목록 보기
실행 프로세스 추적 방식을 통한 명령어 우회 원천 차단
백엔드

실행 프로세스 추적 방식을 통한 명령어 우회 원천 차단

QueryPie
QueryPie
2024년 11월 22일

두줄요약

리눅스에서 실행 직전 프로세스를 추적해 명령어 우회를 차단하는 방식을 소개했습니다. 시스템 콜 수준 제어로 다양한 실행 경로를 막고 감사 로깅까지 확장할 수 있었습니다.

문제 상황

  • 리눅스에서 사용자가 실행 권한을 가진 프로그램을 자유롭게 실행할 수 있어 특정 명령어 제한이 어려운 상황
  • 기본 사용자 권한 체계와 시스템 로그만으로는 우회 실행과 작업 추적을 충분히 막기 어려운 보안 요구

해결 방법

  • 커널 레벨 저수준 프로세스 추적으로 실행 직전 정책 검증과 차단 수행
  • child 프로세스 모니터링과 시스템 콜 후킹으로 심볼릭 링크, alias, 스크립트 경유 실행까지 감지
  • 실행 파일이 로드되기 전에 차단해 우회 경로를 원천적으로 봉쇄

적용해볼 점

  • 실행 결과 중심이 아니라 실행 시점 제어로 보안 정책 강화
  • 특정 프로그램 차단을 넘어 시스템 콜 단위 통제로 확장 가능
  • 사용자, 시각, 환경 정보를 함께 기록하는 감사 로깅과 결합 가능

댓글 0

댓글을 작성하려면 로그인이 필요합니다.

댓글을 불러오는 중...