[Education]/[Network] 네트워크 공격 유형 이해와 위협 행위 분석 11

[Network] 11. 취약점 기반 암호화 통신 위협 이해

암호화 통신 공격의 이해 SSL MITM 공격의 이해- SSL MITM 공격 원리 > 공격자는 중간에서 스푸핑 작업을 통해 HTTPS 요청을 기다림 > 이때 HTTPS 요청이 생기면 공격자의 가짜 인증서를 클라이언트에 전달 > 피해와 공격자 사이에서는 공격자의 인증서로 통신 > 공격자와 서버는 실제 서버의 인증서로 통신 SSL Strip 공격의 이해- SSL Strip 공격 원리 > 공격자가 ARP Spoofing 공격 후 피해자가 접속 시까지 기다림 > 방화벽 정책을 설정하여 80번 포트로 들어오는 것을 임의의 포트로 포워딩 > 공격자가 SSL Strip 기법으로 SSL 통신을 하지 않도록 만듦 > 피해자가 서버 접속 시 https가 아닌 http로 접속하게 됨 > 공격자는 패킷을 캡처하여 ID, P/..

[Network] 10. 암호와 통신의 이해

SSL과 TLS의 이해SSL(Secure Socket Layer)은 인터넷상에서의 보안 통신을 얘기하며, 전자서명 기술을 기반으로 한 암호화 프로토콜을 이용한다. - SSL이란 Secure Socket Layer의 약어로 인터넷에서 데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜- 클라이언트가 서버에 접속하면 HTTPS 포트로 Redirect- 클아이언트는 HTTPS 포트인 443번으로 연결- Security Socket Layer의 약자 / TLS : Transport Layer Security> 1.0, 2.0, 3.0으로 구성되어 있으며 TLS 버전으로 변경되면서 TLS 1.0 ~ 1.3 버전까지 공개> CA(Certifiacte Authority)라 불리는 인증 기관으로부터 서버를 검증..

[Network] 9. BPS/PPS/RPS유형의 DoS 공격 이해

BPS 유형의 DoS 공격 이해 UDP Flood 공격이란?- UDP를 이용한 비연결형 DDoS 공격의 일종 - 대량의 UDP를 발생하여 정상적인 서비스를 하지 못하도록 가용성 침해를 일으키는 공격 - UDP 패킷을 받은 시스템은 포트를 사용하는 애플리케이션이 없다는 것을 확인한 후 ICMP Destination Unreachable 패킷을 출발지로 보내는 작업을 수행 - 대부분 공격자가 UDP 패킷의 출발지 주소를 임의로 생성하여 보내 공격자로 패킷이 전달되지 않음 - 현재 대부분의 OS에서 ICMP 응답비율을 제한함으로 UDP Flood 공격의 위험을 경감  PPS 유형의 DoS 공격 이해- PPS(Packet Per Seconds) 공격은 패킷을 다량으로 보내어 서버의 자원 고갈을 목적으로 하는 공..

[Network] 8. Dos 공격의 이해와 종류

DoS - Denial of Service의 줄임말 - 서비스를 일시적 또는 무기적으로 중단시키는 공격 유형을 통틀어 뜻함 - 시스템의 과부하나 시스템 오류를 일으켜 일부 또는 모든 합법적 요청이 정상 동작하지 않도록 수행 - 대표적인 공격 예시 : Ping of Death 공격 DDoS- 여러 시스템이 대상 시스템의 대역폭이나 리소스를 초과하여 서비스를 거부하는 방법 - 보통 시스템에 넘쳐나는 트래픽으로 시스템을 손상시킴 - 시스템의 결합이 아니더라도 가용성 침해 공격이 가능 - DoS와 DDoS를 동일선상에서 비교하는 것이 아닌 DoS 중 하나의 형태로 생각해야 함 - 대표적 공격 예시 : SYN Flooding 공격 * 금전적인 이유로 DoS 공격의 횟수는 시대가 변함에 따라 다양한 디바이스로 확대..

[Network] 7. 근거리 네트워크 내 MITM 유형 공격

ARP 스푸핑을 이용한 MITM 공격 ARP 스푸핑?- 근거리 네트워크(LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용 - IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격하는 방식 ARP 스푸핑을 이용한 MITM 공격 원리- 두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술 - 두 단말 간의 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달 - 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능  ARP 스푸핑 공격 과정- 공격자(IP:X.X.X.40)는 B사용자 PC에게 연결하고자 하는 A사용자 IP에 자신의 MAC 주소를 포함하는 ARP..

[Network] 6. 근거리 네트워크 개념과 종류

근거리 네트워크 위협 근거리 네트워크 공격 종류LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2 계층에서 이루어지는 공격을 의미  ARP를 이용한 MITM 공격- Man in the Middle 의 약자로 중간자 공격이라 불림 - 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작 - 중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개 키 기반 인증을 사용 - 2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재  STP(Spanning Tree Protocol) 공격- STP는 스위치 네트워크 환경에서 사용되는 프로토콜 - 루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜 - ST..

[Network] 5. 네트워크 스캐닝

스캐닝이란? - 특정 시스템 또는 인프라에서 어떤 단말 또는 서비스가 존재하는지 확인하기 위한 단계 - 침투를 하기 위한 사전 단계로서 주로 활용 - ATT&CK 메트릭스에서 Discovery 전략 단계로 구분 - 네트워크를 기반한 정보 수집이기 때문에 정보 내용이 선명하지 않음 > 단말의 전원 꺼짐, 네트워크 요청과 응답으로부터 오는 정보의 부족으로 인해 100% 정확한 정보 수집은 어려움 1. 공격자 관점에서의 스캐닝- 공격의 범위를 산정 - 공격 대상을 식별 - 사용할 공격 도구 또는 취약점을 사전에 파악하여 준비하는 단계 2. 방어자 관점에서의 스캐닝- 진단의 기능> 취약점 진단, 모의해킹 등의 기술적 진단 업무 중에서 업무를 수행하기 전에 자산이나 취약점 진단 대상을 파악하기 위한 단계 > 지단..

[Network] 4. 네트워크 분석 도구 소개 및 활용 - Wireshark

Wireshark를 이용한 공격 분석패킷 수집 기법- 패킷 수집 방법으로는 Hub, Switch, TAP 등의 방법이 가장 대표적으로 사용 - 각 수집 방법에 따른 장단점 발생 HUB 방식 > 모든 네트워크 트래픽을 공유하게 되며 Half-Duplex 방식 > 일반적으로 10 Mbps 장비들이 가장 많으며 간혹 100 Mbps 지원 장비도 있음 > 콜리전이 발생하게 되며 사용시 재전송이 증가할 수 있음 Switch 방식 > 네트워크 장비에서 지원이 가능해야 됨 ex) 구형 시스코의 경우 TX, RX 합쳐서 2개 지원 가능 > 벤더에 따른 명령어가 다름 ( 일반적으로 미러링 또는 SPAN 이라고 함) > Full-Duplex 지원이 가능하며 이에 따른 트래픽 초과가 발생할 수 있음 TAP(Test-Acce..

[Network] 3. ATT&CK 전략과 네트워크 위협

ATT&CK와 TTPsTTPs 방법론여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨 TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용 특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함 특정 악성코드 변종 예시특정 공격 패턴공격자가 사용하는 인프라피해자 공격 대상TTPs 방법론(MITRE)- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시 - ATT&CK : Adversarial Tactics, Techniques, and Common Knowledge의 약자 전략(Tactics)Initial Access- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는..

[Network] 2. 네트워크 공격 사례 분석

네트워크 공격 사례 분석랜섬웨어는 시스템을 감염시켜 피해자에게 협박하는 데 사용되는 악성 소프트웨어로, 다수의 사용자가 피해를 입었으며, 현재까지도 활발하게 많이 활용되는 요소 중 하나다. 상업적 해킹- 랜섬웨어(Ransonware)1) 의미 - 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어 - 컴퓨터로의 접근이 제한되어 해제하기 위해 해당 프로그램 개발자에게 지불을 강요받음 - 몸값을 뜻하는 Ransom과 소프트웨어의 영어인 Software의 합성어 2) 랜섬웨어의 현재 - FBI 분석결과에 따르면 공격자는 20202년 이전 6년간 비트코인 지갑과 랜섬노트 분석 결과 1억 4천만 달러 지불하는 등의 수익을 냄 - 가장 큰 피해를 준 조직은 북한의 라자루스 그룹이 개발한..

[Network] 1. 네트워크 공격 위협 개요

네트워크 공격 위협 개요네트워크 해킹 개요1. 의미 - 보안의 기본 요소에 따라 기밀성, 무결성, 가용성의 침해를 통해 네트워크 상에서 발생되는 해킹을 의미 2. 네트워크 위협 요소 - 여러 통신 구간에 따라 보안의 3요소에 취약한 여러 위협들이 존재 - 보안의 3요소뿐만 아니라 다른 요소나 아니면 복합적인 요소로 인한 침해사고 발생 가능 위협 요소네트워크 장비를 속여 악의적인 방향으로 통신하도록 하거나 통신이 되지 않도록 하는 행위네트워크 통신 경로의 중간에 개입하여 도청하는 행위외부에서 네트워크 통신을 이용해 서비스가 정상 작동을 하지 못하도록 하는 행위(DoS)접근제어 설정 미흡으로 비정상적인 접근을 차단 또는 탐지하지 못하여 내부에 침투하는 행위내부의 자산을 파악하기 위해 훔쳐 보는 스캐닝 같은 ..

반응형