[icesword] 숨겨진 프로그램, 루트킷을 찾아줍니다.

icesword는  루트킷을 제거하기위해서  만들어진 프로그램입니다.  백신으로 잡히지 않지만  수상한 트래픽이 발생하고 있다면  답답할 노릇이죠.  이럴 경우 icesword를 사용해보세요.. 정상 파일을 잘못삭제하면  시스템에 문제가 발생할 수도 있으니 정상여부를 정확하게 파악하시는것이 필요합니다. ^^
iceword 다운로드 페이지: http://icesword.en.softonic.com/
▶ 메뉴설명
 1. Fuctions
1) Process:  실행되고 있는 프로세스의 목록을 보여주며 파일주소, 숨겨진 프로세스까지 확인및 제거 가능
2) Port : 내 컴퓨터와 원격지에 연결된 상태를 보여주고 연결된 PID를 통해 해당 프로세스 확인가능
3) Kernel Module: 로드된 시스템 파일(.SYS)이나 DLL 목록을 확인가능
4) Startup: 부팅시 자동으로 실행되는 파일목록확인 가능
5) Win32 Services: 서비스로 실행되는 프로세스 확인가능, 알려진 루트킷이나 숨겨져 있는 서비스의 경우 자동으로 빨간색으로 표시됨

6) SPI (Service Provider Interface): 서비스의 인터페이스를 확인 할 수 있는 기능
7) BHO (Browser Helper Object): 웹 브라우저나 시스템의 쉘 실행시 로딩되는 DLL확인가능 
8) SSDT (System Service Descriptor Table): 실행 중인 메모리확인가능,  수정된 값은  빨간색으로 표시됨
9) Message Hook: 프로그램 동작 시 입출력 장치의 반응및 프로그램들의 이용 값이 표시됨.  키로거  확인가능
10) Log Process/Thread Creation: 프로세스에 대한 실행 로그를 확인가능
   – 주기적인 프로그램의 구동이 의심스러울 경우 이 부분을 확인 하면 되는데요. 
11) Log Process Termination: Process/Thread가 언제 종료되었는지를 기록
12) Scan Modules Hooks: 모듈검사 및  특정 프로세스/파일 모니터링 가능
  2. Registry: 윈도우의 Regedit로는 접근 할 수 없는 레지스트리 부분까지 접근 및 삭제가 가능
  3. File: 탐색기에서도 찾을수없는 숨김 파일을 찾고 보호된 파일을 해제하는 기능
– system32\config\SAM등의 파일을 직접 copy 가능, 삭제안되는 파일 삭제가능
**아래는  프로세스 메뉴인데  윈도우에서는 감춰져있는 프로세스를 빨간색으로 보여주고 있음을 알수있습니다. 
  프로그램의 위치, 

[MBSA] MS의 가장 간편한 서버보안 점검툴

윈도우 서버의 보안취약성을 조사하기위한  가장 빠르고 간편한 방법인 MBSA를 소개합니다.
예전부터 블로그에 올려둔 내용인데  링크를 수정해서 다시  올려봅니다 .
현재 2.2버전이 배포되고 있는데  무료입니다.

Windows 서버가 가지고 있는 역할에 따라 여러가지를 점검해줍니다.
어떤것이 스캔되었는지 리포트해주고  보완책까지 보여주니  좋은 툴이라 하지 아니할수없습니다.

참고사항 :  MBSAcli :  MBSA를 명령행에서 실행하여 배치작업이 가능하게 해주는 툴입니다.
다운로드 URL: << MS 다운로드 사이트에서 >>
간략하게 서버에서 공통적으로 점검해야 할 리스트를 정리해보았습니다.
MBSA의 사항을 기본으로 약간더 추가해보았습니다. ^^

A.    Security Update (MBSA로 점검)
1. windows security updates 
2. SQL Server Security Updates:

B.    Administrative Vulnerabilites
1. Local Account Password: 계정에 불필요 사용자 제거, 패스워드는 복잡성 만족해야  (로컬계정의 패스워드 시한정하는 것은 실제론 쉽지 않아서 …. 적용이 쉽지않음)
2. filesystem:  모두 NTFS인가?  보안속성 검토
3. Autologon: Autologon 금지
4. Guest Account : Guest Account disable 했는가?
5. Restrict Anonymous: anonymous access금지되어 있는가? (win2003에선 대부분 금지되어있음)
  (win2000경우)  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
– RestrictAnonymous   REG_DWORD   0x2(16진수)
6. Administrators: 관리자 그룹에 속한 유저 확인하기: (최소로 사용하기)

C.    Additional System information
1. Auditing: 적합한 감사정책이 세워져 있는가?
      (제어판/ Administrative Tools / Local Security Policy)  (Local Policies / Audit Policy )
        -Audit account logon events (Success, Failure)
        -Audit account management (Success, Failure)
        -Audit directory service access (Failure)
        -Audit logon events (Success, Failure)
        -Audit object access (Failure)
        -Audit policy change (Success, Failure)
         -Audit system events (Success, Failure)
2. Services: 불필요 서비스의 존재 여부 (특히 Telnet)
3. Shares: 불필요 공유폴더의 존재 여부 (DMZ엔 공유폴더가 존재하지 않아야 한다.)

D.    Internet Information Services
 1. IIS status: IIS가 불필요하게 서버에 설치되고 가동되고 있지는 않는가?
 2. 관리자사이트: 사용금지

E.    SQL Server
 1. SQL status: SQL이나 MSDE가 불필요하게 서버에 설치되어 구동되고있지는 않은가?

F.    Desktop Application
 1. IE enhanced security configuration for administrators: IE 추가보안설정이 되어있는지 확인
   제어판/ 프로그램 추가제거 / 윈도우즈 구성요소 추가제거/ Internet Explorer enhanced security configuration에서
   for administrator groups 와 for all other users groups 항목을 체크해준다.
 2. Office product status: 불필요하게 서버에 오피스 프로그램이 설치되어있지는 않은가?

G.    기타사항들
1. Domain 가입 필수
2. 백신 설치 (인트라넷에서 자동업데이트 되도록 설정)
3. IP: 사설 아이피만 존재해야 함
4. 모뎀 설치 금지 
5. 중요도에 따라 MOM서버에서 모니터링 하도록  설정 필수
6. 백업 및 복구계획 (파일서버, DB서버, AD서버,)