백도어

백도어 종류

트로이 목마

• 정상 프로그램 + 비정상 코드
• 정상 동작으로 속인 해킹 프로그램

스파이웨어

• 설치된 시스템 정보-> 전송-> 원격지 특정 서버

백도어 원래 의미

• 인증 과정 없이 OS, 프로그램에 접근할 수 있도록 만든 통로
• 프로그램 개발자, 관리자 사용 목적

백도어 현재 의미

• 해커가 시스템에 쉽게 접근하기 위한 비밀 통로

로컬 백도어

• 일반 계정을 통해 시스템 접근
• 관리자 권한 상승, 취약점 공격

원격 백도어

• 원격에서 관리자 계정 획득
• 네트워크 포트: 백도어 타깃
• 원격 접근으로 관리자 권한 취득

패스워드 크래킹 백도어

• 인증을 회피하기보다는 인증에 필요한 패스워드를 원격에 있는 공격자아게 보내주는 역할
• 사용자의 키보드 정보 전송

시스템 설정 변경 백도어

• 데몬을 이용, 시스템 설정 변경
• 자동, 주기적 백도어 생성 설정
• cron(유닉스 프로그램 스케줄러)

트로이 목마형 백도어

• 백도어 프로그램 작동 + 해킹 작동
• 정상적 프로그램 작동, 프로그램 사용정보 전송

거짓 업그레이드 백도어

• 시스템 패치, 업그레이드-> 백도어 설치

백도어 대응책

• 현재 동작 중인 프로세스 확인
• 동작 프로세스 프로파일링
• 정상 프로세스 목록화
• 열린 포트 확인(일부 백도어-> 프로세스 목록 숨김)
• 포트 정보 목록화 및 구별
• netstat -an
• 바이러스 및 백도어 탐지 툴 이용
• 무결성 검사 -MD5 해시 기법
  ( 정상적 파일 해시 값 저장 > 주기적 해시 값 생성 > 정상 값과의 비교, 백도어 설치 파악)