NTSD를 통한 리버스 커넥션 탐지

NTSD.EXE는 소프트웨어 개발자의 편의를 위해서 NT계열의 윈도우에 기본적으로 포함되어있는 MS에서 제공한 유저 모드 디버거로 원격 디버깅 프로그램입니다. 해당 프로그램은 %SYSTEMRO OT%\system32\의 하위에 존재합니다.

NTSD.EXE를 통한 리버스 커넥션은 디버거 자체가 지니고 있는 원격 디버깅 기능을 통해서 수행할 수 잇습니다. 공격자는 배치 파일이나 스크립트 파일을 통하여 NTSD.EXE를 실행시킵니다.( 서버 오픈)

공격자에서의 서버 연결 및 쉘 획득

탐지 룰은 다음과 같습니다.

alert tcp any any -> any any (msg:”possible ntds connection”; flow:from_server; dsize:128; content:”DRPC|02 00 00 00 39 56 fe 27 07 84 47 4f 83 64 ee 11 8f b0 8a c8 |” offset:0; detph:24;)

Advertisements

About this entry