| [ windows ] in KIDS 글 쓴 이(By): mana (푸른횃불) 날 짜 (Date): 1998년 9월 1일 화요일 오전 03시 33분 05초 제 목(Title): [펌] BackOrifice 백 오리피스를 배포하는 해커의 홈페이지에서 얻은 정보와 직접 이 프 로그램을 다운로드 받아 분석해본 결과입니다. 백 오리피스는 TCP/IP로 연결된 (보통 우리가 인터넷이라고 부르는 통 신망이 이 프로토콜을 사용합니다.) 리모트 윈도우 시스템 관리툴입니다. 나쁜 마음을 먹은 사용자가 이 프로그램을 이용하면 피해를 입을 수 있지 만, 반대로 이 프로그램은 원격 관리 기능 덕분에, 출장없이 네트웍으로 A/S하는데 사용할 수도 있겠다는 생각이 드는군요. 정리하면 이 프로그램 은 인터넷이나 사내 LAN으로 연결되어 있는 원격 컴퓨터를 제어할 수 있 습니다. 즉, 네트웍 기능이 있는 PC에만 피해를 입힌다는 점입니다. 윈도 95, 윈도98등이 되겠지요. 현재 버전에서는 단지 윈도95/윈도98 에서만 작동합니다. 도스나 윈도우즈 NT는 아직 해당사항이 없습니다. 이 프로그램은 컴퓨터 앞에 앉아 키보드를 두드리는 사람보다는 원거리 에서 이 프로그램을 조작하는 사람에게 더 많은 제어권을 줍니다. 이 프로 그램은 크기가 작고 완전 자동으로 설치됩니다. 쉐어웨어와 같은 실행파일 에 붙어서 배포될 수도 있고, 윈도에서 간단히 서버를 실행시키므로써 백 오리피스 서버가 설치될 수도 있습니다. 이 프로그램은 다른 실행중인 응용프로그램을 방해하지 않으면서 설치되 고 작동됩니다. 손쉬운 배포를 위해 다른 응용프로그램에 붙겨서 배포될 수 있으며 일반적으로 백 오피리스 서버가 인스톨 된 다음에 그 응용프로 그램이 작동될 것입니다. 백 오리피스가 일단 실행되면 이 프로그램은 태스크 리스트나 클로즈 프 로그램 리스트 상에 나타나지 않으며 컴퓨터가 시작될 때마다 다시 프로그 램을 재시작 합니다. 이 프로그램의 파일 이름은 인스톨 되기 전에 설정될 수 있습니다(해커에 의해서). 파일 명이 " .EXE"라고만 알고 있는 분도 있는데 꼭 그런것 많은 아닐 수도 있습니다. " .EXE"는 아무런 설정을 하지 않고 이 프로그램을 그냥 인스톨 했을 때의 이름입니다. 이 파일은 보통 파일 이름을 하나의 스페이스 문자로 만든 것입니다. (스페이스 도트 EXE) 그리고 이 프로그램의 향상된 새 버전을 업로드하고 실행함으로써 아주 간단히 업그레이드된다고 씌여있군요. 백 오리피스 서버의 기능은 다음과 같습니다. * 시스템 제어 - 이 프로그램의 사용자가 원하는 내용을 가진다이얼로그 박스를 만들 수 있습니다. 당하는 쪽 사용자가 입력하는 키보드 입력 (Log keystrokes)을 기록할 수 있습니다. 그러니까 당연히 그 중에는 패스워드 입력도 들어갈 수 있겠죠? 사용자 시스템을 살펴 볼 수 있고, 기계를 재부팅(껐다 켤 수)할 수 있습니다. 다음과 같은 시스템의 자세한 정보를 얻을 수 있습니다. -현재 사용자 -CPU 타입 -윈도우즈 버전 -메모리 크기 -마운트된 디스크 (즉 하드디스크와 같은 보조기억장치의 종류와 크기, 남은 용량, 갯수등이 되겠지요. 하드디스트, CD-ROM, 제거가능한 디스크:removable drives, 리모트 네트웍 드라이브 등이 가능하다는군요.) -화면보호기 비밀번호 -사용자에 의해 임시저장된(cached) 비밀번호들 (전화걸기, 웹, 네트웍 접속과 같은 운영체제에 의해서 임시저장된 이와 같은 비밀번호들) * 파일시스템 제어 - 복사, 이름바꾸기, 지우기, 내용보기, 파일이나 디렉토리 찾기, 파일 압축하기, 압축된 파일의 압축풀기 * 프로세스 제어 - 현재 실행중인 프로그램(프로세스) 리스트 보기, 실행중인 프로그램(프로세스) 죽이기, 실행중인 프로세스를 복제하여 똑같은 프로그램을 하나 더 실행시키기(spawn) * 레지스트리 제어 - (일반 사용자는 윈도우 시작버튼->실행->regedit(엔터) 함으로써 레지스트리 편집기를 이용하여 이를 조작할 수 있습니다. 레지스 트리는 윈도3.1의 ini 파일 모음 정도로 이해하시면 됩니다.) 레지스트리 내용보기, 레지스트리 키 생성 및 삭제, 기존 레지스트 리 키/값을 변경 * 네트웍 제어 - 접근 가능한 모든 네트웍 자원 보기, 들어오고나가는 모든 네트웍 연결 설정을 보거나 새로운 네트웍 연결 설정을 할 수 있고, 연결 되어 있는 네트웍을 끊을 수 있으며 외부에서 접근 가능한 리소스나 그 패스워드 리스트 등을 읽을 수 있음. 이러한 리소스를 공유자원 표시없이 만들거나 없앨 수 있다. * 멀티미디어 제어 - *.wav 소리 파일을 실행, 현재 컴퓨터 화면을 갈무리, 비디오 나 비디오 입력 장치(Quickcam과 같은)로 부터의 스틸 프레임 (동영상)을 갈무리 * 패킷방향 재설정 - TCP나 UDP의 패킷을 다른 주소나 포트로 방향을재설정 할 수 있다. 말하자면 나는 천리안에 접속하려고 주소와 ID, Password를 쳤는데 이 프로그램에 의해 해커가 꾸며놓은 사이트로 이 정보가 흘러들어갈 수 있다. * 응용프로그램 방향재 설정 - 어떤 TCP 포트상에 있는 command.com과 같은 (여러 프로세스가 복제되어(spawn) 사용되는) 콘솔 프로그램은 텔넷(telnet) 세션을 통해 응용프로그램을 제어할 수 있게 해준다. * HTTP server(웹서버) - 넷스케이프나 익스프롤러와 같은 웹 클라이언트를 사용하여 어떤 포트상으로도 업로드나 다운로드를 할 수 있다. * 완벽한 패킷 스니퍼(Integrated packet sniffer) - 스니퍼란 탐지기란 뜻이 있는데, 말하자면 검사하거나 훔쳐본다는 뜻. 네트웍 패킷을 모니터링 하고 패킷을 통해 이동하는 일반 텍스트(패스워드 포함)를 기록할 수 있다. * 플러그인 인터페이스 - 백 오리피스 사용자 자신이 직접 백 오리피스용 플러그인을 작성하고 백 오리피스의 숨겨진 시스템 프로세스안에서 그 사용자가 선택한 기계어(native code)로 그 플러그인을 실행할 수 있다. - 여기까지는 해커 사이트에서 번역+의역+의견을 써 본 거구요... 해결책은 레지스트리를 하나 찾아서 삭제해주면 됩니다. 윈도우즈 98 사용자의 경우에는 \Software\Microsoft\Windows\CurrentVersion\RunServices..Default.\ .exe 라는 레지스트리가 있는지 확인해 보세요. 여기서 " .EXE"는 다른 이름일 수도 있습니다. 이 이름은 해킹하는 사람이 임의로 정해줄 수 있습니다. " .EXE"는 디폴트 인스톨 이름입니다. 방법은 시작버튼 -> 실행 -> regedit(엔터) -> 메뉴중 편집(E) -> 찾기(F) 에서 위의 내용을 블럭복사해서 찾아보면 됩니다. 그리고 이 부분을 삭제한 후 컴퓨터를 재부팅하면 해결됩니다. 재부팅 하고 나서는 윈도우즈 디렉토리(보통 C:\Windows)밑의 System 디렉토리에 아까 레지스트리에 등록되어 있는 파일이 있을겁니다. " .EXE" 혹은 레지스트리 끝부분에 있는 파일명으로 말이죠. 아마도 이 파일이 백 오 피리스 서버기능을 하는 DLL인것 같습니다. 레지스트리를 삭제하고 재부팅 한 후 이 파일도 지워주세요. 파일 위치는 보통 "C:\Windows\System" 입니다. 감염된 경우 레지스 트리를 먼저 없애고 재부팅하지 않으면 DLL이기 때문에 지워지지 않습니다. 윈도우즈 95 OSR 2.5인 경우에는 뒷쪽 ..Default.가 없습니다. \Software\Microsoft\Windows\CurrentVersion\RunServices\ .exe 를 찾으세요. \Software\Microsoft\Windows\CurrentVersion\RunServices 정도만 찾아보는게 더 정확하겠네요. 뒤의 내용(" .EXE"은 다를 수도 있으 니까요.) 윈도우즈 98은 안써봐서 정확하게는 모르겠구요. 윈도우즈 95에서는 직접 테스트해본 결과입니다. 아마 모두 이와 유사할 겁니다. RunServices에 등 록된 레지스트리 정보는 컴퓨터가 켜질때마다 새로 실행되도록 되어 있습니 다. 백 오피리스 배포본을 살펴본 결과 v1.20 7-30의 경우 주요 프로그램은 Boconfig.exe, Boclient.exe, Bogui.exe, Boserve.exe 이 네가지 입니다. 그리고 Freeze.exe와 Melt.exe는 압축을 하거나 해제 하는데 쓰이는 것 같구요. Plugin.txt와 Bo.txt라는 문서가 포함되어 있습니 다. 로그 파일을 만든다고 설정하면 같은 디렉토리에 log라는 파일이 생깁니 다. 여기서 주의깊게 살펴보아야 할 프로그램은 Boserve.exe입니다. 기본 사 이즈가 125006 Bytes이구요. Boconfig.exe를 이용해서 세팅을 바꾸고 나 면(여기에서 서버 포트나 서버 이름등을 정할 수 있습니다) 사이즈가 변경됩 니다. 파일 이름이나 그 주석의 길이에 따라 Boserve.exe 의 사이즈가 바뀌 는군요(늘어납니다). 이 작업 후에 Boserve.exe를 실행시키면 이 프로그램이 위에서 설명된 레 지스트리에 등록되고 Boserve.exe는 삭제됩니다. 물론 삭제되기 전에 이 파 일은 사용자(해커)가 정한 이름으로 (" .EXE"등) 윈도우즈 디렉토리 밑의 시스템 디렉토리로 복사되는 것 같습니다. 이것으로 이 PC는 켤때마다 백 오 리피스가 작동되게 되는거죠. Boclient.exe는 콘솔용 클라이언트이고, Bogui.exe는그래픽용 클라이언트 입니다. 해커는 이 프로그램을 가지고 원격시스템을 감시하거나 정보를 훔쳐 보고 컴퓨터에 해악을 끼칠 수 있습니다. 결론은 이 Boserve.exe가 다양한 형태로 배포되어 인터넷에 연결된 사용 자의 PC(윈도우즈 95/98사용자)에 설치된 경우, 말하자면 그 사용자는 완 전히 발가벗겨진 상태가 되는 것입니다. 이 프로그램으로 피해를 입을 수 있으나 이 프로그램 자체가 컴퓨터에 해 악을 끼치지는 않는 것 같습니다. 유닉스 배포본도 있으며 이것은 클라이언 트 쪽에 해당되는 것 같고, 소스도 함께 배포됩니다. 이해를 돕기 위해 위의 문서에서는 해커라는 용어를 써서 해커가 나쁜 사람 인양 글을 썼지만 정말 나쁜 사람들은 크래커(Cracker)들입니다. 진정한 해커는 컴퓨터를 발전시키는 순수한 엔지니어입니다. 시스템을 파괴하고 범죄 를 저지르는 사람은 해커가 아니라 크래커라고 불러야합니다. 해커는 좋은 사 람들입니다. 우리가 이렇게 가정에서 컴퓨터를 쓸 수 있게 된 것도 모두 해커 들 덕분입니다. 제 말을 믿지 못하시겠다면 이 책을 읽어보시라고 권하고 싶습 니다. "해커, 그 광기와 비밀의 기록 - 사민서각" 이 책을 읽고 감동하는 분이라면 당신은 해커가 될 자격이 있습니다. 이 문서는 여러 곳에 배포할 수 있습니다. 다만 작성자 이름과 email 주소를 반드시 함께 배포해 주세요. 내용에 오류가 있으면 연락해 주세요. 매스미디어에서 이 문서를 인용하고자 하면 미리 제게 연락해 주세요. 작성자: 천리안 가톨릭 통신 동호회 한누리 정기백 마르꼬 천리안ID: HANNOORY email: hannoory@chollian.net hannoory@dazone.co.kr Homepage: http://www.chollian.net/~hannoory ======================================================== 나는 악취가 나는 도시를 떠나 삶의 오솔길에서 멀리 떨어진 벌판에서, 고독한 내 영혼의 나무 그림자 속에 앉아있다. ======================================================== |