공개해킹 도구

인터넷의 발달로 언제 어디서나 공개해킹 도구를 구할 수 있다. 최근 중국발 해킹에 사용되는 여러 가지 도구는 버젓이 인터넷에 공개되어 있거나 유료로 판매하기도 한다. 또한 공개 해킹 도구는 관리자가 조직 내 시스템의 안전성을 점검하기 위한 수단으로 사용해야지 역이용하여 타 사이트를 공격하는 도구로 사용해서는 안 된다. 

1. 트로이 목마 : 트로이목마는 자기 복제능력이 없으며 프로그램 내에 악의적인 기능을 내장하여 배포하거나 그 프로그램 자체로 위장하여 배포된다.

 * 트로이 목마의 기능 : 원격조정, 데이터 유출, 시스템 파일파괴, 프록시, FTP 전송, 안티바이러스 정지

 * 트로이목마 대표 공개 해킹 도구 : AOL4FREE.com, Shark2

 * 트로이목마 예방법 : 요청하지 않은 이메일 열지 않기, 의심스러운 링크 클릭하지 않기, 안티바이러스 소프트웨어 사용하기, 인터넷 사용할 때 방화벽 사용하기, 웹 브라우저 보안하기, 지속적인 시스템 패치하기

2. 크래킹 도구

 (1) 루트킷 : 루트킷은 루트 권한을 획득하기 위한 악의적인 의도를 가진 사람이 주로 사용하는 백도어, 트로이목마 등 공격 도구들의 집합체를 일컫는다. 즉 공격자가 대부분 서버 내에 공격하고 나서 백도어 설치를 하게 되는데 이러한 사실을 숨기거나 로그 기록을 삭제하거나 재침입하기 위한 각종 패키지를 '루트킷'이라 한다. 특히 이러한 루트킷은 유닉스/리눅스 시스템에서 자주 발견되는데 명령어 자체가 변조된 경우도 많다.

 * 주요 특징 : 트래픽이나 키스트로크 감시, 해커 이용목적의 시스템 내의 백도어 생성, 로그 파일 수정, 네트워크상의 다른 컴퓨터 공격, 기존 시스템 도구들 수정, 시스템 흔적 제거

 * 종류 : 유저모드, 커널모드, lrk5

 * 루트킷 탐지 방법 : 루트킷이 구현되는 방식은 다양하지만 루트킷이라고 할 수 있는 원론적인 방법이 있다. 일반적으로 루트킷이 되는 기술은 후킹이다. 후킹이란 특정 함수나 명령어가 실행될 때 중간에서 해당 내용을 가로채어 작업을 수행한 이후에 다시 원래 함수로 내용을 전달하여 처리하는 방식을 말한다. 이런 루트킷을 찾아내는 프로그램을 안티루트킷이라 한다. GUI 방식으로 루트킷을 윈도우에서 찾아 주는 프로그램으로 Icesword라는 도구가 있다. 윈도우에서 루트킷이나 악성 프로세스를 점검할 때 유용하게 사용된다. 

 * 안티 루트킷의 주요 기능 : 숨긴 파일 찾기, 수정된 레지스트리 찾기, 프로세스 보호 해제

 (2) 패스워드 크랙 : 대부분 웹사이트에서 유저 아이디와 패스워드를 통한 로그인 인증 방식을 많이 이용한다.

 * 공격 : Brute Force Attack, Dictionary Attack, Password Guessing, SAM(Security Account Manager)

 (3) 포트 스캐닝 : 시스템에서 어떠한 포트를 사용하고 있는지 점검하기 위한 형태로 여러 가지 도구를 이용하여 사용하고 있다. 주로 자체 서버 점검을 위한 도구로도 사용되지만 원격지 서버에 대한 포트 정보를 수집하기 위한 용도로 사용된다. 무분별한 스캐닝은 하지 말아야 한다. 로그 기록에 남고, 법원의 판결은 타 사이트에 포트 스캐닝 하는 것 자체를 악의적인 의도를 하고 있다고 보기 때문이다. 

 * 종류 : 다중 취약점 스캔(SAINT, sscan2k, vetescan, mscan 등), 특정 취약점 스캔(cgiscan, winscan, rpcscan), 은닉 스캔(Nmap, stealthscan), 네트워크 구조 스캔(firewalk, Nmap)

 * 스캐닝 기법 : opening scanning, half-open scanning, stealth scanning, more advanced scanning

 * 포트 스캐닝은 어떠한 포트가 오픈되어 있는지를 알아보려는 목적도 있지만 원격지 시스템에서 어떠한 서비스를 사용하고 있는지를 파악하려는 목적도 있다. 이러한 포트정보를 수집함으로 인하여 서비스를 알아내고 그에 대한 취약점이 있거나 하면 공격 대상이 되는 것이다.

 * 시스템 관리자로서는 방어의 측면에서 외부에 무분별한 포트 스캐닝으로부터 정보를 수집하지 않도록 방어를 해야 하는 것이다.

 * UDP 포트 스캐닝 : UDP 포트 스캐닝은 시스템에 원하는 포트를 목적지 포트로 설정하고 UDP 패킷을 보내어 포트가 열려 있으면 아무런 응답이 없고, 열려 있지 않으면 UDP 패킷이 목적지에 도달하지 못하였다는 메시지가 다시 반환되어 온다. 

 * TCP 포트 스캐닝 : TCP 포트 스캐닝은 특정 Flag를 설정한 뒤 패킷을 보내어 이에 대한 반응을 점검하는 방법이다. 위의 스캐닝 기법에 나타난 모든 방법이 대부분 TCP 스캐닝에 속한다. 특히 3-Way 핸드쉐이크를 이용하여 완전한 연결을 한다. 확실한 결과를 얻는 스캐닝이지만 로그 기록이 남게 된다.

3. 키로거

 * 키로거는 컴퓨터 사용자의 키보드 움직임을 탐지해 아이디나 패스워드, 계좌번호, 카드번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 것을 말한다. 예를 들어 인터넷 뱅킹 계좌번호 등도 키로깅을 통하여 특정인에게 전송하여 정보를 가지고 가는 행위나 프로그램이다.

 * 인터넷 뱅킹시 마우스로 계좌번호나 비밀번호를 클릭하는 형태로 서비스를 제공하는 것도 이러한 키로거 방지를 위한 방법의 하나다. 키보드 자판을 두드리ㅣ 않고도 클릭만으로도 방지할 수 있기 때문이다.

 * 키로거 프로그램은 무수히 많으며 keycopy, keylogwin, keylog25, winhawk, perfectkeylog 등이 있다.