반응형

정보보안기사 필기 독학 / 시스템 보안 / 1. 트로이 목마, 백도어

 

트로이 목마(Trojan horse)

일반 프로그램에 악의적인 루틴을 추가하여 그 프로그램을 사용할 때 본래의 기능 이외에 악의적인 기능까지 은밀히 수 행하도록 하는 공격을 말한다. 자기복제 능력이 없고, 악성코드 전파하지 않는다. 

 

백도어(Backdoor)

인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 컴퓨터에 몰래 설치된 통신 연결 기능을 말한다.

 

관련 문제 풀기

7회, 14회  다음 중 트로이 목마(Trojan)의 일반적인 특징 및 기능으로 옳지 않은 것은? 2
①패스워드 가로채기
②악성코드 전파
③파일 파괴
④원격 조정

 

11회 트로이목마의 특징이 아닌 것은? 2
① 백도어(Back Door)로 사용할 수 있다.
② 자기복제 능력이 있다.
③ 유용한 프로그램에 내장되어 배포될 수 있다.
④ 정보유출이나 자료파괴 같은 피해를 입힐 수 있다.

 

11회 다음 지문은 무엇을 설명한 것인가? 1
[보기]
일반 프로그램에 악의적인 루틴을 추가하여 그 프로그램을 사용할 때 본래의 기능 이외에 악의적인 기능까지 은밀히 수 행하도록 하는 공격을 말한다. 예를 들어 사용자 암호를 도출 하기 위해서 합법적인 로그인(login) 프로그램으로 가장하고 정상적인 로그인 순서와 대화를 모방하여 작성될 수 있다.
① 트로이목마(Netbus)
② 매크로 바이러스(Macro virus)
③ 웜(I-Worm/Hybris)
④ 악성 스크립트(mIRC)

 

7회 9. 트로이목마 프로그램으로 사용자의 키보드 입력을 가로채는 목적으로 사용되기 때문에 이 프로그램이 동작하는 컴퓨터에서 입력되는 모든 것이 기록되어 개인정보 등이 도용당하게 되는 해킹기법은 무엇인가? 4
① 포트스캔
② 쿠키
③ DoS
④ 키로그

 

14회 46. 해커가 리눅스 시스템을 해킹하여 백도어 프로그램을 설치하였다. 만약 시스템이 재시작되어도 본인이 설치한 프로그램이 실행되도록 하고 싶다면 다음중 어떤 파일에 접근해야 하는가? 4
①resolv
②hosts
③crontab

④rc.d/rc.local

 

* crontab : 작업을 고정된 시간, 날짜, 간격에 주기적으로 실행할 수 있도록 스케줄링하기 위한 프로그램

* rc.d/rc.local : 부팅 시 자동실행 명령어 스크립트를 수행한다. 

 

10회 크래커들이 자주 사용하는 방법 중에는 한번 들어온 서버에 다시 쉽게 침입할 수 있도록 suid가 설정된 root 소유의 프로그램을 백도어로 설치하여 다음에는 손쉽게 root 권한을 획득 할 수 있도록 하는 방법이 있다. 아래으 명령어를 사용하여 시스템관리자는 주기적으로 suid로 설정된 파일을 모니터링 하여 시스템을 안전하게 보호할 필요가 있다. 괄호 ( ) 안에 들어갈 옵션을 순서대로 바르게 나타낸 것은 어느 것인가? 4

[보기]
#find / -( ) root -( ) 4000 -( ) ls -l { } \,

① user, exec, perm
② exec, user, perm
③ perm, user, exec
④ user, perm, exec

 

8회 다음은 크래커 A가 남긴 C소스 코드와 바이너리 파일이다. 이에 대한 설명으로 적합한 것은? 3

[보기]

[user@localhost test]$ Is -I
total 20
-rwsr-xr-x 1 root 13923 Oct 7 21:13 test
-rw-rw-r- 1 root root 88 Oct 7 21:12 test. C
[user@localhost test]$ cat test.c
#include
void main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}

① setgid 시스템 콜의 인자를 0으로 준 것으로 보아 Race Condition 기법의 공격이다.
② /bin/sh를 실행시키는 거승로 보아 Sniffing 기법이다.
③ setuid 시스템 콜의 인자가 0이고 컴파일된 바이너리 파일의 퍼미션이 4755인 것으로 보아 루트 권한을 탈취하는 백도어이다.
④ main 함수의 리턴형태가 void 이므로 Format String Attack으로 보인다.

반응형

+ Recent posts