Information of IT

ARP 스푸핑을 이용한 MITM 공격 ARP 스푸핑?- 근거리 네트워크(LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용 - IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격하는 방식 ARP 스푸핑을 이용한 MITM 공격 원리- 두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술 - 두 단말 간의 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달 - 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능  ARP 스푸핑 공격 과정- 공격자(IP:X.X.X.40)는 B사용자 PC에게 연결하고자 하는 A사용자 IP에 자신의 MAC 주소를 포함하는 ARP..

근거리 네트워크 위협 근거리 네트워크 공격 종류LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2 계층에서 이루어지는 공격을 의미  ARP를 이용한 MITM 공격- Man in the Middle 의 약자로 중간자 공격이라 불림 - 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작 - 중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개 키 기반 인증을 사용 - 2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재  STP(Spanning Tree Protocol) 공격- STP는 스위치 네트워크 환경에서 사용되는 프로토콜 - 루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜 - ST..

스캐닝이란? - 특정 시스템 또는 인프라에서 어떤 단말 또는 서비스가 존재하는지 확인하기 위한 단계 - 침투를 하기 위한 사전 단계로서 주로 활용 - ATT&CK 메트릭스에서 Discovery 전략 단계로 구분 - 네트워크를 기반한 정보 수집이기 때문에 정보 내용이 선명하지 않음 > 단말의 전원 꺼짐, 네트워크 요청과 응답으로부터 오는 정보의 부족으로 인해 100% 정확한 정보 수집은 어려움 1. 공격자 관점에서의 스캐닝- 공격의 범위를 산정 - 공격 대상을 식별 - 사용할 공격 도구 또는 취약점을 사전에 파악하여 준비하는 단계 2. 방어자 관점에서의 스캐닝- 진단의 기능> 취약점 진단, 모의해킹 등의 기술적 진단 업무 중에서 업무를 수행하기 전에 자산이나 취약점 진단 대상을 파악하기 위한 단계 > 지단..

Wireshark를 이용한 공격 분석패킷 수집 기법- 패킷 수집 방법으로는 Hub, Switch, TAP 등의 방법이 가장 대표적으로 사용 - 각 수집 방법에 따른 장단점 발생 HUB 방식 > 모든 네트워크 트래픽을 공유하게 되며 Half-Duplex 방식 > 일반적으로 10 Mbps 장비들이 가장 많으며 간혹 100 Mbps 지원 장비도 있음 > 콜리전이 발생하게 되며 사용시 재전송이 증가할 수 있음 Switch 방식 > 네트워크 장비에서 지원이 가능해야 됨 ex) 구형 시스코의 경우 TX, RX 합쳐서 2개 지원 가능 > 벤더에 따른 명령어가 다름 ( 일반적으로 미러링 또는 SPAN 이라고 함) > Full-Duplex 지원이 가능하며 이에 따른 트래픽 초과가 발생할 수 있음 TAP(Test-Acce..

ATT&CK와 TTPsTTPs 방법론여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨 TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용 특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함 특정 악성코드 변종 예시특정 공격 패턴공격자가 사용하는 인프라피해자 공격 대상TTPs 방법론(MITRE)- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시 - ATT&CK : Adversarial Tactics, Techniques, and Common Knowledge의 약자 전략(Tactics)Initial Access- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는..

네트워크 공격 사례 분석랜섬웨어는 시스템을 감염시켜 피해자에게 협박하는 데 사용되는 악성 소프트웨어로, 다수의 사용자가 피해를 입었으며, 현재까지도 활발하게 많이 활용되는 요소 중 하나다. 상업적 해킹- 랜섬웨어(Ransonware)1) 의미 - 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어 - 컴퓨터로의 접근이 제한되어 해제하기 위해 해당 프로그램 개발자에게 지불을 강요받음 - 몸값을 뜻하는 Ransom과 소프트웨어의 영어인 Software의 합성어 2) 랜섬웨어의 현재 - FBI 분석결과에 따르면 공격자는 20202년 이전 6년간 비트코인 지갑과 랜섬노트 분석 결과 1억 4천만 달러 지불하는 등의 수익을 냄 - 가장 큰 피해를 준 조직은 북한의 라자루스 그룹이 개발한..

네트워크 공격 위협 개요네트워크 해킹 개요1. 의미 - 보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 통해 네트워크 상에서 발생되는 해킹을 의미 2. 네트워크 위협 요소 - 여러 통신 구간에 따라 보안의 3요소에 취약한 여러 위협들이 존재 - 보안의 3요소뿐만 아니라 다른 요소나 아니면 복합적인 요소로 인한 침해사고 발생 가능 위협 요소네트워크 장비를 속여 악의적인 방향으로 통신하도록 하거나 통신이 되지 않도록 하는 행위네트워크 통신 경로의 중간에 개입하여 도청하는 행위외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위(DoS)접근제어 설정 미흡으로 비정상적인 접근을 차단 또는 탐지하지 못하여 내부에 침투하는 행위내부의 자산을 파악하기 위해 훔쳐 보는 스캐닝 같은 ..