[논문]커널 백도어 공격 탐지 및 복구시스템 설계에 관한 연구

전완근; 오임걸

문제 정의

변조한다. 따라서 본 논문에서는 리눅스 시스템에서 바이너리 파일을 가지고 있는 /bin, /sbin, /usr/bin, /usr/sbin 디렉터리 아래의 바이너리 파일의 무결성을 검사한다. 바이너리 파일 무결성 검사모듈에서는 MD5 해쉬값과 파일의 stat 구조체 값을 유지함으로써 변조 여부를 검사한다.
본 논문에서 제안된 방법은 삭제된 로그 파일을 복원하고 복원된 파일과 하드디스크의 이미지를 분석하여 해커의 위치를 찾을 수 있도록 하고 탐지시스템을 두어 커널 백도어가 탐지되는 즉시 해킹 피해를 입은 리눅스 시스템에서 증거 손실을 최소화하고 안전하고 신뢰할 수 있는 증거 보존, 그리고 신속하게 대응하도록 함으로써 시스템 피해를 최소화하여 시스템 관리자 또는 관련 수사기관들에게 많은 도움을 주고자 하였다.
원천에서 얻을 수 있다. 본 논문에서는 시스템 커널에서 변조되지 않은 프로세스와 네트워크 정보를 추출하기 위해 LKM을 이용하여 각각 구현하였다.
커널에서 직접 원천적인 데이터를 추출하는 방법을 사용하여 변조되지 않은 정보를 수집함으로서 침입자가 피해시스템에 설치한 루트킷(root kit) 과 같은 악성 프로그램과 프로그래밍에 의해 변조된 정보를 가져오게 될 가능성을 줄이도록 하였다.

제안 방법

1차 백업과정에서는 침입자 추적을 빠르게 하기위해 커널 백도어 공격 탐지시점 당시의 커널 레벨 및 응용프로그램상의 현재 운영 중인 프로세스및 네트워크 연결 정보 등을 수집하도록 하였다. 이렇게 수집된 프로세스 정보와 네트워크연결 정보 등 공격 IP 등을 확인할 수 있는 자료를 추출하여 분석시스템으로 보내져 IP 조회를 통하여 침입자 추적을 할 수 있도록 한다.
1차 정보수집과 유형별 대응이 끝난 다음은 2차하드 이미징 파일을 분석자가 지정한 안전한 백업서버로 옮겨진 후 해쉬값을 부여하여 무결성을 확보하도록 하였다. 분석시스템으로 옮겨진 후 피해시스템의 이미지를 이용하여 삭제된 파일을 복구하고 침입자에 의하여 의도적으로 숨겨진 정보를 검색하는 모듈을 실행할 수 있다.
1차 정보수집이 끝난 다음은 대응모듈이 동작하도록 하여 피해시스템에 커널 백도어의 공격으로부터 입은 피해여부에 따라 허가되지 않은 모듈실행중지 및 제거, 변경된 시스템 콜 테이블 원상복원, 변경된 모듈 리스트 복원, 변경된 프로토콜핸들러 원상복원 등의 기능을 수행하도록 하였다.
1차 증거분석과정에서는 커널로부터 추출한 네트워크 및 프로세스 정보와 응용 계층에서 추출한 결과를 비교함으로서 루트킷 탐지, 백도어 탐지, 이상 프로세스 탐지 등의 다양한 정보를 수집하고 최종적으로 침입자의 IP 주소를 알아내어 Whois DB를 이용하여 위치를 찾아내는 기능을 하도록 구현하였다.
있었다. 2차 증거자료 분석에는 1차 분석단계에서 추출한 IP 주소에 대한 침입시간대를 로그분석을 통하여 추가적으로 확인한 후 시스템 침입하기 전이나 후에 일어난 공격행위, 침입방법, 취약점, 공격 툴 등을 구체적인 증거자료를 찾도록 구현하였다.
MD5 도구를 이용하여 증거물 획득 및 획득이후의 해쉬값의 동일성여부를 체크한다.
공격 툴 및 알려진 루트킷이 생성하는 디렉터리또는 파일이 피해시스템에 존재여부를 확인한다.
네트워크 역시 시스템 명령어인 netstat' 와 원천 네트워크 정보를 비교하여 숨긴 네트워크 연결을 검출하고 침입자의 IP 주소를 파악한다. 파악된 IP 주소는 Whois DB 조회를 통하여 자동으로 침입자의 위치를 판별하게 된다.
네트워크 정보수집 모듈은 공격자가 설치하였을지도 모를 커널 루트킷을 고려하여 커널 레벨에서 네트워크 연결정보 등을 수집할 수 있도록 구현하였다. 커널이 관리하는 각 프로세스의 네트워크 구조체인 소켓은 프로세스 내에서 열려진 파일로 취급되므로 열려진 파일을 추적하면 네트워크 정보에 접근할 수 있다.
한다. 동시에 해킹피해시스템에서 이미지 백업을 받아분석을 할 수 있도록 환경을 구축하여 시험하였다.
결과값이 일치하면 이미지를 복원한다. 또한 변조되거나 삭제된 로그파일을 복구하여 로그파일에 남겨진 시그니쳐를 확인하여 피해 시스템이 가지고 있는 취약성정보를 확인한다. 즉 침입방법을 분석하기위해 시스템내의 로그정보를 기반으로 공격을 당한 원인을 분석하게 된다.
또한 해킹 도구 검색 모듈과 피해분석 모듈은 커널 루트킷과 일반 루트킷을 탐지하고, 침입자에 의하여 변조된 파일들과 설치된 해킹 도구들을 검색하도록 하였다. 커널에 대한 직접접근을 통하여 수집된 정보를 분석 및 비교하여 커널의 변조, 시스템 명령어의 변조 등의 상황을 판단하여 정확한 프로세스 및 네트워크 상태를 분석한다.
있어서 활용도를 높였다. 또한, 피해 시스템의 자원을 이용하지 않고 분석시스템의 자원을 이용하여 정확하게 분석할 수 있도록 하였다.
따라서 본 논문에서는 리눅스 시스템에서 바이너리 파일을 가지고 있는 /bin, /sbin, /usr/bin, /usr/sbin 디렉터리 아래의 바이너리 파일의 무결성을 검사한다. 바이너리 파일 무결성 검사모듈에서는 MD5 해쉬값과 파일의 stat 구조체 값을 유지함으로써 변조 여부를 검사한다.
백업은 침입탐지시스템에서 커널 백도어의 침입을 인지한 후 이루어지는데 분석을 위한 첫 번째 단계로 커널 백도어 침해탐지시스템으로부터 백업요청이 오면 바로 피해시스템에 대한 백업에 들어가게 되는데 시스템, 네트워크와 같은 휘발성정보정보추출을 위한 1차 백업과 상세정보추출을 위한 2차 백업으로 나뉘어 이루어지도록 설계하였다.
복구기능을 이용하여 하드디 스크에서 공격 자가 고의로 은닉하거나 삭제한 로그파일이나 공격 툴 등을 찾아 낼 수 있도록 하였다.
본 논문에서 구현된 백업시스템은 KRCERT (Korea Computer Emergency Response Team) 에서 해킹피해시스템에 대하여 실제로 행하여지는 분석 작업의 순서측면에서 접근하여 백업 알고리듬을 구현하였다.
본 논문에서는 이와 같은 문제점을 해결하기 위해서는 삭제된 로그기록 뿐만 아니라 교활한 해커에 의해 심어놓은 공격 툴 등과 같은 바이너리 파일복구기능을 추가하였으며 커널 백도어 공격 탐지 시점의 침입증거를 확보하여 침입자를 추적하고 그 피해를 최소화하도록 신속하게 대응하는 백업시스템 및 분석시스템을 설계하고 구현한다.
분석시스템은 전달받은 정보 등에 대한 분석을 하여, 피해시스템의 피해정도를 파악하고 침입자의 위치를 추적한다.
분석알고리듬은 KRCERU20]에서의 사용하는 방법을 적용하여 구체적인 피해시스템에 대한 증거추출에 있어서 활용도를 높였다. 또한, 피해 시스템의 자원을 이용하지 않고 분석시스템의 자원을 이용하여 정확하게 분석할 수 있도록 하였다.
원격에서 이루어진 백업 이미지에 대하여 해쉬값(Hash Value)을 부여하여 백업 이미지의 무결성을 확보되도록 하였다.
모듈이 동작하게 구현하였다. 이때 1차적인 정보만을 수집 후 2차 하드 전체 이미징 작업이 이루어지기 전에 대응모듈이 동작하여 보다 더 빠르게 피해시스템에 대한 복구와 대응을 할 수 있도록 하였다.
이러한 과정에서 공격자의 로그인 상태정보, 네트워크 연결 정보, 커널 모듈정보 등 중요한 정보가 손상되게 되므로 피해 시스템을 격리하기 전 현재 시스템의 상태를 완벽하게 보존하여야 한다. 이러한 휘발성 정보를 백업하기 위해 시스템 명령어를 사용하는 방법과 커널에서 원천적인 정보를 획득하는 방법을 모두 병행하여 사용하였다.
하였다. 이렇게 수집된 프로세스 정보와 네트워크연결 정보 등 공격 IP 등을 확인할 수 있는 자료를 추출하여 분석시스템으로 보내져 IP 조회를 통하여 침입자 추적을 할 수 있도록 한다.
커널에 대한 직접접근을 통하여 수집된 정보를 분석 및 비교하여 커널의 변조, 시스템 명령어의 변조 등의 상황을 판단하여 정확한 프로세스 및 네트워크 상태를 분석한다. 침입자의 IP주소를 기준으로 Whois 조회를 하여 공격자의 위치를 추적하도록 하였다.
커널 백도어로부터 공격이 탐지되는 즉시 네트워크와 프로세스 정보를 확보하고, 인멸 및 손실될 수 있는 잠재된 컴퓨터 범죄의 증거들을 백업하는 이미징 모듈이 동작하게 구현하였다. 이때 1차적인 정보만을 수집 후 2차 하드 전체 이미징 작업이 이루어지기 전에 대응모듈이 동작하여 보다 더 빠르게 피해시스템에 대한 복구와 대응을 할 수 있도록 하였다.
하였다. 커널에 대한 직접접근을 통하여 수집된 정보를 분석 및 비교하여 커널의 변조, 시스템 명령어의 변조 등의 상황을 판단하여 정확한 프로세스 및 네트워크 상태를 분석한다. 침입자의 IP주소를 기준으로 Whois 조회를 하여 공격자의 위치를 추적하도록 하였다.
프로세스 정보수집모듈은 커널의 일부분으로 동작하며 커널과 동일한 권한을 가진 LKM를 통해 커널의 프로세스 정보에 접근하여 숨겨진 프로세스 정보를 추출하고, 시스템명령어를 이용하여 나온 정보와 비교함으로써 숨겨진 프로세스를 찾아내도록 하였다.
피해시스템의 바이너리 변조 유무를 검사하기 위한 모듈이며 'md5sum' 이라는 프로그램을 사용하여 아래와 같이 간단히 구현하였다.

대상 데이터

바이너리를 출력해준다. md5 체크섬 데이터파일은 다음과 같은 방법으로 네트워크에 연결되지 않은 새로 설치된 시스템에서 간단하게 수집하였다.
시스템명령어를 이용하여 피해시스템의 호스트명, OS, 분석 당시 시스템 시간, IP 주소, MAC 주소 정보를 수집한다. 주로 프로세스 정보와 네트워크 연결 정보위주로 수집을 한다.

성능/효과

추적하였다. 그 결과 불법침입자가 접근한 불법호스트는 미국 소재지의 개인사용자인 것으로 나오는 것을 확인할 수 있다.
백업 1차 과정을 통해 수집된 프로세스나 네트워크 증거자료 분석을 통하여 시스템 관련 정보와 네트워크 정보검색을 통하여 침입자의 접속 IP 주소에 대한 Whois 조회를 통하여 위치를 추적할 수가 있었다. 2차 증거자료 분석에는 1차 분석단계에서 추출한 IP 주소에 대한 침입시간대를 로그분석을 통하여 추가적으로 확인한 후 시스템 침입하기 전이나 후에 일어난 공격행위, 침입방법, 취약점, 공격 툴 등을 구체적인 증거자료를 찾도록 구현하였다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

커널 백도어 공격 탐지 및 복구시스템 설계에 관한 연구
A Study for Detection of the Kernel Backdoor Attack and Design of the restoration system 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

커널 백도어 공격 탐지 및 복구시스템 설계에 관한 연구 A Study for Detection of the Kernel Backdoor Attack and Design of the restoration system 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

이 논문을 인용한 문헌

저자의 다른 논문 :

오임걸 (5)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

커널 백도어 공격 탐지 및 복구시스템 설계에 관한 연구
A Study for Detection of the Kernel Backdoor Attack and Design of the restoration system 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper