RACK911 ์ฐ๊ตฌ์์ ์ฐ๊ตฌ์
๊ณต๊ฒฉ์ ํ๋ ค๋ฉด ์ํฐ๋ฐ์ด๋ฌ์ค๊ฐ ์ ์ฑ์ผ๋ก ์ธ์ํ๋ ํ์ผ์ ์ ๋ก๋ํด์ผ ํ๋ฉฐ(์๋ฅผ ๋ค์ด ํ ์คํธ ์๊ทธ๋์ฒ๋ฅผ ์ฌ์ฉํ ์ ์์), ์ผ์ ์๊ฐ์ด ์ง๋ ํ ์ํฐ๋ฐ์ด๋ฌ์ค๊ฐ ์ ์ฑ ํ์ผ์ ํ์งํ ํ ํจ์ ํธ์ถ ์ง์ ์ ํด์ผ ํ๋ค. ์ด๋ฅผ ์ญ์ ํ๋ ค๋ฉด ๋๋ ํ ๋ฆฌ๋ฅผ ์ฌ๋ณผ๋ฆญ ๋งํฌ๊ฐ ์๋ ํ์ผ๋ก ๋ฐ๊พธ์ญ์์ค. Windows์์๋ ๋์ผํ ํจ๊ณผ๋ฅผ ์ป๊ธฐ ์ํด ๋๋ ํฐ๋ฆฌ ์ ํฉ์ ์ฌ์ฉํ์ฌ ๋๋ ํฐ๋ฆฌ ๋์ฒด๊ฐ ์ํ๋ฉ๋๋ค. ๋ฌธ์ ๋ ๊ฑฐ์ ๋ชจ๋ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์ด ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์ ๋๋ก ๊ฒ์ฌํ์ง ์์์ผ๋ฉฐ ์ ์ฑ ํ์ผ์ ์ญ์ ํ๋ค๊ณ ๋ฏฟ๊ณ ์ฌ๋ณผ๋ฆญ ๋งํฌ๊ฐ ๊ฐ๋ฆฌํค๋ ๋๋ ํฐ๋ฆฌ์ ํ์ผ์ ์ญ์ ํ๋ค๋ ๊ฒ์ ๋๋ค.
Linux ๋ฐ macOS์์๋ ๊ถํ ์๋ ์ฌ์ฉ์๊ฐ /etc/passwd ๋๋ ๊ธฐํ ์์คํ ํ์ผ์ ์ญ์ ํ ์ ์๋ ๋ฐฉ๋ฒ๊ณผ Windows์์๋ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์์ฒด์ DDL ๋ผ์ด๋ธ๋ฌ๋ฆฌ๊ฐ ์์ ์ ์ฐจ๋จํ๋ ๋ฐฉ๋ฒ์ ๋ณด์ฌ์ค๋๋ค(Windows์์๋ ๊ณต๊ฒฉ์ด ์ญ์ ๋ก๋ง ์ ํ๋จ). ํ์ฌ ๋ค๋ฅธ ์์ฉ ํ๋ก๊ทธ๋จ์์ ์ฌ์ฉํ์ง ์๋ ํ์ผ). ์๋ฅผ ๋ค์ด ๊ณต๊ฒฉ์๋ "exploit" ๋๋ ํฐ๋ฆฌ๋ฅผ ์์ฑํ๊ณ ํ ์คํธ ๋ฐ์ด๋ฌ์ค ์๋ช ์ด ํฌํจ๋ EpSecApiLib.dll ํ์ผ์ ๋ก๋ํ ๋ค์ "exploit" ๋๋ ํฐ๋ฆฌ๋ฅผ "C:\Program Files (x86)\McAfee\" ๋งํฌ๋ก ๋ฐ๊ฟ ์ ์์ต๋๋ค. Endpoint Security\Endpoint Securityโ๋ฅผ ์ญ์ ํ๊ธฐ ์ ์ Platform"์ ์ญ์ ํ๋ฉด ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ์นดํ๋ก๊ทธ์์ EpSecApiLib.dll ๋ผ์ด๋ธ๋ฌ๋ฆฌ๊ฐ ์ ๊ฑฐ๋ฉ๋๋ค. Linux ๋ฐ macos์์๋ ๋๋ ํฐ๋ฆฌ๋ฅผ "/etc" ๋งํฌ๋ก ๋ฐ๊พธ๋ฉด ์ ์ฌํ ํธ๋ฆญ์ ์ํํ ์ ์์ต๋๋ค.
#! / bin / sh์
rm -rf /ํ/์ฌ์ฉ์/์
์ฉ ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
inotifywait -m "/home/user/exploit/passwd" | grep -m 5 โ์ด๊ธฐโ
do
rm -rf /ํ/์ฌ์ฉ์/์
์ฉ ; ln -s /etc /home/user/exploit
ํ
๋์ฑ์ด ๋ง์ Linux ๋ฐ macOS์ฉ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ํ๋ก๊ทธ๋จ์ /tmp ๋ฐ /private/tmp ๋๋ ํฐ๋ฆฌ์ ์์ ํ์ผ๋ก ์์ ํ ๋ ์์ธก ๊ฐ๋ฅํ ํ์ผ ์ด๋ฆ์ ์ฌ์ฉํ๋ ๊ฒ์ผ๋ก ๋ฐํ์ก์ต๋๋ค. ์ด๋ ๋ฃจํธ ์ฌ์ฉ์์๊ฒ ๊ถํ์ ์น๊ฒฉํ๋ ๋ฐ ์ฌ์ฉ๋ ์ ์์ต๋๋ค.
์ง๊ธ๊น์ง ๋๋ถ๋ถ์ ๊ณต๊ธ์ ์ฒด์์ ๋ฌธ์ ๋ฅผ ์ด๋ฏธ ํด๊ฒฐํ์ง๋ง, ๋ฌธ์ ์ ๋ํ ์ฒซ ๋ฒ์งธ ์๋ฆผ์ด 2018๋ ๊ฐ์์ ์ ์กฐ์ ์ฒด์ ์ ์ก๋์๋ค๋ ์ ์ ์ฃผ๋ชฉํ ๋งํฉ๋๋ค. ๋ชจ๋ ๊ณต๊ธ์ ์ฒด๊ฐ ์ ๋ฐ์ดํธ๋ฅผ ์ถ์ํ ๊ฒ์ ์๋์ง๋ง ํจ์น๋ฅผ ์ ์ฉํ๋ ๋ฐ ์ต์ 6๊ฐ์์ด ์ฃผ์ด์ก์ผ๋ฉฐ RACK911 Labs๋ ์ด์ ์ทจ์ฝ์ ์ ์์ ๋กญ๊ฒ ๊ณต๊ฐํ ์ ์๋ค๊ณ ๋ฏฟ์ต๋๋ค. RACK911 Labs๋ ์ค๋ซ๋์ ์ทจ์ฝ์ ์๋ณ ์์ ์ ์งํํด ์์ง๋ง, ์ ๋ฐ์ดํธ ์ถ์๊ฐ ์ง์ฐ๋๊ณ ๋ณด์์ ๊ธด๊ธ ์์ ํ์์ฑ์ ๋ฌด์ํ๋ ์ํฉ์ผ๋ก ์ธํด ๋ฐฑ์ ์ ๊ณ ๋๋ฃ๋ค๊ณผ ํ๋ ฅํ๋ ๊ฒ์ด ์ด ์ ๋๋ก ์ด๋ ค์ธ ๊ฒ์ด๋ผ๊ณ ๋ ์์ํ์ง ๋ชปํ๋ค๊ณ ํฉ๋๋ค. ๋ฌธ์ .
์ํฅ์ ๋ฐ๋ ์ ํ(๋ฌด๋ฃ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ํจํค์ง ClamAV๋ ๋ชฉ๋ก์ ์์):
- Linux
- ๋น๋ํ๋ ๊ทธ๋๋นํฐ์กด
- ์ฝ๋ชจ๋ ์๋ ํฌ์ธํธ ๋ณด์
- Eset ํ์ผ ์๋ฒ ๋ณด์
- F- ๋ณด์ ๋ฆฌ๋ ์ค ๋ณด์
- ์นด์คํผ์ ์๋ํฌ์ธํธ ์ํ๋ฆฌํฐ
- McAfee ์๋ ํฌ์ธํธ ๋ณด์
- Linux ์ฉ Sophos Anti-Virus
- Windows
- Avast ๋ฌด๋ฃ ์ํฐ ๋ฐ์ด๋ฌ์ค
- Avira ๋ฌด๋ฃ ์ํฐ ๋ฐ์ด๋ฌ์ค
- ๋น๋ํ๋ ๊ทธ๋๋นํฐ์กด
- ์ฝ๋ชจ๋ ์๋ ํฌ์ธํธ ๋ณด์
- F-Secure ์ปดํจํฐ ๋ณดํธ
- FireEye ์๋ ํฌ์ธํธ ๋ณด์
- ์ธํฐ์ ํธ X (์ํฌ์ค)
- Kaspersky Endpoint Security
- Windows ์ฉ Malwarebytes
- McAfee ์๋ ํฌ์ธํธ ๋ณด์
- ํฌ๋ ๋
- Webroot Secure Anywhere
- macOS
- AVG
- ๋น ๋ํ๋ ์ข ํฉ ๋ณด์
- ESET ์ฌ์ด๋ฒ ๋ณด์
- ์นด์คํผ ์คํค ์ธํฐ๋ท ์ํ๋ฆฌํฐ
- ๋งฅ์ํผ ํ ํธ ํ๋กํ ์
- Microsoft Defender (๋ฒ ํ)
- ๋ ธํด ๋ณด์
- ์ํฌ์ค ํ
- Webroot Secure Anywhere
์ถ์ฒ : opennet.ru