ ํ™œ์„ฑํ™”๋จ.

     - Winmgmt.exe (Window Management Service) : ์žฅ์น˜์— ๋Œ€ํ•œ ๊ด€๋ฆฌ ๋ฐ ๊ณ„์ • ๊ด€๋ฆฌ, ๋„คํŠธ์›Œํฌ ๋“ฑ์˜ ๋™์ž‘์— ๊ด€๋ จํ•œ ์Šคํฌ๋ฆฝํŠธ๋ฅผ ์œ„ํ•œ ํ”„๋กœ์„ธ์Šค

     - msdtc.exe (Distributed Transaction Coordinator) : ์›น ์„œ๋ฒ„ ๋ฐ SQL ์„œ๋ฒ„ ๊ตฌ๋™ ์‹œ์— ๋‹ค๋ฅธ ์„œ๋ฒ„์™€์˜ ์—ฐ๋™์„ ์œ„ํ•œ ํ”„๋กœ์„ธ์Šค

     - ctfmon.exe (Alternative User Input Services) : ํ‚ค๋ณด๋“œ, ์Œ์„ฑ, ์†์œผ๋กœ ์ ์€ ๊ธ€ ๋“ฑ ์—ฌ๋Ÿฌ ๊ฐ€์ง€ ํ…์ŠคํŠธ ์ž…๋ ฅ์— ๋Œ€ํ•œ ์ฒ˜๋ฆฌ๋ฅผ ํ•  ์ˆ˜ ์žˆ๋„๋ก ์ง€์›ํ•˜๋Š” ํ”„๋กœ์„ธ์Šค

     - dfssvc.exe (Distributed File System (DFS)) : ๋ถ„์‚ฐ ํŒŒ์ผ ์‹œ์Šคํ…œ(Distributed File System (DFS))์— ๋Œ€ํ•œ ์ง€์›์„ ์œ„ํ•ด ๋ฐฑ๊ทธ๋ผ์šด๋“œ๋กœ ์‹คํ–‰๋˜๊ณ  ์žˆ๋Š” ํ”„๋กœ์„ธ์Šค


์•…์„ฑ์ฝ”๋“œ ํƒ์ง€ ๋ฐ ๋Œ€์‘์ฑ…


๋„คํŠธ์›Œํฌ ์ƒํƒœ ์ ๊ฒ€ํ•˜๊ธฐ

์ƒ๋‹น์ˆ˜์˜ ๋ฐฑ๋„์–ด๋Š” ์™ธ๋ถ€(ํ•ด์ปค, ์•…์„ฑ์ฝ”๋“œ ์ž‘์„ฑ์ž)์™€์˜ ํ†ต์‹ ์„ ์œ„ํ•ด ์„œ๋น„์Šค ํฌํŠธ๋ฅผ ์ƒ์„ฑ


[์ถœ์ฒ˜] ์•…์„ฑ์ฝ”๋“œ ๋Œ€์‘|์ž‘์„ฑ์ž Zealous


728x90
๋ฐ˜์‘ํ˜•

'Security Study > System Security' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

๋ฐ”์ด๋Ÿฌ์Šค ์ข…๋ฅ˜  (0) 2015.09.03
๋ฐ”์ด๋Ÿฌ์Šค์˜ ์ •์˜  (0) 2015.09.03
์›œ์ด๋ž€?  (0) 2015.09.03
๋„คํŠธ์›Œํฌ ์ƒํƒœ ์ ๊ฒ€  (0) 2015.09.03
hash?  (0) 2015.09.03

๋Œ“๊ธ€