보안

Snort 환경을 구축하기 위해서는 다양한 프로그램을 설치해야한다. 설치 과정에서 버전 차이로 인한 호환성 문제와 구성파일 수정 과정에서 잦은 오류가 발생할수 있으므로, 차분하게 시간여유를 가지고 진행하는것이 좋다. 가상환경: VMware Workstation Pro 17운영체제: Windows 7 Professional K설치한 프로그램: Winpcap 4.1.3, Snort 2.9.2.3, Xampp 1.7.1, Base 1.4.5 , adodb-5.20.20, Notepad++ 1. 클라이언트, 서버 환경 구성1.1 server, client 가상환경 설치VMware 설치 방법과 Windows 7 Professional K 과정을 정리하였으나, Windows 7 지원이 종료된지 오래되어 크롬 설치과..

1. 스노트(snort)란?snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다. 여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detection System을 의미하고,  NIPS는 네트워크 침입 방지 시스템, Network Intrusion Prevention System를 의미한다.  2. 스노트 룰 작성(Snort Rule Sigture)네트워크 패킷을 탐지하기 위해서는 룰 시그니처를 작성해야 한다. snort 시그니처는 크게 룰 헤더와 룰 옵션으로 나뉘며, 룰 헤더에서는 룰 발생 조건을 작성할 때 어떤 행위를 할 것인지 작성하고 룰 옵션에서는 룰 헤더에서 표현하지 못한 세부적인 행위와 조건을 작..

1. PEview란?Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인,  타임스탬프 정보 확인등을 파악할때 활용한다.  2. PEview 활용 예시여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.2.1 파일 시그니처 확인IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다. 2.2 언패킹 확인 Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.  패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두..

악성코드 분석은 도구에 의존하기 때문에, 다양한 도구를 사용해 보면서 자신에게 맞는 도구를 찾는 것이 중요하다. 악성코드 분석 과정은 기초 분석, 정적 분석, 동적 분석의 순서로 진행되며, 각 단계에서 사용되는 주요 도구들을 간략하게 정리했다. 1. 기초분석기초분석은 정적분석과 동적분석에 필요한 정보들을 수집하는 단계이다.대표적인 기초분석 도구로는 'VirusTotal'을 사용한다.  VirusTotal에 대한 자세한 사용법과 주의사항은 아래 글에 작성하였다. VirusTotal📌VirusTotal이란? 의심스러운 파일, 도메인, IP, URL을 분석해주는 웹사이트 악성코드 기초분석에 활용되며, 기존에 동일한 샘플코드들이 존재했는지 빠르게 확인하는데 주 목적 여러 회사의 안티rybbit-life-deb..

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.   📌기초분석(VirusTotal)VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.)  이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다. DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다. RELATIONS탭에서는 연관된 URL 정..

안전한 환경에서 악성코드 분석을 위해  가상환경을 구축해야 한다. 대표적으로 많이 사용되는 가상머신은 VMware와 Virtualbox가 있으며, 해당 글에서는 VMware를 통해서 가상환경을 구축을 진행하였다. 📌VMware Workstation Pro 17 설치VMware Workstaiton Pro 17은 공식 사이트를 통해서 설치를 진행할수있다. 가상머신은 가능하면 최신버전 설치를 하는 것을 권장한다.구버전은 패치가 되지 않아 취약점이 존재하며, 설치 또는 실행 중 오류가 발생할 수 있다.     📌Windows 7 Professional K x64 설치이후에는 windows 7 Profession K를 설치해 주었다.   인터넷 연결 확인인터넷이 잘 연결되는것을 확인하였습니다.   VMWAR..

1. VirusTotal이란?의심스러운 파일을 업로드하거나 의심스러운 해시값, IP주소, 도메인, URL을 검색할 수 있는 도구이다. 파일 업로드 시  샌드박스 환경에서 다양한 백신엔진을 통해 검사하기 떄문에 악성으로 의심되는 정보들을 검색하는데 유용하게 사용된다. 예를 들어 악성코드 기초분석 시 사용되는데, 악성코드의 해시값을 통해 이전에 분석된 기록들을 확인하거나 악성코드를 업로드하여 분석하기도 한다. *샌드박스(Sandbox)는 보안 분야에서 악성 프로그램이나 의심스러운 코드를 안전하게 실행하고 분석할 수 있는 격리된 가상 환경을 의미한다.  2. VirusTotal의 주요 기능 파일 업로드 기능여러 회사의 안티바이러스 엔진과 샌드박스로 파일을 분석하고 탐지된 내용을 보고받을 수 있습니다. 단, 검..

1. 보안관제보안관제란 IT 자원을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무이다.보안관제는 IP와 Port 등의 네트워크 정보와 보안장비의 로그를 분석하여 SIEM 장비의 경보가 정탐인지 오탐인지 판단하는 작업을 수행한다.   1.1 보안관제 수행 원칙 3가지효과적인 보안관제를 위해서는 보안관제 수행 원칙 3가지(무중단, 전문성, 정보 공유의 원칙)를 준수해야 한다. 1. 무중단의 원칙사이버 공격을 신속하게 탐지 및 차단하기 위해서는 24시간 365일 중단 없이 보안관제 업무를 수행해야 한다. 2. 전문성의 원칙보안관제 업무를 효율적으로 수행하기 위해 네트워크 이론을 포함한 전문지식을 보유해야 한다. 3. 정보 공유의 원칙사이버 공격은 유사한 공격이 여러 곳에서 동시 다발..

📌 개요 다수의 유저 계정을 상대로 하나의 비밀번호를 대입해 공격하는 방식 MITRE ATTACK - T1110.003(T110: Brute Force) Tactic: Credntial Access(자격증명 액세스) 📌 공격 방식 1. 액티브 디렉토리(Active Directory, AD) 비밀번호 정책 확인: AD 비밀번호 정책을 확인하려면 도메인 유저 권한을 갖고 있어야 합니다. 정책 확인을 통해 계정잠금 방지와 공격 효율성을 증대 시킬수 있습니다. AD 비밀번호 정책에는 계정 잠금 임계점, 임계점 리셋 시간, 계정 잠금 시간 등이 포함되어있습니다. 2. 유저 명단 확보: 유저 명단은 LDAP을 통해 알아낼 수 있습니다. LDAP에 자주 쓰이는 툴들은 블러드하운드, Powerview 등이 있습니다. ..

1. 악성코드란?악성코드(malware)란 의도적으로 컴퓨터 시스템에 해를 입히기 위해 설계된 악성 소프트웨어를 말한다. 영어단어를 풀어서 해석해보면, Malicious(악성)와 Software(소프트웨어)를 합친 단어라는것을 알수있다.  2. 악성코드의 유형참고로 악성코드는 특징에 따라 하나의 유형에 속하기 보다는 여러가지 유형에 속하는 경우가 많다.대표적인 악성코드 유형은 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), 애드웨어(Adware), 스파이웨어(Spyware), 랜섬웨어(Ransomeware)로 나뉜다. (이외에 유형들은 회사에 따라서 좀 더 세부적으로 분류하기도 한다.)  2.1 바이러스(Virus)바이러스(Virus)는 사용자의 개입(감염된 파일을 실행) 통해 전파되는..