간단하게 심어두는 로컬 백도어...

몇일전 安全中國에 올라온 글 중에 로컬 백도어를 심어두는 방법에 대해서 소개하더군요.

뭐랄까 기술적으로 어렵지는 않은데, 참 연구 많이 하네라는 생각이 들었습니다. 물론 이미 널리 알려진 방법일 수도 있겠습니다만, 저같이 모르는 사람들도 있을것 같아 올려봅니다. 물론 해결책도 함께~

가끔 키보드를 마구 누르다보면 아래와 같은 화면이 뜨게되는 경험이 있을텐데요. StickyKeys라고 해서 SHIFT 키를 5번 연사해 주시면 화면에 띄워집니다.

sethc.exe 프로세스가 실행된 화면

실제 프로세스는 System32 폴더에 있는 sethc.exe 프로그램입니다. 작업 관리자을 보시면 실행된 모습을 확인할 수 있습니다. 문제는 StickyKeys가 로그오프된 상태에서도 실행된다는데에 있습니다. 보통은 Windows에 아무나 로그온하지 못하게 하려고 로그인 암호를 걸어두거나 잠시 자리를 비울 때 다른 사람이 접근하지 못하도록 화면 보호기를 띄워놓는데 만약 해커가 StickyKeys 대신 다른 프로세스가 실행되도록 설정을 해 놓으면 로그온할 필요도 없이 해당 프로세스가 바로 실행되어 보안에 문제가 생길 수 있게 됩니다. 더 큰 문제는 생성된 프로세스가 관리자 권한을 갖고 있더군요. 어떻게 된 일인지..(제가 관리자 권한을 가진 상태에서 백도어를 심어두었기 때문일까요?)

작업 관리자로 sethc.exe 프로세스

간단하게 cmd.exe로만 대체해도 이것저것 마음대로 할 수 있게 되어버리네요. 윽.. 보안에 취약한 Windows 같으니라고...

해결책은 간단한데요,

StickyKeys 기능 해제

일단 StickyKeys를 실행한 다음 [설정] 메뉴를 클릭하고 설정 화면에서 바로가기 키를 해제해주시면 됩니다. 그리고나면 아무리 Shift를 누르더라도 StickyKeys가 실행되지 않습니다.