====History===
1. 관리자는 관리자가 아니다(권한상승 공격을 통해 관리자가 되어야 한다)
2. 국가(노-쓰코리아)표준 알고리즘은 “필승” 이라 한다
3. 파일 이동시 뭔가 붙어서 바뀐다
==== Question ===
1. 시스템 감시 프로세스? 붉은별만의 프로세스를 찾아보자
==== 들어가기 전에 ===
1. 정답을 알고 분석하는 것이 아닙니다(실패 및 삽질 가능성이 높다는 이야기 ㅋ)
2. 하면서 알게된 사실들로 다음편이 만들어질수 있습니다(네트워킹부분&암호화등등…여러 꼭지와 자료들이 보이네요)
3. 궁금하신 사항 주시면 참고 하겠습니다
Step – 0
=설계
1. 붉은별 3.0 커널과 같은 버전의 “정상적” OS를 찾아서 비교한다.
2. CentOS 6와 붉은별에 root로 로그인한 상태에서 다양한 명령어로 현제 실행중인 Process 를 조사해 붉은별만의 Process를 조사한다
3. 환경 구성은 다음과 같이 한다
=붉은별과 CentOS 모두 다른 패키지가 설치되어 있지 않은 클린상태 이기 때문에 데이터 비교작업을 하기 위한 환경(Notepad ++사용)이 안되어 있기 때문에 각각 환경에서 데이터를 수집해 txt로 뽑아 가상화 win10에서 비교한다
Step – 1
=붉은별 (위 Version 2.6.38) Cent OS 6(아래 Version 2.6.32)=비정상 OS와 정상 OS의 버전을 비교해 봅니다(완전히 같은 버전을 찾고 싶었는데..혹시 아시는분 계시면 말씀해주세요..)
=다양한 명령어를 통해 프로세스 및 통신 부분 상태를 확인한다
1. ps 계열 명령어(cpu,메모리 사용량과 process출력, 백그라운드 데몬 필터 추가해서)2. ls -l /proc/*/exe | sort -k 11 (실행파일의 실체 위치 확인)3. netstat 계열 명령어(네트워크 사용 프로세스 확인)4. ss 계열 명령어(netstat 과 비슷하나 더 정확함)
=비슷한 커널버전 이기에 다른부분을 찾아 남기면 조사할 Process가 남는다
1. ps 계열 명령어
1. ps 계열 명령어
(ps aux ,ps-eo pid,ppid,user,stime,cmd –sort =pid , ps aux | grep -v tty | grep -v pts)
root 1295 5.4 0.2 43076 7868 ? Ssl 01:46 5:27 /usr/bin/opprcroot 1564 0.0 0.1 31272 4784 ? Sl 01:46 0:00 /usr/sbin/intcheck --daemonroot 2832 0.0 0.2 43368 9112 ? Sl 02:10 0:00 intcheck_kderoot 2084 0.0 0.1 23744 6448 ? S 01:46 0:00 /usr/sbin/chkutildroot 1717 0.0 0.0 6432 1432 ? Ss 01:46 0:02 /usr/sbin/securitydroot 2097 0.0 0.4 67960 14892 ? Ss 01:46 0:00 /usr/sbin/httpdroot 2145 0.0 0.0 6372 1524 ? S 01:46 0:00 /usr/bin/duidroot 1295 5.5 0.2 43076 7868 ? Ssl 01:46 4:40 /usr/bin/opprcroot 1564 0.0 0.1 31272 4784 ? Sl 01:46 0:00 /usr/sbin/intcheck --daemonroot 2832 0.0 0.2 43368 9112 ? Sl 02:10 0:00 intcheck_kderoot 1717 0.0 0.0 6304 1304 ? Ss 01:46 0:02 /usr/sbin/securitydroot 2084 0.0 0.1 23744 6448 ? S 01:46 0:00 /usr/sbin/chkutildroot 2853 0.0 0.4 50860 15080 ? S 02:10 0:00 chkutil_clientroot 2673 0.1 0.6 64528 23824 ? Sl 02:10 0:06 scnprcroot 2699 0.0 0.6 63340 21976 ? S 02:10 0:00 rsdockroot 2812 0.0 0.2 50828 10536 ? S 02:10 0:00 esavermanagerroot 2088 0.0 0.2 32008 8352 ? S 01:46 0:00 logout_processroot 2733 0.0 0.3 38460 14360 ? S 02:10 0:00 /Applications/APM_Manager.app/Contents/RedStar/apm_managerroot 2798 0.0 0.4 51652 17292 ? S 02:10 0:00 rssidebardaemon
1295 1 root 01:46 /usr/bin/opprc1564 1 root 01:46 /usr/sbin/intcheck --daemon2673 2646 root 02:10 scnprc2832 1 root 02:10 intcheck_kde2853 2646 root 02:10 chkutil_client2812 1 root 02:10 esavermanager2699 1 root 02:10 rsdock2798 2646 root 02:10 rssidebardaemon
2. ls 계열 명령어(ls -l /proc/*exe | sort -k 11)
lrwxrwxrwx. 1 root admin 0 2025-11-18 01:46 /proc/1295/exe -> /usr/bin/opprclrwxrwxrwx. 1 root admin 0 2025-11-18 01:46 /proc/1564/exe -> /usr/sbin/intchecklrwxrwxrwx. 1 root admin 0 2025-11-18 01:46 /proc/2084/exe -> /usr/sbin/chkutildlrwxrwxrwx. 1 root admin 0 2025-11-18 01:46 /proc/2088/exe -> /usr/bin/logout_processlrwxrwxrwx. 1 root admin 0 2025-11-18 01:46 /proc/2145/exe -> /usr/bin/duidlrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/1/exe -> /sbin/initlrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/10/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/11/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/12/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/13/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/14/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/15/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/16/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/17/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/18/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/19/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/2/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/21/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/22/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/23/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/24/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/25/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/26/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/3/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/32/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/34/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/345/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/35/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/36/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/38/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/39/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/41/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/5/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/6/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/7/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/8/exelrwxrwxrwx. 1 root admin 0 2025-11-18 10:46 /proc/9/exe== proc/*/exe 는 숨겨지거나 악의적 process등이 이렇게 나오는 것으로 압니다
3. Netstat 계열 명령어(netstat-antup)
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 2136/perludp 0 0 127.0.0.1:51111 0.0.0.0:* 2084/chkutildudp 0 0 0.0.0.0:44175 0.0.0.0:* 2853/chkutil_clienttcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 1743/snmpd
4. ss계열 명령어(ss -antup)
udp UNCONN 0 0 *:44175 *:* users:(("chkutil_client",2853,9))udp UNCONN 0 0 127.0.0.1:51111 *:* users:(("chkutild",2084,4))udp UNCONN 0 0 *:10000 *:* users:(("miniserv.pl",2136,6))tcp LISTEN 0 128 *:199 *:* users:(("snmpd",1743,7))udp UNCONN 0 0 *:161 *:* users:(("snmpd",1743,9))
Step – 3
=step 2 결과 정리
=대상 Process1. /usr/bin/opprc2. /usr/sbin/intcheck3. /usr/sbin/security4. /usr/sbin/chkutild5. chkutil_client6. scnprc7. rsdock8. esavermanager9. logout_process10. rssidebardaemon
=대상 Network 부분1. udp (("chkutil_client",2853,9))2. udp (("chkutild",2084,4))3. udp (("miniserv.pl",2136,6))
==== conclusion ===
1. 붉은별만의 process가 있다2. 네트워크 부분도 믿을수 없었다
==== Next time ===
1. 조사된 프로세스 하나씩 뜯어보기2. 필승 암호화도 재밋는거 찾았다3. 네트워크 부분 뜯어보는 설계를 해보자..
(이미 해본 삽질로 한 개 에피소드 만들수 있는데..(세이브 원고…)
댓글 없음:
댓글 쓰기