AnbyMata의 해킹 노트

[9-1] 로그인 직후 권한 상승을 시도하는 이유일반 사용자 권한의 제한- 시스템 설정 불가 - 핵심 설정 파일을 수정해 백도어를 심는 보안 기능 무력화 행위 불가능- 접근 제한 - 다른 사용자의 데이터나 민감한 시스템 파일 접근 불가능- 서비스 제어 제한 - 새로운 악성 서비스 설치 및 기존 보안 서비스 중지 불가능- 흔적 은폐 불가 - 시스템의 Audit Log(감사 로그)를 임의로 변경 및 삭제 불가능 root(관리자) 권한으로 가능한 것들- 자유로운 파일 조작 - 시스템 내 모든 파일 조작 가능- 커널 및 서비스 장악 - 커널 모듈을 로드하여 탐지가 힘든 루트킷 설치 및 서비스 조작 가능- 계정 관리 - 새로운 관리자 계정 생성 및 sudoers 파일을 변경해 권한 고착화 가능- 네트워크 제어 -..

[8-1] SSH 실패 vs SSH 성공이상 패턴 (Red Flags)- Brute Force = 단시간에 다수의 실패 후 로그인 성공- Scanning = 존재하지 않는 계정을 포함한 다양한 계정명 시도- Post-Exploitation = 로그인 직후 sudo, 파일 다운도르, 지속성 확보 행위 SSH 실패 로그- invalid user = 시스템에 존재하니 않는 계정으로 접속 시도 → 자동화된 스캔 도구에 의한 목록 기반 공격 가능성- 출발지 IP = 외부 IP에서 직접 시도되는 invalid user 접근 → 100% 차단 및 모니터링 대상 SSH 성공 로그- password = 탈취 위험이 상대적으로 높은 인증 방식 → 실패 횟수가 많다면 계정 탈취 가능성이 높음- publickey = 비교적 ..

[7-1] Linux 로그의 기본 지도 - /var/log 인증 및 권한 (Auth & Permission)- /var/log/auth.log (Ubuntu/Debian) & /var/log/secure (RHEL 계열)→ 사용자 로그인 성공/실패, sudo 권한 상승, su 전환 등 인증과 관련된 기록들 시스템 및 서비스 (System & Service)- /var/log/syslog (Ubuntu/Debian) & /var/log/messages (RHEL 계열)→ 시스템 전반의 운영 메시지 및 커널 로그 기록들 - /var/log/kern.log (Ubuntu/Debian) & /var/log/dmesg (RHEL 계열)→ 커널 수준에서 발생하는 하드웨어 및 드라이버 관련 메시지 - journalc..