침해사고분석 - 0x3 피해시스템 분석 최종정리

최종정리

□ 피해 시스템 상세 분석

1. FTP 로그 분석 결과

   • 공격자는 2011년 4월 28일 21:23:09에 FTP 계정(admin)을 사용하여 최초 웹쉘(member....) 업로드 한것으로 확인
   • ftp 업로드 로그 첨부
   • 공격자가 업로드한 웹쉘 실행화면 및 웹쉘 정보

2. 웹쉘에 접속한 웹로그 분석 결과

   • 공격자는 2011년 4월 28일 21:23:38에 웹쉘에 최초 접속
   • 공격자 IP :
   • 공격자가 웹셀에 접속한 웹로그 첨부

3. root 권한을 획득하기 위해 업로드한 exploit 업로드 로그 분석 결과

   • 공격자는 2011년 4월 28일 22:11:38에 .exp1 및 동년 동월 동일 22:11:52에 .exp2를 웹쉘을 사용하여 /tmp/.../ 디렉터리에 업로드
   • exp1, exp2를 업로드하기 위해 웹쉘을 사용한 웹로그 첨부
   • exp1, exp2 정보 화면 첨부(stat exp1, stat exp2)

4. .exp1, .exp2 분석 결과

   • 해당 2개 파일은 root 권한으로 상승 가능한 취약점을 공격하는 Exploit으로 공격자는 해당 Exploit을 사용하여 root 권한 획득한것으로 확인
   • exp1, exp2 실행 테스트 결과 화면 첨부

5. /etc/passwd 분석을 통한 사용자 계정 분석 결과

   • /etc/passwd 분석 결과 공격자는 root 권한을 사용하여 2011년 4월 28일 22:14:28에 fuckroot라는 계정 추가
   • /etc/passwd 파일 및 /var/secure* 로그 첨부

6. /etc/crontab 분석을 통한 공격자 생성 백도어 분석 결과

   • 공격자는 2011년 4월 28일 22:32:36 crontab 백도어 생성
   • crontab 백도어를 생성하기 위해 passwdl 및 shadowl을 각각 생성
   • /etc/crontab 백도어 코드를 첨부
   • crontab 상태 정보 및 passwdl, shadowsl 상태정보 첨부
   • passwdl, shadowl 파일 첨부

7. 프로세스와 네트워크 상태 분석을 통한 공격자 생성 백도어 분석 결과

   • 공격자는 2011년 4월 28일 23:10:22 SSH 프로토콜을 사용하는 백도어 생성 하였고 해당 백도어는 31337 포트를 사용하며, 숨겨져 있는 상태의 프로세스로 실행
   • 백도어 실행 파일 경로 : /sbin/ttyload
   • lsof -i, ssh로 31337 포트 접속화면 첨부
   • ps 명령어로 숨김 상태 첨부, ttyload 파일 상태정보 첨부

8. 기타 공격자 행위 분석 결과

   • 기타 숨김상태의 프로세스 분석 결과
   • 현재 실행중인 프로세스와 /proc 디렉터리 비교 분석 결과
   • rootkit 감염 점검 결과 및 분석 결과