간단한 양식으로 분석한 자료 입니다. 공식적인 것은 아닙니다~
|
해킹사고 증거 분석서
김정혁
| ||||||||||||||||||
|
Title: 해킹사고 증거 분석서 | ||||||||||||||||||
|
분석번호: DGU20130503 |
분석일자: 2013.05.03 |
분석자: 김정혁 | ||||||||||||||||
|
1. 요약 본 사건은 2013년 4월 30일 OO대학교 웹 서비스가 정상적으로 동작하지 않아 재학생과 교직원들에 게 피해를 입힌 사건으로, 4월 30일 09:00부터 09:30까지 지속 되었던 웹 서비스 다운에 대한 분석임
1.1 분석정보
1.2 분석결과 해커는 시스템 해킹으로 정상적으로 구동하고 있던 IIS(inetinfo.exe)프로세스를 netcat으로 추 정 되는 같은 이름으로 위장한 프로그램(inetinfo.exe)을 실행시켜 80포트를 강제로 점유하여 웹 서비스를 정상동작 하지 않게 만듬
2. 상세분석 2.1 웹 서비스 확인 <그림1 - 피해 시스템의 웹 서비스 상태>
- 네트워크 격리된 피해시스템의 확인결과 기존의 웹 서비스 포트인 80포트는 오픈되어 있었 으나 페이지가 정상적으로 열리지 않는 것을 확인
<그림2 - telnet으로 포트 오픈 확인>
- 80포트가 열린 것은 확인 하였으나, telnet을 통해 정상접속이 되지 않아 포트오픈이 정상적 이지 않음을 확인
2.2 오픈된 포트와 프로세스 확인 <그림3 – netstat 실행화면>
- 80포트 LISTEN, 실행 PID 816번 확인
<그림4 – fport 실행화면>
- inetinfo.exe 이름을 가진 프로세스가 서로 다른 경로에서 다른 PID로 포트를 오픈한 것을 확인 - 실제 IIS에서 사용하는 프로세스인 system32\inetsrv\inetinfo.exe는 PID 736으로 IIS에서 사용하는 21(FTP), 25(SMTP)포트를 오픈하고 있으나 웹 서비스를 하는 80포트는 다른 프로 세스에 의해 오픈 - 정상적이지 않은 프로그램으로 추정되는 system32\inetinfo.exe가 현재 PID 816으로 80포 트를 오픈 - inetinfo.exe와 같은 이름으로 위장한 프로그램에 의해 80포트가 무단으로 점유된 것을 볼 수 있음
2.3 inetinfo.exe 프로세스 확인 <그림5 - tlist를 이용한 프로세스 실행 커맨드 확인>
- 정상적인 IIS경로에서 실행되는 PID 736 inetinfo.exe와 netcat으로 추정되는 inetinfo.exe가 실행된 PID 816을 확인 - PID 816 inetinfo.exe는 특정한 명령어들을 조합하여 80포트를 열고 있음, 실행되는 커맨드로 보면 Netcat 명령어와 동일하며, 백도어 쉘의 기능을 하는 것으로 보임
3. 결론 본 사건은 의도적으로 OO대학교 메인 홈페이지를 노린 사건으로 교묘하게 정상파일인 inetinfo.exe 와 같은 파일로 위장하여 웹 서비를 마비 시켰다. 이는 수강신청 기간에 일어난 사건으로 정상적인 수강신청을 방해 목적으로 파악된다. 현재 더욱 상세한 침투경로와 inetinfo.exe에 대한 분석은 김정 혁씨가 계속 분석 중이다. | ||||||||||||||||||
'시스템/웹/포렌식 보안 > 포렌식' 카테고리의 다른 글
| 네트워크 침해사고 분석 가이드 (1) | 2013.09.10 |
|---|---|
| 파일 시그니처 (0) | 2013.07.23 |
| Forensic USB 흔적조사(Win7) (0) | 2013.07.23 |
| Forensic USB 흔적조사(XP) (0) | 2013.07.23 |
