Information of IT

BPS 유형의 DoS 공격 이해 UDP Flood 공격이란?- UDP를 이용한 비연결형 DDoS 공격의 일종 - 대량의 UDP를 발생하여 정상적인 서비스를 하지 못하도록 가용성 침해를 일으키는 공격 - UDP 패킷을 받은 시스템은 포트를 사용하는 애플리케이션이 없다는 것을 확인한 후 ICMP Destination Unreachable 패킷을 출발지로 보내는 작업을 수행 - 대부분 공격자가 UDP 패킷의 출발지 주소를 임의로 생성하여 보내 공격자로 패킷이 전달되지 않음 - 현재 대부분의 OS에서 ICMP 응답비율을 제한함으로 UDP Flood 공격의 위험을 경감  PPS 유형의 DoS 공격 이해- PPS(Packet Per Seconds) 공격은 패킷을 다량으로 보내어 서버의 자원 고갈을 목적으로 하는 공..

DoS - Denial of Service의 줄임말 - 서비스를 일시적 또는 무기적으로 중단시키는 공격 유형을 통틀어 뜻함 - 시스템의 과부하나 시스템 오류를 일으켜 일부 또는 모든 합법적 요청이 정상 동작하지 않도록 수행 - 대표적인 공격 예시 : Ping of Death 공격 DDoS- 여러 시스템이 대상 시스템의 대역폭이나 리소스를 초과하여 서비스를 거부하는 방법 - 보통 시스템에 넘쳐나는 트래픽으로 시스템을 손상시킴 - 시스템의 결합이 아니더라도 가용성 침해 공격이 가능 - DoS와 DDoS를 동일선상에서 비교하는 것이 아닌 DoS 중 하나의 형태로 생각해야 함 - 대표적 공격 예시 : SYN Flooding 공격 * 금전적인 이유로 DoS 공격의 횟수는 시대가 변함에 따라 다양한 디바이스로 확대..

ARP 스푸핑을 이용한 MITM 공격 ARP 스푸핑?- 근거리 네트워크(LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용 - IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격하는 방식 ARP 스푸핑을 이용한 MITM 공격 원리- 두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술 - 두 단말 간의 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달 - 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능  ARP 스푸핑 공격 과정- 공격자(IP:X.X.X.40)는 B사용자 PC에게 연결하고자 하는 A사용자 IP에 자신의 MAC 주소를 포함하는 ARP..

근거리 네트워크 위협 근거리 네트워크 공격 종류LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2 계층에서 이루어지는 공격을 의미  ARP를 이용한 MITM 공격- Man in the Middle 의 약자로 중간자 공격이라 불림 - 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작 - 중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개 키 기반 인증을 사용 - 2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재  STP(Spanning Tree Protocol) 공격- STP는 스위치 네트워크 환경에서 사용되는 프로토콜 - 루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜 - ST..

스캐닝이란? - 특정 시스템 또는 인프라에서 어떤 단말 또는 서비스가 존재하는지 확인하기 위한 단계 - 침투를 하기 위한 사전 단계로서 주로 활용 - ATT&CK 메트릭스에서 Discovery 전략 단계로 구분 - 네트워크를 기반한 정보 수집이기 때문에 정보 내용이 선명하지 않음 > 단말의 전원 꺼짐, 네트워크 요청과 응답으로부터 오는 정보의 부족으로 인해 100% 정확한 정보 수집은 어려움 1. 공격자 관점에서의 스캐닝- 공격의 범위를 산정 - 공격 대상을 식별 - 사용할 공격 도구 또는 취약점을 사전에 파악하여 준비하는 단계 2. 방어자 관점에서의 스캐닝- 진단의 기능> 취약점 진단, 모의해킹 등의 기술적 진단 업무 중에서 업무를 수행하기 전에 자산이나 취약점 진단 대상을 파악하기 위한 단계 > 지단..

Wireshark를 이용한 공격 분석패킷 수집 기법- 패킷 수집 방법으로는 Hub, Switch, TAP 등의 방법이 가장 대표적으로 사용 - 각 수집 방법에 따른 장단점 발생 HUB 방식 > 모든 네트워크 트래픽을 공유하게 되며 Half-Duplex 방식 > 일반적으로 10 Mbps 장비들이 가장 많으며 간혹 100 Mbps 지원 장비도 있음 > 콜리전이 발생하게 되며 사용시 재전송이 증가할 수 있음 Switch 방식 > 네트워크 장비에서 지원이 가능해야 됨 ex) 구형 시스코의 경우 TX, RX 합쳐서 2개 지원 가능 > 벤더에 따른 명령어가 다름 ( 일반적으로 미러링 또는 SPAN 이라고 함) > Full-Duplex 지원이 가능하며 이에 따른 트래픽 초과가 발생할 수 있음 TAP(Test-Acce..

ATT&CK와 TTPsTTPs 방법론여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨 TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용 특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함 특정 악성코드 변종 예시특정 공격 패턴공격자가 사용하는 인프라피해자 공격 대상TTPs 방법론(MITRE)- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시 - ATT&CK : Adversarial Tactics, Techniques, and Common Knowledge의 약자 전략(Tactics)Initial Access- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는..

네트워크 공격 사례 분석랜섬웨어는 시스템을 감염시켜 피해자에게 협박하는 데 사용되는 악성 소프트웨어로, 다수의 사용자가 피해를 입었으며, 현재까지도 활발하게 많이 활용되는 요소 중 하나다. 상업적 해킹- 랜섬웨어(Ransonware)1) 의미 - 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어 - 컴퓨터로의 접근이 제한되어 해제하기 위해 해당 프로그램 개발자에게 지불을 강요받음 - 몸값을 뜻하는 Ransom과 소프트웨어의 영어인 Software의 합성어 2) 랜섬웨어의 현재 - FBI 분석결과에 따르면 공격자는 20202년 이전 6년간 비트코인 지갑과 랜섬노트 분석 결과 1억 4천만 달러 지불하는 등의 수익을 냄 - 가장 큰 피해를 준 조직은 북한의 라자루스 그룹이 개발한..

네트워크 공격 위협 개요네트워크 해킹 개요1. 의미 - 보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 통해 네트워크 상에서 발생되는 해킹을 의미 2. 네트워크 위협 요소 - 여러 통신 구간에 따라 보안의 3요소에 취약한 여러 위협들이 존재 - 보안의 3요소뿐만 아니라 다른 요소나 아니면 복합적인 요소로 인한 침해사고 발생 가능 위협 요소네트워크 장비를 속여 악의적인 방향으로 통신하도록 하거나 통신이 되지 않도록 하는 행위네트워크 통신 경로의 중간에 개입하여 도청하는 행위외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위(DoS)접근제어 설정 미흡으로 비정상적인 접근을 차단 또는 탐지하지 못하여 내부에 침투하는 행위내부의 자산을 파악하기 위해 훔쳐 보는 스캐닝 같은 ..

웹 캐시 통신 프로토콜(WCCP) 웹 캐시 통신 프로토콜 (WCCP)은 Cisco에서 개발한 콘텐츠 라우팅 프로토콜로, 트래픽 흐름을 실시간으로 리디렉션 하는 메커니즘을 제공합니다. 로드 밸런싱, 확장, 장애 허용 및 서비스 보증(장애 안전) 메커니즘이 내장되어 있습니다. Cisco IOS 릴리스 12.1 이상 릴리스에서는 프로토콜의 버전 1(WCCPv1) 또는 버전 2(WCCPv2)를 사용할 수 있습니다.WCCP는 Cisco Cache Engines (또는 WCCP를 실행하는 다른 캐시) 를 활용하여 네트워크의 웹 트래픽 패턴을 로컬화하여 콘텐츠 요청을 로컬에서 처리할 수 있도록 합니다. 트래픽 로컬화는 전송 비용과 다운로드 시간을 줄여줍니다. Web Service를 받고자 하는 Client에서 외부 ..

I. 다양하고 지속적인 지능형 타깃위협, APT 개요가. APT(Advanced Persistent Threat) 정의특수목적을 가진 조직이 기간 시설 망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격나. APT의 특징특징설명명확한 타겟(Victim) 목표불특정 다수가 아닌 명확한 표적을 정하여 지속적인 정보수집 후 공격감행우회공격시스템에 직접 침투하는 것뿐 아니라, 표적 내부직원들이 이용하는 다양한 단말을 대상지능화한가지 기술만이 아닌 Zero-day 취약점, 악성코드 등 다양한 보안위협공격기술사용지속적특정조직이 특정목적을 달성하기 위해 끊임없이 새로운 기술과방식을 지속적으로 이용 II. APT의 공..

I. 개인정보 추출 해킹기법 XSS에 대한 개요 가. XSS(Cross-Site Scripting)의 정의게시판에 악성 스크립트를 작성하여 다른 공격 대상자가 그 글을 보았을 때 사용자 정보를 획득하는 공격 기법나. XSS 특징공격대상: XSS 취약점은 웹서버 공격이 아닌, 웹서버 일반 사용자를 공격대상스크립트: 사용자 인지 없이 스크립가 자동 실행 시 해커 명령 스크립트 수행공격목적 : 스크립트에 따라 게시글을 읽는 접속자(PC)의 다양한 정보유출공격지속: 게시글이 존재하는 한 게시글을 열람하는 많은 사용자가 지속적 피해다. XSS의 피해쿠키 정보/ 세션 ID 획득: 공격자가 이를 통해 정상사용자로 가장할 수 있음시스템 관리자 권한 획득: 브라우저가 취약점 스크립트 실해으로 관리자 권한 획득악성코드 다..

I. 지능형 위협 조기경고 시스템, SIEM의 개요 가. SIEM(Security Information & Event Management)의 정의빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해 주는 지능적 위협에 대한 조기 경고 모니터링 체계기존의 ESM(Enterprise Security Management)의 역할을 보안 영역에서 기업 전반으로 확대시키고, 기업 컴플라이언스 대응 기능을 추가한 것기업 내 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 것 나. SIEM의 등장 배경기업의 보안정책 중 외부 해킹 공격에 대한 효과적인 차단과 ..

I. 사용자 계정과 권한의 통합관리, IAM의 이해 가. IAM(Identity and Access Management)의 정의- 접근권한 관리 중심의 EAM(Extranet Access Management) 기술에서 발전하여 Identity 수명주기 동안 계정과 권한의 관리를 위한 통합관리 솔루션 나. IAM의 등장 배경특 징설 명Legacy 어플리케이션 증가-기업의 시스템과 어플리케이션 관리가 복잡해짐-다양한 어플리케이션별 계정 및 인증 방법이 혼재함통합된 사용자 관리 필요-상이한 환경의 사용자 관리를 위한 업무부하 발생-개별 사용자에 대한 기록 관리 및 감사 필요비용절감-업무와 서비스 권한 관리의 일원화를 통한 인력 및 비용 절감-통합된 체계를 기반으로 한 업무 효율성 증대  Ⅱ. IAM 구성 및 ..

윈도우 10에서 제공하는 원격데스크톱(MSTCS) 연결 기능은 동일한 네트워크 망에 연결된 컴퓨터끼리 원격으로 접속할 수 있게 만들어준다. -> 따라서 내부 네트워크망(L2 도메인 브로드캐스트망)에서 주로 사용​- 내부망에 연결된 PC 원격 접속 테스트​권한이 허용되지 않는 사용자가 무단으로 접속하는 것을 방지하기 위해 접속 대상 PC 방화벽에서 기본적으로 원격 접속을 차단하고 있기 때문에, 접속 대상 PC에서 원격 데스크톱 기능을 실행시켜줘야 한다. ​Windows10 원격 데스크톱 설정1. Windows 방화벽 3389 포트 OPEN - 원격 데스크톱(MSTSC) 연결을 위한 포트는 3389를 사용하며, 방화벽에서 원격 데스크톱 연결을 위한 포트 3389를 열어줘야 한다.​2. 원격 액세스 허용 설..