보안
1. 섹션의 엔트로피 분석PE 악성코드는 악성코드 분석가의 분석을 회피하기 위해 파일 데이터를 압축, 패킹, 인코딩, 암호화등을 수행한다. 이러한 과정을 수행했을 때 엔트로피 값이 증가하게 되고, 악성코드 분석가는 각 섹션들의 엔트로피 값이 7 이상이면, 악성코드로 판단할 수 있다. 2. 엔트리 포인트 분석일반적인 PE 실행파일은 엔트리포인트(EP)에서 .text, .code등의 문자열을 확인할 수 있다. 하지만 악성코드들은 패킹을 하기 때문에 엔트리포인트에 패커와 관련된 문자열인. upx0 같은 형태를 확인할 수 있다. 실습Stud_PE로 확인하였을떄, 엔트리포인트(EP)가. text인 것을 통해서 정상적인 파일인 것을 확인할 수 있다. 비정상적인 파일은 엔트리포인트(EP)가 UPX1임을 통해 UPX..
국내에서 자주 발생하는 웹 취약점 4가지를 정리하였다. 1. 관리자 페이지 노출 취약점(Administration page exposure)정의관리자만 접근이 가능해야하는 관리자 페이지가 일반 사용자에게 노출되어 발생하는 취약점 관리자페이지의 URL이 추측가능한 형태(/admin, /manager 등)로 구성되어 있을 때 주로 발생하며, 공격자는 관리자 로그인 페이지로 이동하여 무차별 대입공격 또는 딕셔너리 공격을 통해 관리자 권한 획득을 시도한다. 해당 관리자 권한을 통해 중요한 데이터를 조작 및 유출할 위협이 존재한다. 사례분석1. Cisco ASA VPN 관리자 페이지 노출관리자 페이지가 노출되어, 공격자들이 스캐닝과 브루팅 포싱 기법으로 민감한 정보에 접근하여 시스템의 민감한 정보를 획득 2...
1. Shodan(쇼단)이란인터넷에 연결된 기기(라우터, 웹캠, 서버, IOT, ICS)들을 검색하는데 최적화된 검색엔진이다. 쇼단은 구글 검색엔진과 마찬가지로 대표적인 OSINT(인터넷에 공개되어 있는 정보수집할 수 있는) 도구로 알려져 있다. 쇼단을 통해서 공격자는 해당 검색엔진을 통해 취약한 대상을 탐색하여, 공격포인트를 탐색할 수 있으며, 방어자는 운영하고있는 장비나 서비스의 취약점을 진단하는 등의 보안적인 조치를 취할 수 있다. 쇼단이 무엇인지에 대해서 추가적으로 알고 싶다면, 쇼단 공식문서를 참고할 수 있다. What is Shodan? - Shodan Help CenterWhat is Shodan? Shodan is a search engine for Internet-connected de..
1. 구글 해킹이란구글을 해킹하는 것이 아닌, 구글의 고급 검색 연산자를 통해서 보안 취약점 또는 민감한 정보를 찾는 기술이다. 구글 해킹(google hacking)은 다른 말로 구글도킹(google dorking)이라고도 하며 구글 도킹은 고급 검색 연산자를 통한 정보수집을 하는 것을 의미한다. 이를 악용하여 취약점 또는 민감한 정보를 수집한 것이 구글 해킹이다. 하지만 두 용어는 자주 혼용해서 쓰는 것으로 보인다. 2. 자주사용되는 연산자" "큰따옴표에 사이에 단어를 넣어 검색하면, 특정단어가 포함된 내용만 검색한다. 예를들어 "보안"이라고 검색하게 되면, 보안이라는 단어가 들어간 내용만 검색한다. 만약 해당 큰 따옴표 없이 검색하면, 단어와 연관된 검색어도 추가로 검색한다. -특정 단어를 제외하..
1. CERT란? 화재가 일어났을때 소방관이 화재를 진압한다. 그렇다면, 보안사고가 발생하면 누가 처리 할까? 여기서 CERT가 등장한다. CERT는 조직내에서 침해사고가 발생했을 때, 사고의 원인과 피해규모를 신속하게 파악하여 피해를 최소화하기 위한 대책을 마련하고, 사고조치 이후에는 재발방지를 위한 보안정책 수립 및 보안강화 등의 업무를 수행하는 직무이다. 침해사고대응팀(CERT, Computer Emergency Response Team)기업 등 한 조직內에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안강화 등의 임무를 수행하는 대응조직출처: KISA 정보보호용어 1.1 CERT와 보안관제의 차이점CERT와 보안관제는 침해사고 대응과 밀접하게 연관되어 있으며, 회사..
1. 프로젝트 소개Log4shell 사태로 인해, 사용한 오픈소스를 문서화하지 않아 SW 구성요소에 대한 가시성 부족이 발생해 식별이 어려워 대응 시간이 지연되는 문제가 발생했다. 이러한 문제를 해결하기 위해 SBOM(Software Bill of Materials)이라는 문서 체계가 등장했다. SBOM은 소프트웨어 구성 명세서로, 특정 소프트웨어 제품을 구성하는 모든 컴포넌트와 그 관계를 상세히 기술한 공식 문서이다. 이는 마치 제조업에서 사용하는 부품 목록(Bill of Materials)과 유사한 개념으로, 소프트웨어 개발 및 유지보수 과정에서 중요한 역할을 한다. 하지만, SBOM 문서를 작성한다고 끝나는 것이 아닌 해당 문서를 최신화하고 위변조 되지 않도록 무결성을 보장해야 한다. 이를 위해 블..
1. 프로젝트 소개snort 기반 악성코드 탐지 패턴을 개발하기 위해, 네트워크 행위를 하는 악성코드 샘플을 수집하여 분석을 진행하고 관련된 내용을 악성코드 분석보고서를 작성하였다. 또한 악성 트래픽을 탐지하기 위한 보안관제 환경을 구축하고 snort룰을 적용하여, 악성 네트워크 행위를 탐지하는 실습을 수행하였다. 2. 프로젝트 회고2.1 악성코드 분석 업무에 대한 자신감악성코드 샘플링, 악성코드 기초/정적/동적 분석, snort 룰 작성등의 전반적인 과정등을 수행하면서 실무에서도 악성코드 분석 업무를 빠르게 숙지할수 있겠다는 자신감이 생겼다. 2.2 신속한 분석의 중요성악성코드 분석도중 악성코드의 네트워크 행위가 중단되어 다시 새로운 악성코드 샘플을 수집해야하는 문제가 있었는데, 악성코드 분석 업무에서..
악성코드 분석 연습을 위해 악성코드 샘플(네트워크 행위X)를 제공받아 분석을 진행하였다. 기초분석, 정적분석, 동적분석순서로 악성코드 분석을 진행하였으며, 악성코드 분석 보고서 작성도 진행하였다.Word를 기반으로 보고서 작성하는 것은 처음이라서, 쉽진 않았지만 Word로 작성하는 연습을 통해서 해당 도구에 익숙해지는 연습을 해야겠다는 생각이 들었다. Dgrep.exe 악성코드는 네트워크 행위를 하지 않아서, 악성코드 동적 분석을 깊게 할 수 없고 탐지패턴을 만들 수는 없었다. 하지만, 정적분석 공부를 할 때 많은 도움이 됐던 샘플이다. 결론적으로 해당 실습을 통해서 악성코드 분석 도구 사용해서 분석을 하는 사용법들을 배울수 있었고, 악성코드 분석 보고서를 작성해 보면서 보고서 작성 능력도 기를 수 있었다.
정탐, 오탐, 미탐, 과탐은 보안관제업무에서 자주사용되는 용어이다. 1. 정탐, 오탐, 미탐이란?정탐은 정상적으로 탐지하는 경우로 공격이 들어왔을때 공격이라고 탐지하거나 공격이 아닌것이 들어왔을때 공격이 아니라고 탐지하는 경우를 의미한다. 오탐(False Positve)은 잘못 탐지한 경우로 공격이 들어왔는데 공격이 아니라고 탐지하거나, 공격이 아닌데 공격이라고 탐지하는 경우를 의미한다. 미탐(False Negative)은 탐지를 하지 못한 경우로 공격이 들어왔는데 탐지하지 못하는 경우를 의미한다. 2. 오탐과 미탐의 차이오탐과 미탐은 헷갈리는 용어로 두 용어를 구분하는 기준은 탐지활동을 했는지 여부에 따라 분류할수있다. 탐지활동을 했으면 오탐, 탐지활동을 하지 않았으면 미탐이다. 또한 미탐은 공격이 ..
