Information of IT

A. 개요1. 시큐어 코딩이 필요한 이유국내 가상화폐 거래소 C사가 2018년 6월, 해킹을 당했습니다. 해킹으로 유출된 가상화폐는 펀디엑스, 애스톤, 엔퍼 등인데요. C사의 해킹 피해 규모는 보유 코인의 30%에 해당하며 400억 원 상당이 유출된 것으로 추정되었습니다. C사에 앞선 해킹 사례로는, “Y사”가 55억 원 상당의 비트코인을, “U사”가 172억 원 상당의 피해를 본 바 있습니다. 당시, C사는 24시간 거래량으로 세계 90위권의 중소거래소로, 한국블록체인협회에 가입하지 않았습니다. 또 국내 최고 수준의 공인 정보보호관리체계인 ISMS 인증도 받지 않았습니다. C사 이외에도 국내 가상화폐 거래소 중 전년도 매출과 이용자 규모에 따라 상위 4개 업체모두 ISMS 인증 의무대상으로 지정되었으나..

A. 대응방안 요약- 악성코드 사고 예방에 대한 정책을 준수- 악성코드 사고 예방과 사후 대응을 인식 프로그램에 통합- 악성코드 사고 예방하는데 도움 되는 취약성 안화 기능을 구현- 악성코드 사고 예방하는데 도움되는 위협 완료 기능을 구현- 악성코드 사고 영향을 줄이기 위해 방어 아키텍처 고려- 악성코드 사고를 처리하는 강력한 침해 대응 프로세스를 구현 B. 정책(Policy)1) 주요 이점과 쟁점- 정책 구현의 유연성을 제공 / 잦은 업데이트를 하지 않아야 함 > 일반적이어야 하지만 정책의 의도와 범위를 명확하고 구체적으로 제작 - 기존 정책과 겹치는 경우 > 기존 정책을 유지하며 악성코드 대응을 위한 별도의 정책을 유지 - 정책 대상 > 조직에 방문하거나 조직에 접속하는 모든 사용자를 대상으로 구성 ..

A. 감염 경로 1) 악성코드를 첨부한 이메일 ( Malware File Attachment in Email ) - 과거 단순히 확장자를 속이는 형태의 첨부파일을 전송 ex) 인사_이동_명령.pdf.exe > 확장자 자동 숨김에 의해 인사_이동_명령.pdf로 보여짐  - 최근 지능형 지속 공격을 위해 문서 형태의 악성코드 전송 ( Spear Phishing ) > 3rd Party Application ( 한글, 워드, 엑셀, 파워포인트 등)의 취약점 이용하는 형태 > 개인사, 가족사 등 특정인의 정보를 고도로 활용한 경우 - 드라이브-바이 다운로드 연계 - 사회공학 기법을 이용하여 읽을 수밖에 없는 내용으로 전송 > 인사과 - 이력서 형태 > 직장상사 - 기업 내부 직원 이름, 이메일로 전송 > 개..

A. 드라이브-바이 다운로드 개요 1) 일반적으로 웹 페이지에서 악의적인 목적에 의해 사용자에게 메시지를 표시하지 않고 스크립트(Script) 등의 계기로 악의적인 소프트웨어(Malware)를 다운로드하고 실행하는 것   2) 용어 정리 - 경유지(Landing Pages) - 사용자가 웹 서비스에 접근하는 웹 페이지, 변조 행위 -> 경유지 = 정상 페이지 + 악성 페이지(중계지) - 중계지(Redirection Pages, Hopping Pages) - 악성코드 유포지로 트래픽 전송을 위한 징검다리 역할을 하는 숨겨진 웹 페이지, 삽입 행위 -> 중계지 = (리디렉션으로 구성된) 악성 페이지 - 유포지(Exploit Pages) - 브라우저 및 브라우저 플러그인 취약성을 이용하여 악성코드를 다운로드하..

A. 이동식 저장장치 공격 동향 1) User Really Do Plug in USB Drives Thet Find - 5가지 유형의 USB를 구성  > 레이블 없는 USB > 열쇠를 포함한 USB > 돌려받을 수 있는 연락처를 포함한 USB > 레이블에 기밀로 표기한 USB > 레이블에 시험 답지로 표기한 USB - 결과 > USB 중 45%인 135개가 컴퓨터에 연결되어 하나 이상의 파일을 열람 > USB 중 98%인 290개를 돌려받지 못함  2) Infection via USB (with Supply Chain Attack) - Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems ( 18.06.22 )  3)..

A. 사이버 킬 체인의 이해 1) 사이버 킬 체인- 전통적인 킬 체인 -> 1992년 걸프전 당시, 미 공군이 처음 사용 -> 이를 통해 적의 공격 시설을 탐지하여 파괴 - F2T2EA 구성 방식을 가짐 > Find : 대상의 위치 파악 > Fix : 위치 수정 및 대상의 이동을 제재함 > Track : 대상의 움직임을 모니터링 > Target : 대상에 사용할 무기를 선정, 원하는 목적을 수행 > Engage : 대상에 무기를 사용 > Assess : 대상에 적용한 무기와 사용 이후의 정보를 수집하여 공격의 영향을 평가 - 최근 침투 동향은 군사적인 용어인 킬 체인(Kill Chain)을 사이버 세계에 접목한 사이버 킬 체인(Cyber Kill Chain) 언급 -> 록히드 마틴에서 언급한 킬 체인을 ..

A. 악성코드 주요 유입 경로     B. 실제 악용된 사례 분석  1) 사회 공학적 기법- 클릭 사기 ( Click Fraud )   -> 사용자가 필요한 형태로 악성코드를 위장 -> 윈도우 제품 인증 프로그램 -> 엔터테인먼트 형태를 위장한 파일 또는 설치 프로그램 -> 대부분 사용자가 직접 다운로드하고 실행  2) 직접 침투 ( Direct Penetration ) - 해커가 직접 대상이 되는 시스템에 침투하여 악성코드 설치 - Weak Point -> 접근 제어 실패, 아이디 패스워드 관리 등 취약점을 이용하여 접근 -> 백도어 설치와 같은 추가 악성코드 감염이 필요 없음 -> Miral 악성코드 감염 경로 - DDos에 사용될 봇넷 - Vulnerability -> 최근 내부 직원 PC의 제어..

A. 랜섬웨어 정의 1) 랜섬웨어는 몸값을 요구하여 협박하는 Ransom과 제품을 의미하는 Ware의 합성어 - 몸값을 요구하기 위한 다양한 방법을 사용 -> 암호학을 이용 -> 비암호학을 이용 - 보통 Locker로 분류 ( MBR, 스크린세이버 등 락을 걸어 협박)- 게임 시간이나 점수를 만족해야 풀어주는 랜섬웨어도 등장 . B. 랜섬웨어 역사   1) 암호학을 이용한 랜섬웨어의 발전은 2013년부터 시작  - 암호학의 발전 -> 초기에 암호키 관리 미흡으로 쉽게 대응 가능- 추적이 어려운 디지털 화폐의 발생- 다양한 언어로 다양한 플랫폼에 적용 가능- 배포, 제작이 서비스 형태로 제작 -> X-as-a-Service- 기존의 고급 공격 기법과 좋바이 쉬움 -> APT + Ransomware   C...

A. RAT 악성코드 정의 1) Remote Access Trojan 약자  - 감염시킬 악성코드를 생성하고 감염된 시스템을 통합 관리하는 도구를 지칭 -> 대분류로 트로이목마에 속함 - 정상적인 프로그램의 경우 Remote Administraion Tool로 부름 -> 예) 팀 뷰어, MSTSC - RAT 악성코드에 감염되면 감염된 시스템의 대부분을 감시/변조/관리/제어가 가능  B. RAT 악성코드 흐름   C. RAT 악성코드 역사와 종류 1) RAT 악성코드 역사  - 1998년 NetBus와 BackOrifice 백도어를 시작으로 발전하기 시작  - 초기엔 RAT 소프트웨어와 C2 서버가 하나로 구성되어 운영  2) 종류 - 최근 APT 공격에서 많이 사용 - DarkComet RAT- njRA..

A. 금융 & 협박1) Ransomware - 정상 기능을 제한한 후 협박하는 기능- 하이브리드 암호 시스템의 발전과 블록체인 코인의 발전으로 급부상  B. 도청 & 감시1) Spyware - 도청과 감시에 특화된 소프트웨어-> Fedware : 연방 정부에서 제작한 Spyware 2) Keylogger - 키보드 입력 정보를 수집 가능  C. 접근 & 강탈 1) RAT - 원격 접속 및 제어 2) Backdoor - 사용자 몰래 접근하는 기능-> Rootkits - Backdoor에 은닉 기능을 강화한 악성코드 3) Banker - 금융 거래를 가로채거나 금융 정보를 수집하는 기능-> POS Malware, Pharming Malware  4) Game Thief - 게임 로그인 계정 수집 기능   ..

A. 바이러스 개요 1) 프레드 코헨(Fred Cohen) 정의 - 최초 바이러스 용어 창시자- 확장 정의 -> 프로그램이나 실행 가능한 어느 일부분 혹은 데이터에 자기 자신 또는 변형된 자신을 복사하는 명령어들의 조합  2) 바이러스라는 단어를 사용하게 된 계기는? - EX) 메르스 바이러스 - 감염 대상 : 사람, 낙타 / 증상 : 급성 호흡기 질환 + @ EX) 컴퓨터 바이러스 - 감염 대상 : 컴퓨터 / 증상 : 컴퓨터 이상 증상 + @  3) 역사 - 1971년 최초의 바이러스 - Creeper -> IT 시스템이 대중화되지 않았기에 스턱스넷의 시초로 재평가- 1981년 교수 Leonard M.Adleman이 Fred Cohen 과의 대화에서 Computer Virus 용어를 처음 사용함- 19..

A. POS 악성코드 1) Starwood 호텔, 리조트에서 발생 (2015년) - http://www.starwoodhotels.com/Media/PDF/Corporate/Hotel_List.pdf 2) 인터콘티넨탈 호텔 그룹 (2016년)- https://krebsonsecurity.com/2016/12/holiday-inn-parent-ihg-probes-breach-claims/ Holiday Inn Parent IHG Probes Breach Claims – Krebs on SecurityInterContinental Hotels Group (IHG), the parent company for more than 5,000 hotels worldwide including Holiday Inn, s..

A. 악성코드 정의  1) 이론적 정의  - 악성코드는 악성 소프트웨어 (Malicious Software)의 줄임말 -> 컴퓨터 작동을 방해 -> 민감한 정보를 수집 -> 개인 컴퓨터에 불법 접근  - 일반적으로 악성코드는 제작사의 악의적인 의도에 따라 정의  2) 실질적의 정의  - 심리적, 실질적인 피해를 입히는 컴퓨터 프로그램 또는 실행 가능한 코드 - 개발자의 실수로 포함된 버그는 제외되나 광범위한 피해가 발생할 경우 해당하기도 함 3) 역사   - 1949년 폰 노이만 논문 "자기 복제 자동 기계 이론(the theory of self-reproducing automata)" -> 하지만 기술적 구현 불가 - 최초로 바이러스라는 이름으로 사용하다가 더욱 큰 개념인 악성코드로 통합 -> 악성코..

위협 분석 - 전통적 위협 모델위협 모델(위협 모델링)정 의- 가능한 모든 취약 위험을 파악, 추출하는 활동 - 설계 단계에서 보안 문제에 대한 체계적 접근을 하기 위해 설계 - IT에서만 사용되는 용어가 아니라 다양한 방면에서 사용 - 위협 모델의 파악을 통해 위협 요소를 사전에 파악하고 대응하는데 유용 - 종 류 > STRIDE 방법론 : 6가지의 위협 요소로 분류한 모델로 주로 MS에서 활용 > P.A.S.T.A(Process for Attack Simulatin and Threat Analysis) > Trike : 보안 감사 프로세스를 만족시키기 위한 위협 모델로 요구사항에 근간하여 구성 대표 위협 모델링 활용 도구MS Threat Modelng Tool - MS사에서 만든 위협 모델링 도구로 ..

기타 보안 장비 및 솔루션 UTM- Unified Threat Management의 약어로 통합 위협 관리 솔루션을 통칭 - 네트워크, 엔드 포인트 등 환경에서의 위협을 통합 관리 및 차단을 위한 솔루션 - 샌드 박스를 통한 악성코드 자동화 분석, 트래픽 분석, 엔드포인트 트래픽 분석 등의 여러 위협 요인들을 분석하여 차단해주는 역할 수행 - 장비 업체 기종 별로 기능이 다양하여 정확한 개념을 정의하기가 어려움 TMS- 네트워크 장비로부터 실시간 데이터를 수집/분석하여 회선별 이용 모니터링 및 정보를 제공 - 수집된 데이터를 이용하여 과다트래픽, 유해트래픽 등의 이상징후를 감지하여 통보 - 도입 시 대시보드를 통한 가기성과 여러 네트워크 장비 간의 호환성을 고려해야 함  NMS(Network Manage..