Fuzzy Hash 알고리즘을 이용한 시스템 위변조 탐지

그냥....요즘 개인적으로 업무에 활용해볼까 해서 만들어보고 있는 어플리케이션

1. 개요
Fuzzy Hash 알고리즘을 이용한 시스템 위변조 탐지

2. 내용
침해사고 발생시 시스템에 설치되는 RootKit, 악의적인 목적으로 삭제/변조되는 시스템 파일들을 탐지하기 위해 Fuzzy Hash를 사용한다

 1) 웹 서버의 경우
웹 서버의 침해사고 시 WebShell등이 설치되어 관리자 권한을 탈취 당하거나 기타 취약점을 이용하여 웹 페이지의 위변조가 발생시 해당 부분에 대해 가시적으로 보이지 않으면 탐지가 어렵다
예를 들어 정상적인 웹 파일 내에 악성코드를 다운로드 하는 스크립트가 삽입되어 있을 경우, 클라이언트 단에서 페이지로 보기에는 정상적인 파일로 보이는데, 이때 이를 관리자 차원에서 즉각적으로 탐지하여 조치를 취할 수 있다

 2) 서버 시스템 파일의 경우
단순하게 웹 권한만을 탈취 당한 뒤, 서버의 설정 부재로 인해 시스템의 권한까지 탈취 당했을 경우 이를 탐지하기가 더욱 힘들다
특히 시스템 폴더에 RootKit이 설치되어 있을때 이를 즉각적으로 파악하기는 매우 힘들다
이를 위해 시스템 폴더 등의 특정 폴더를 선택, 혹은 시스템 드라이브의 모든 파일들을 선택하여 이를 실시간으로 확인할 수 있다면 그 피해를 줄일 수 있다

아~ 모르겠다
혼자 만들려니 넘 빡세네!!