![]()
1. Shodan(쇼단)이란인터넷에 연결된 기기(라우터, 웹캠, 서버, IOT, ICS)들을 검색하는데 최적화된 검색엔진이다. 쇼단은 구글 검색엔진과 마찬가지로 대표적인 OSINT(인터넷에 공개되어 있는 정보수집할 수 있는) 도구로 알려져 있다. 쇼단을 통해서 공격자는 해당 검색엔진을 통해 취약한 대상을 탐색하여, 공격포인트를 탐색할 수 있으며, 방어자는 운영하고있는 장비나 서비스의 취약점을 진단하는 등의 보안적인 조치를 취할 수 있다. 쇼단이 무엇인지에 대해서 추가적으로 알고 싶다면, 쇼단 공식문서를 참고할 수 있다. What is Shodan? - Shodan Help CenterWhat is Shodan? Shodan is a search engine for Internet-connected de..
![]()
1. 구글 해킹이란구글을 해킹하는 것이 아닌, 구글의 고급 검색 연산자를 통해서 보안 취약점 또는 민감한 정보를 찾는 기술이다. 구글 해킹(google hacking)은 다른 말로 구글도킹(google dorking)이라고도 하며 구글 도킹은 고급 검색 연산자를 통한 정보수집을 하는 것을 의미한다. 이를 악용하여 취약점 또는 민감한 정보를 수집한 것이 구글 해킹이다. 하지만 두 용어는 자주 혼용해서 쓰는 것으로 보인다. 2. 자주사용되는 연산자" "큰따옴표에 사이에 단어를 넣어 검색하면, 특정단어가 포함된 내용만 검색한다. 예를들어 "보안"이라고 검색하게 되면, 보안이라는 단어가 들어간 내용만 검색한다. 만약 해당 큰 따옴표 없이 검색하면, 단어와 연관된 검색어도 추가로 검색한다. -특정 단어를 제외하..
![]()
1. CERT란? 화재가 일어났을때 소방관이 화재를 진압한다. 그렇다면, 보안사고가 발생하면 누가 처리 할까? 여기서 CERT가 등장한다. CERT는 조직내에서 침해사고가 발생했을 때, 사고의 원인과 피해규모를 신속하게 파악하여 피해를 최소화하기 위한 대책을 마련하고, 사고조치 이후에는 재발방지를 위한 보안정책 수립 및 보안강화 등의 업무를 수행하는 직무이다. 침해사고대응팀(CERT, Computer Emergency Response Team)기업 등 한 조직內에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안강화 등의 임무를 수행하는 대응조직출처: KISA 정보보호용어 1.1 CERT와 보안관제의 차이점CERT와 보안관제는 침해사고 대응과 밀접하게 연관되어 있으며, 회사..
![]()
1. VirusTotal이란?의심스러운 파일을 업로드하거나 의심스러운 해시값, IP주소, 도메인, URL을 검색할 수 있는 도구이다. 파일 업로드 시 샌드박스 환경에서 다양한 백신엔진을 통해 검사하기 떄문에 악성으로 의심되는 정보들을 검색하는데 유용하게 사용된다. 예를 들어 악성코드 기초분석 시 사용되는데, 악성코드의 해시값을 통해 이전에 분석된 기록들을 확인하거나 악성코드를 업로드하여 분석하기도 한다. *샌드박스(Sandbox)는 보안 분야에서 악성 프로그램이나 의심스러운 코드를 안전하게 실행하고 분석할 수 있는 격리된 가상 환경을 의미한다. 2. VirusTotal의 주요 기능 파일 업로드 기능여러 회사의 안티바이러스 엔진과 샌드박스로 파일을 분석하고 탐지된 내용을 보고받을 수 있습니다. 단, 검..
![]()
1. 보안관제보안관제란 IT 자원을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무이다.보안관제는 IP와 Port 등의 네트워크 정보와 보안장비의 로그를 분석하여 SIEM 장비의 경보가 정탐인지 오탐인지 판단하는 작업을 수행한다. 1.1 보안관제 수행 원칙 3가지효과적인 보안관제를 위해서는 보안관제 수행 원칙 3가지(무중단, 전문성, 정보 공유의 원칙)를 준수해야 한다. 1. 무중단의 원칙사이버 공격을 신속하게 탐지 및 차단하기 위해서는 24시간 365일 중단 없이 보안관제 업무를 수행해야 한다. 2. 전문성의 원칙보안관제 업무를 효율적으로 수행하기 위해 네트워크 이론을 포함한 전문지식을 보유해야 한다. 3. 정보 공유의 원칙사이버 공격은 유사한 공격이 여러 곳에서 동시 다발..
![]()
📌 개요 다수의 유저 계정을 상대로 하나의 비밀번호를 대입해 공격하는 방식 MITRE ATTACK - T1110.003(T110: Brute Force) Tactic: Credntial Access(자격증명 액세스) 📌 공격 방식 1. 액티브 디렉토리(Active Directory, AD) 비밀번호 정책 확인: AD 비밀번호 정책을 확인하려면 도메인 유저 권한을 갖고 있어야 합니다. 정책 확인을 통해 계정잠금 방지와 공격 효율성을 증대 시킬수 있습니다. AD 비밀번호 정책에는 계정 잠금 임계점, 임계점 리셋 시간, 계정 잠금 시간 등이 포함되어있습니다. 2. 유저 명단 확보: 유저 명단은 LDAP을 통해 알아낼 수 있습니다. LDAP에 자주 쓰이는 툴들은 블러드하운드, Powerview 등이 있습니다. ..
DDos란?DDoS(분산 서비스 거부) 공격은 여러 대의 컴퓨터를 이용하여 대상 서버에 악의적으로 과도한 트래픽을 일으켜 서비스를 방해하는 행위입니다. 생활 속에서도 이와 비슷한 현상을 겪을 수 있습니다. 예를 들어, 대학생들이 수강신청을 하거나 인기 있는 공연의 티켓을 예매하기 위해 동시에 웹사이트에 접속할 때, 사이트가 느려지거나 접속이 어려워지는 경우가 있습니다. 이러한 현상은 DDoS 공격과 유사해 보일 수 있으나, DDoS 공격의 경우 공격자가 의도적으로 대규모의 트래픽을 생성하여 서비스를 방해한다는 점에서 명확한 차이가 있습니다. 정리하자면, DDoS는 서버의 자원을 고갈시켜 정상적인 이용자들의 접속을 막으려는 악의적인 목적으로 실행됩니다. DDos 동작방식공격자는 감염된 좀비 PC들을 C&..
![]()
1. Firewall(방화벽)먼저, 방화벽(Firewall)은 외부 네트워크로부터 내부 네트워크로의 패킷이 이동할 때 허가된 IP 주소나 포트 번호에 따라 접근을 허용하거나 차단하는 도구입니다. 방화벽은 주로 공격에 대한 1차 방어선으로써 접근제어기능(Access Control)을 수행합니다. 또한 방화벽에 접근이 허용되거나 차단된 패킷들을 기록(Logging)하고 추적하는 기능(Auditing)을 수행합니다. 방화벽을 구성하는 방법은 라우터가 방화벽 역할을 하는 스크리닝 라우터로 구성하는 것과, 방화벽 전용 하드웨어로 구성하는 방법이 있습니다. 하지만 방화벽에도 한계가 있습니다.첫째, 방화벽은 IP 주소와 포트 번호에 의존하여 액세스를 관리하는 솔루션이기 때문에, 만약 공격자가 우회한 IP 주소와..
