SetUID 공격에 대한 대응 방안 문제풀이

1. 디지털포렌식 전문가 2급 자격시험(3회)

 

다음 중 SetUID 공격에 대한 대응 방안으로 적절하지 않은 것은?

가. 디렉터리 혹은 파일을 생성할 때, Sticky Bit를 부여한다.

나. md5sum이나 Tripwire 같은 파일 시스템 무결성 검사 도구를 이용해서 관리한다.

다. find / -perm 2000 명령을 이용하면 SetUID 파일을 검색할 수 있다.

라. 초기 상태의 SetUID 파일과 점검할 때 SetUID 파일을 검색해서 그 결과를 diff 명령을 이용해서 비교해본다.

<문제풀이>

답: 다

☞ `find` 명령어에서 `-pem` 옵션은 사용되지 않는다. 일반적으로 SetUID 파일을 검색하려면 `-perm` 옵션을 사용합니다.
    올바른 명령어는 다음과 같이 `-perm`을 사용하여 SetUID 비트가 설정된 파일을 검색할 수 있습니다:

- `/`: 검색을 시작할 루트 디렉터리입니다. 이 경우, 루트 디렉터리부터 전체 파일 시스템을 검색합니다.
- `-type f`: 검색 대상이 파일인 것으로 제한합니다.
- `-perm /2000`: SetUID 비트가 설정된 파일을 찾습니다. SetUID는 4000을 나타내므로, `/2000`은 SetUID가 설정된 파일을 검색하는 데 사용됩니다.

가. 디렉터리 혹은 파일을 생성할 때, Sticky Bit를 부여한다.

☞ Sticky Bit는 주로 디렉터리에 설정되어, 해당 디렉터리 내에서 생성된 파일들이 디렉터리 소유자만이 삭제할 수 있도록 하는 보안 기능 중 하나입니다. 따라서 Sticky Bit를 설정하려면 해당 디렉터리에 대한 쓰기 권한이 필요합니다.

Sticky Bit를 설정하려면 `chmod` 명령어를 사용할 수 있습니다. 일반적으로 Sticky Bit는 숫자 1로 표시됩니다. 아래는 Sticky Bit를 설정하는 예제입니다

또는 숫자로 표현할 때는 1을 추가합니다:

이제 Sticky Bit가 설정된 디렉터리에서 파일을 생성하면, 생성된 파일은 해당 디렉터리의 소유자만이 삭제할 수 있습니다. 다른 사용자는 자신이 생성한 파일을 삭제할 수 없습니다.

Sticky Bit가 설정된 디렉터리의 권한은 다음과 같이 표시됩니다

위의 출력에서 't'는 Sticky Bit가 설정되었음을 나타냅니다.

Sticky Bit를 파일에 설정하는 것은 일반적으로 권장되지 않습니다. 보통 Sticky Bit는 디렉터리에만 설정하여, 해당 디렉터리 내에서의 파일 삭제 권한을 제한하는 데 사용됩니다.

 

나. md5sum이나 Tripwire 같은 파일 시스템 무결성 검사 도구를 이용해서 관리한다.

☞ md5sum이나 Tripwire와 같은 파일 시스템 무결성 검사 도구는 시스템의 파일 시스템에 대한 변경을 감지하고 검사하는 데 사용됩니다. 이러한 도구를 사용하여 시스템의 보안을 유지하고 관리하는 것이 일반적입니다.

  1)md5sum
   - md5sum은 파일의 MD5 해시를 생성하는 도구입니다. 파일의 내용이 변경되면 MD5 해시 값도 변경됩니다.
   - 주로 파일이나 디렉토리의 무결성을 확인하기 위해 사용됩니다. 이전에 생성된 MD5 해시 값과 현재의 값을 비교하여 변경 여부를 판단할 수 있습니다.

2. Tripwire
   - Tripwire는 파일 시스템의 무결성을 검사하는 도구 중 하나로, 파일 및 디렉토리에 대한 변경을 모니터링하고 알림을 제공합니다.
   - 시스템의 초기 상태에서 생성된 파일과 디렉토리의 해시 값을 저장하고, 이후에 변경사항이 감지되면 경고를 발생시킵니다.
   - Tripwire는 시스템 해킹 또는 변경에 대한 조기 경고를 제공하여 보안을 강화하는 데 사용됩니다.

이러한 도구들을 사용하여 파일 시스템의 무결성을 검사하고 유지함으로써 시스템의 보안을 강화할 수 있습니다. 이는 중요한 시스템 및 파일이 변경되거나 손상되는 것을 미리 감지하여 보안 위협으로부터 시스템을 보호하는 데 도움이 됩니다.

 

라. 초기 상태의 SetUID 파일과 점검할 때 SetUID 파일을 검색해서 그 결과를 diff 명령을 이용해서 비교해본다.

☞ SetUID 파일은 실행 파일이 특정 사용자의 권한으로 실행될 수 있도록 하는 특별한 권한을 갖는 파일입니다. 이러한 파일을 식별하고 검사하기 위해 다음과 같은 단계를 따를 수 있습니다.

  1) 초기 상태의 SetUID 파일 식별
  -시스템이나 응용 프로그램 설치 후의 초기 상태에서 SetUID가 설정된 파일들을 식별합니다. 주로 `/bin`, `/usr/bin`, `/sbin`, `/usr/sbin` 등의 시스템 디렉토리에 위치한 실행 파일들이 이에 해당합니다. `find` 명령어를 사용하여 다음과 같이 초기 상태의 SetUID 파일을 찾을 수 있습니다.

  2) 현재 상태의 SetUID 파일 식별**:
   - 현재 시스템에서 SetUID가 설정된 파일들을 식별합니다. 이를 위해서도 `find` 명령어를 사용할 수 있습니다.

  3) 결과 비교
   - 초기 상태와 현재 상태에서 찾은 SetUID 파일 목록을 각각 파일로 저장한 후, `diff` 명령어를 사용하여 비교할 수 있습니다.

 이 명령은 초기 상태와 현재 상태의 SetUID 파일 목록 간의 차이를 보여줍니다.

이 방법을 사용하면 초기 상태와 현재 상태의 SetUID 파일 목록을 비교하여 변경된 파일을 식별할 수 있습니다. 이를 통해 시스템의 보안 상태를 점검하고 변경사항을 파악할 수 있습니다.