윈자퍼
Winzapper윈자퍼는 마이크로소프트 윈도 NT 4.0과 윈도 2000 보안 로그에서 이벤트를 삭제하는 데 사용되는 프리웨어 유틸리티/해킹 툴이다.Arne Vidstrom이 개념 증명 도구로 개발하여 관리자 계정이 손상되면 이벤트 로그가 더 이상 신뢰할 수 없음을 입증했다.[1]노출된 해킹 사례: 윈도 서버 2003, 윈저퍼는 윈도 NT/2000/2003과 함께 일한다.[2]
Winzapper가 생성되기 전에 관리자는 이벤트 뷰어 또는 Clearlogs와 같은 타사 도구를 통해 보안 로그를 지울 수 있는 기능을 이미 가지고 있었다.[3]그러나 윈도우는 보안 로그에서 이벤트를 선택적으로 삭제하는 내장 방식이 부족했다.예상치 못한 로그 삭제는 시스템 관리자에게 침입이 발생했다는 적색 플래그가 될 수 있다.윈자퍼는 해커가 공격과 관련된 로그 이벤트만 삭제함으로써 침입을 숨길 수 있도록 할 것이다.윈자퍼는 공개된 대로 단말기 서비스 등의 툴을 사용하지 않고 원격으로 실행할 수 있는 능력이 부족했다.그러나 아르네 비드스트롬에 따르면 원격 조작을 위해 쉽게 수정할 수 있다고 한다.[4]
대응책
Winzapper는 %systemroot%\system32\config에 백업 보안 로그 "dummy.dat"를 생성한다.이 파일은 원래 로그를 복구하기 위한 공격 후에 삭제되지 않을 수 있다.[6]그러나 잘 아는 사용자는 충분히 큰 파일을 더미.dat 파일 위에 복사하여 되돌릴 수 없이 덮어쓸 수 있다.Winzapper는 재부팅 후까지 이벤트 뷰어를 사용할 수 없게 하므로 예기치 않은 재부팅은 최근 Winzapper가 사용되었다는 단서가 될 수 있다.[7]Winzapper 기반 시도의 또 다른 잠재적 단서는 보안 로그의 손상(삭제 요구)일 것이다. Winzapper는 항상 이 작업을 수행할 위험이 적기 때문이다.
WindowsNetworking.com에 따르면 "불량 관리자가 서버에서 이 도구를 사용하지 못하도록 하는 한 가지 방법은 WinZapper 실행 파일이 실행되지 않도록 하는 그룹 정책을 사용하여 소프트웨어 제한 정책을 구현하는 것"이라고 한다.[8]
참조
- ^ Winzapper FAQ, NTSecurity.
- ^ Joel Scambray, Stuart McClure (October 27, 2006). Hacking Exposed Windows Server 2003. McGraw-Hill Osborne Media, 1 edition. p. 228. ISBN 9780072230611.
- ^ "Hacktool.Clearlogs". Symantec.com.
- ^ Vidstrom, Arne (September 6, 2000). "Announcing WinZapper - erase individual event records in the security log of Windows NT 4.0 / 2000". Security-express.com.
- ^ "Winzapper Trojan". Logiguard.com.
- ^ "Forensic Footprint of Winzapper". Forensics.8thdaytech.com.
- ^ Seifried, Kurt. "Microsoft Security Whitepaper - Windows NT". Seifried.org.
- ^ "Gaps in Security Log". Windowsnetworking.com.