해킹을 어떻게 하는가 ? -대처방안

[謐裸〃]

[본문스크랩] [팁] 테일즈 해킹의 유형과 대응방법 ★★ (일부추가) (이웃공개) | 게시판

2006/10/06 10:18

카페 > 테일즈위버 클럽 커뮤니티 카.. / 러디님
http://cafe.naver.com/twdestiny/29756

안녕하세요.

전 아노썹에서 활동하고있는 Bloodyswords 라고 합니다. (보리스유저)

요즘 루키나 여기 게시판에도 해킹어쩌구저쩌구 하면서..많이들 당하시는것 같은데요.

테일즈는 다른 리니지같은 겜과는 달리 nProtect같은 보호시스템이 작동하지않기때문에,,

해킹의 위험이 높습니다.

해킹의 패턴과 그에따른 대응방법을 조금만 알아도 해킹에 당하는일은 없을텐데..

당하는분들보면 무척 안타깝다는 생각이..

그래서 제가 조금이나마(?) 알고있는 지식을 활용하여 ,

해킹패턴과 대응방법을 자세하게 써보고자 하는데요..

★★해킹패턴을 쓸때, 좀 해킹강좌와 비슷한경향으로 나갈수도있는데,,

물론 이걸 이용하는 나쁜사람들도 있겠지만 ,

과정을 더 자세히 알면 더욱 신중해지고, 대응도 확실히 알수있다고 판단해서

그냥 쓰도록 하겠습니다..

해킹강좌로 오해하지 말아주세요!!

이 글이 좀 어렵게 느껴질수도 있는데,,

좀 컴퓨터관련 용어들이 나오다보니,,어쩔수가없네요

관심있으신분만 읽어주셔도 뭐 감사할따름입니다..

최대한 쉽게 썼습니다.

일단 해킹에는 여러 방법이 있지만, 테일즈 해킹에 이루어지는 방법들을 중점으로 써보겠습니다.

해킹 유형에는 크게 ,

' 메신저 파일 침투' ,' P2P,인터넷망을 통한 감염 ' , ' PC방 키로그' 

세가지로 볼수있습니다..

해킹범이 넥슨 서버컴퓨터에 텔넷으로 불법접근하는건..

미친짓에 가깝기때문에

위 세가지 유형을 제외한 다른건 일어날 가능성이 적습니다.

그 중에서도 메신저로 인한 피해가 제일 많은데요..

메신저 중점으로 설명하도록 하겠습니다.

첫번째로 깜빡 속아넘어가면 속수무책으로 당하기 쉬운 ' 메신저 파일 침투'  ( 제일 많이 당하는유형 )

   메신저에서도 여러 메신저들이 있지만, 그중에서 파일 송/수신할때 특정포트를 이용하는 '버디버디' 가 제일 해킹하기 손쉽습니다.

왜 쉬운지는 조금있다가 보면 알겁니다.

버디버디를 사용하면서 무심코 , 쪽지를 보내고 파일을 주고받게 되죠...

일단 텔즈에서 겜하고있는데 갑자기 누구로부터  쪽지가 옵니다.

아래는 제가 실제로 한건 접한 예를 든것입니다.

갑자기 쪽지가 오더군요.

해킹범 : 저..님~ 예전에 님이랑 저랑 사냥하던거 기억하세요?

본인 : 아니요? 님 누군지 모르는데요

해킹범 : 흠,,,그때 당시 스크린샷 보면 아실텐데요~ 제가 그때 님이랑 같이 스샷 찍었거든요~^^

본인 : 그래요?

해킹범 : 네 , 버디버디 ID 있으세요?? 좀 갈쳐주세요~ 스샷 보내드릴꼐요

본인 : 왜 해킹하려고?

해킹범 : ......

본인 : #$^%*&^%%$^ㅆ#$^%*$@!#!@!!!!!!!!!!!!

본좌는 위상황에서 해킹임을 알아채고 전문적 지식을 총동원하여 따졌더니 말이없이 사라지더군요..

위 상황에서 해킹범이 버디버디ID를 묻는데, 거기서 속아서 가르쳐주게되어서,

쪽지를 통해서 그 파일을 받게되면 속아넘어가는겁니다.

왜 여기서 하필 스샷을 보내준다고 할까?

항상 해킹범들의 공통된 특징은 대부분 스샷을 보내준다고 하는것..

그 이유는 좀있다가도 밝혀질테지만 ,

속이기 쉽기때문입니다.

이제 해킹범이 실제로 어떻게 파일을 보내는지 그 세세한 과정을 설명해드리겠습니다.

(테일즈에서 상대방을 꼬셨다는 전제하에)

이 과정을 알게되면 , 앞으로 메신저를 통해서 파일을 받을때

신중함이 생기실겁니다.

해킹툴중에서도 백오리피스2000,넷데빌,핵어택,스쿨버스,서브세븐,넷버스 등이 있지만,

그중에서도 한글판이 존재하고 무게감이 적으면서도 가장 컨트롤하기 쉬운 해킹툴이

NetBus 1.70버젼입니다.(NetBus Pro 도 있지만, 사용률이 낮음)

기능면에서는 백오리피스가  가장 강력한 툴입니다.

한떄 백오리피스2K이전 버젼으로 누가 은행컴퓨터를 해킹해서

엄청난 정보를 뺴돌린적이 있었다죠..

그게 뉴스에 엄청 뜨면서 ,

그때부터 백도어에 대한 개념이 생겼습니다..

넷버스 파일구조를 살펴보게되면 , NetBus.exe 클라이언트파일 , Patch.exe 서버파일이 있습니다.

이 프로그램은 악성프로그램이라, 백신검사를 하면 바로 제거됩니다.

여기서 Patch.exe파일을 상대방 컴퓨터에 침투시켜서 피해자가 실행하게끔 만들어야 ,

해킹범이 감염자 컴퓨터로 접속할수가 있는데,

  그냥보내면 당연히 상대방이 의심의 눈길을 보내면서,

거의 받지 않겠죠.

그래서 파일 합치는 프로그램을 이용합니다.

(사실 이때, 옛날에는 백신에 안걸리기위해서, 또는 용량을 줄이기 위하여 ,

UPX라는 압축프로그램으로 Patch파일을 조작했었지만, 이젠 백신에 다 걸려서 거의 안합니다.)

 

 

 

파일 합치는 프로그램으로는 여러가지가 있지만,  외국 모사의 Poxxxxxxxx라는 프로그램이 많이 쓰이죠.

물론 이 프로그램 또한 악성프로그램으로 분류되어서 , 백신검사에 의해 제거됩니다.

위 화면에서 1st  , 2nd중 하나는 스크린샷이라고 속인파일을 지정하고, 하나는 patch.exe파일을 지정한뒤에, icon에서 jpg확장자 아이콘파일을 선택한후 Merge! 를 하게되면 두개의 파일이 합쳐진 , 하나의 파일이 생기게됩니다.

 

 

그리고 After execution항목이 또 강력한기능이죠..

합친파일이 실행되고난뒤 , 그 파일을 어떻게 처리할거냐를 정하는 항목인데

 

do nothing : 그대로 냅둔다

delete file : Merge 된 파일이 실행되고나면 자신은 자동 삭제된다

replace with 1st file : Merge된 파일이 실행되고 난뒤 자신은 삭제되고 그 자리에1st에 지정했던 파일로 대체한다

replace with 2nd file : Merge된 파일이 실행되고 난뒤 자신은 삭제되고 그 자리에 2nd에 지정했던 파일로 대체한다

 

 

그리고 Icon항목에는 상대방을 속일수있는 수많은 Icon이 첨부되 있습니다..

폴더옵션에서 많이 사용하는 확장자 숨기기 기능을 키게되면 확장자가 안나타나게되니 절대적으로 속을수밖에 없죠.(꼼꼼한분 아닌이상)

수많은 속임수 Icon들        

 

스샷과 해킹파일이 합쳐진 파일(백신검사에 의해 삭제가능)  지금은 용량이 2.74MB로 무지 크지만 , UPX를 이용하여 줄일수있습니다.  

 

 

 

이제 적당히 이름을 바꿔서  버디버디의 파일첨부 기능을 이용하여, 파일을 전송합니다.

첨부하는 모습 (여기서 조금만 아시는분은 그림파일이 왜 exe? 하고 생각하실텐데..)  

 

 

 

 

이제 파일을 전송하게 되는데 , 피해자가 파일전송을 허락하는순간 , 해킹범에게 IP가 노출이 됩니다.

아래 화면을 보시면..

파일 전송을 하고나면 , 위 화면Foreign Adress란에

버디버디 파일전송포트3976번에 해당하는 외부 IP주소가

나오게 됩니다. 버디는 파일전송에 특정포트를 이용하기때문에  이 특정포트번호 옆의 IP를 보면 상대방 IP를 금세 알수가있죠. 다른 메신저는 알수가 없습니다. 따라서 상대방 IP를 쉽게 딸수있기때문에 해킹이 쉽습니다. 그래서 해킹범들이 자주 애용하는 편이죠.

 

이제 파일을 받은사람은 , 그 파일을 실행하게 되고

실행후 화면에는 아까 파일합칠때 사용되었던 , 그림파일만이 화면에 뜨게됩니다.

그러나 프로세스 항목에는 Patch가 버젓이 실행되고 있죠.

 

화면에는 사진만 보이지만 , 실제로는 Patch.exe가 몰래 실행되고있는 모습

 

여기서 주의할건 , Patch.exe는 해킹범이 파일이름을 임의로 변경가능합니다.

뭐 system.exe라던지 , system32.exe, rundll.exe등으로 바꾸면 속을수가있죠.

 

 

일단 Patch.exe가 한번 실행되었다면 ,

레지스트리에 Run항목에 등록되어서 윈도우 시작할때마다 , 자동으로 실행되게하고,

Windows폴더안으로 똑같은 자신과 똑같은 Patch파일을 복사하여 숨김으로써, 사용자로 하여금 모르게 합니다.

트로이목마의 기본인 생존성이죠.

끝까지 컴퓨터에 남으려고 합니다.

 

윈도우가 시작할때마다 계속 해킹의 위험에 노출되는거죠.

이렇게 된다면 , 누군가가 Netbus기본포트 12345포트로  특정 IP범위를

포트스캐너로 스캔했을시 , 자신의 컴퓨터가 노출이 될수도 있습니다..

따라서 무작위로도 해킹에 걸릴수가 있는거죠.

 

 

윈도우 시작항목과  Windows폴더에 자신을 복사하여 생존하려는 모습

 

 

 

 

 

 

넷버스 실행화면

 

그 이후에는 간략히 설명하겠습니다.

아까 알아낸 상대방IP를 IP란에 입력한뒤에 Connect!를 누르게되면 접속이 됩니다.

넷버스 기능중 핸들활성화를 이용하여 , 테일즈위버를 꺼버린뒤 , 

감지 기능을 (키보드 인식) 작동시킵니다.

피해자는 로그인을 다시 하게되는데 , 이때 화면덤프 기능으로 화면 스샷을찍어서 ID를 알아낸뒤

감지기능을 이용해서 키보드로 입력하는 정보가 빠져나가게 됩니다.

해킹을 당하는거죠.

 

텔즈 뿐만아니라 다른 신용카드번호  , 암호 , 개인정보 , 모든것이 빠져나갑니다.

 

이처럼 과정은 매우복잡하게 보이지만 , 메신저해킹을 예방하는 방법은 간단합니다.

해킹범이 열심히 이렇게 했는데,, 이걸 무의미하게 만들어야죠

백신 설치가 가장 중요합니다.

첫째로, 게임내에서 절대로 스샷이나 그림 보내준다고하면 속지마세요.

속으면 거의 반은 당하는겁니다.

아는사람이 보내준다고 해도 일단 파일에 의심을 가져보세요.

둘째로, 속았다하더라도 , 백신의 실시간감시기능은 무조건 켜놓으세요.

실시간감시기능만 켜놔도 절대 안당합니다.   세째로, 백신의 전체검사를 주기적으로 가동시켜주세요. 전체검사를 하게되면, 컴퓨터내의 모든 해킹프로그램은 다 잡힙니다. 귀찮더라도 꼭 일주일에 한번은 돌려주세요. 백신이 없으면 꼭 설치하기 바랍니다. 세계 1위 백신 Kaspersky 를 추천합니다. 보급형으로는 V3 씨리즈가 있겠죠..   이상으로 메신저를 이용한 해킹에 대해서 서술하였습니다.. 넷버스만 위 상황에 해당되는게 아니라  , 거의 모든 백도어 프로그램이 위와 같습니다.         둘째로 , P2P나 인터넷망을 통한 감염이 있는데 이것도 역시 같습니다. 인터넷,P2P를 이용하다가 , 우연히 해킹파일과 합쳐진 파일을 받게되는겁니다. 대응책으로는 백신만 있으면 다 해결되겠죠.(자동 삭제 됩니다.)         세째로 , 피시방에서 키로그를 당하는경우가 있습니다.   진짜 재수없다면 하필 자신이 이용중인 컴퓨터가 백도어에 감염되어서 다 보여지는경우가 있습니다. 그럼 해킹에 당하게되죠.. 일단 백신이 설치돼있는지 확인하세요. 설치가 돼있다면 실시간 감시기능 작동여부를 확인하시고 일단 전체검사를 시작 해보세요. 그럼 맨처음에 파일검사전에 , 현재 실행중인 프로세스검사를 하게됩니다. 그때 해킹프로그램이 실행되고 있다면 잡히게 되는거죠. 프로세스 검사까지만 하고 검사종료하시면 됩니다.   피시방에 백신이 없다면 어떻게 할까요? (드물지만) 일단 Ctrl + Alt + Delete를 눌러서 작업관리자를 연뒤에, 의심스러운 프로세스가 있는지 확인합니다. 그리고 나서 해당 프로세스종료를 합니다..   의심스러운 프로세스를 예로 들자면,,, 보통 백도어파일들은 자신을 숨기거나 위장하기 위해서 시스템파일명으로 둔갑하는경우가 많습니다. 백오리피스나 서브세븐, 넷데빌 등이 여기에 해당되죠. 예를들면 Patch.exe -> rundll32.exe로 둔갑 rundll32.exe는 디스플레이제어판이나 키보드,마우스 등을 셋팅할때만 뜨는데, 아무런 설정창도 없는데 프로세스에 rundll32.exe가 있다면, 의심해볼만 합니다. 그리고 백도어파일은 실행되면 , 작업관리자에서 사용자이름이 현재 로그인된 계정으로 나타납니다. SYSTEM권한으로 실행되는경우는 거의 없어요.       만약에 너무 어려워서 찾지를 못하겠으면, 다음을 이용합니다. 보조프로그램에 " 명령프롬프트" 를 연뒤에, 커맨드창에  netstat -na  라고 입력합니다. Local Adress쪽에 다음과 같은 포트번호가 있다면 , 백도어에 감염된것입니다.     12345   Netbus 1.x 12346 Netbus 1.x ( 넷버스터라는 안티 넷버스 프로그램을 피하기위한 포트번호) 20034   Netbus Pro 27374  SubSeven  2.1 31337  ,  54320  Back Orifice2000 31787  Hack 'a' Tack 54321  SchoolBus 1.6 ~ 2.0 65000  Net Devil 1.03   위 포트번호는 주로 많이 사용되는 해킹툴의 기본포트를 나타낸것이며, 실제로는 이보다 훨씬 많습니다.     또다른 피시방해킹방법으로 키로그전용툴을 이용하는경우가 있는데, 옛날에 아주 많이 유행했던   IK97이라는 프로그램이 있죠.. 이걸 깔게되면 , 윈도우시작할때마다 자동으로 실행되는데, 그 후로부터 컴퓨터가 꺼질때까지 키보드로 입력하는 모든정보를 시간,날짜순으로 다 기록합니다. 그래서 나중에 해킹범이 로그파일을 확인하여 , 기록내역을 다 빼가는 방법이죠. 이것 역시 의심스러운 프로세스를 이용하여 종료하거나, 백신검사를 실시하여 , 제거할수있습니다.         너무 길게 쓴거같은데 읽어주셔서 감사하구요. 글 내용이 이리저리 횡설수설 한거같군요ㅣ. 앞으로 해킹같은거 안당하면 좋겠습니다. 시간과 노력을 투자해서 얻은 결과물을 , 해킹당하면 좋지않겠죠.. 일단 근본적으로는 해킹한놈이 잘못이지만, 개인이 조금만 주의한다면 당하지않을꺼라 생각합니다.   추가적으로  유저들이 아는부분이 있으면 댓글로 남겨주세요. 그럼 더욱더 좋은정보가 될것 같습니다..     수정내용)  이 글 보고 따라하시는분이 있을수도 있는데.. 괜한 짓은 안하는게 좋습니다. 잘못 걸리면 침입장면을 스샷확보한뒤 그것을 증거물로 경찰서에 신고해서 형사입건시킬수 있습니다.. 존알람이나 노턴인터넷시큐리티 같은 프로그램은 침입시 , 접근을 차단하고 침입자의 IP를 표시하여 줍니다. 그게 명백한 증거인거죠. 절대 따라하지마세요   그리고 이글은 전체공개 게시물이라서 게임루키 같은곳에도 게시 가능합니다. 출처는 명확히 밝히고 게시해주세요. 많이 알수록 좋을거 같네요,     마지막으로 하나 더 가르쳐드리자면   http://www.ctrc.go.kr <-경찰청 사이버테러대응센터   여기 들어가시면 게임계정해킹, 아이템사기 등 모든 사이버범죄에 관하여 경찰이 어떻게 어떤방식으로 문제를 해결하는지, 경찰이 개입하는 부분은 어느 범위까진지, FAQ가 나와있습니다 많은 도움이 될거에요     추가적으로 간단하고 확실히 대처하는방법 알려드리겠습니다. 은행 사이트나 카드회사 사이트에 접속 한번하면 간단히 끝납니다.   e농협 : http://banking.nonghyup.com/ 삼성카드 : http://www.samsungcard.co.kr/ 제일은행 : http://ib.scfirstbank.com   위 사이트중 아무곳에 접속하셔서 보안경고창이 뜨면 설치 또는 예를 누르시면, Ahnlab사의 MyFirewall , 키보드보안프로그램이 작동됩니다.            

아노썹 - Bloodyswords , 러디

 

 

넬이가 해킹 당했다는 것을 오늘 알아서 ..;

늦게 나마 글을 올리는데..;

다른 사람들도 피해보지 않기를 ..;

 

[謐裸〃]

해킹 당했을때 어떻게 하면 물품을 돌려받을수 있는지 하는 글은 어디갔는지 없어져버렷어 ㅠ;

[류넬]

와아~!

[류넬]

근데 해킹 8월말에 당했어.. 그리구 이번 해킹당한건 진짜 내잘못(...)도 쫌 있..-_-나..? 아냐!! 아니야아아=ㅇ=!!<

[월아〃]

이 '풉'인간 꺼져버려

[시나]

길다