테크리빗

국내에서 자주 발생하는 웹 취약점 4가지를 정리하였다. *웹취약점의 범위와 용어는 KISA의 표준 문서를 기반으로 자신의 회사에 맞게 정의하기 때문에 대표적인 SQLI, XSS와 같은 취약점 이외에도 추가적으로 정의하는 취약점이 존재할 수 있다. 1. 관리자 페이지 노출 취약점(Administration page exposure)정의관리자만 접근이 가능해야 하는 관리자 페이지가 일반 사용자에게 노출되어 발생하는 취약점 관리자페이지의 URL이 추측가능한 형태(/admin, /manager 등)로 구성되어 있을 때 주로 발생하며, 공격자는 관리자 로그인 페이지로 이동하여 무차별 대입공격 또는 딕셔너리 공격을 통해 관리자 권한 획득을 시도한다. 해당 관리자 권한을 통해 중요한 데이터를 조작 및 유출할 위협이 ..

1. Shodan(쇼단)이란인터넷에 연결된 기기(라우터, 웹캠, 서버, IOT, ICS)들을 검색하는데 최적화된 검색엔진이다. 쇼단은 구글 검색엔진과 마찬가지로 대표적인 OSINT(인터넷에 공개되어 있는 정보수집할 수 있는) 도구로 알려져 있다. 쇼단을 통해서 공격자는 해당 검색엔진을 통해 취약한 대상을 탐색하여, 공격포인트를 탐색할 수 있으며, 방어자는 운영하고있는 장비나 서비스의 취약점을 진단하는 등의 보안적인 조치를 취할 수 있다.  쇼단이 무엇인지에 대해서 추가적으로 알고 싶다면, 쇼단 공식문서를 참고할 수 있다. What is Shodan? - Shodan Help CenterWhat is Shodan? Shodan is a search engine for Internet-connected de..

1. 구글 해킹이란구글을 해킹하는 것이 아닌, 구글의 고급 검색 연산자를 통해서 보안 취약점 또는 민감한 정보를 찾는 기술이다. 구글 해킹(google hacking)은 다른 말로 구글도킹(google dorking)이라고도 하며 구글 도킹은 고급 검색 연산자를 통한 정보수집을 하는 것을 의미한다. 이를 악용하여 취약점 또는 민감한 정보를 수집한 것이 구글 해킹이다. 하지만 두 용어는 자주 혼용해서 쓰는 것으로 보인다.  2. 자주사용되는 연산자" "큰따옴표에 사이에 단어를 넣어 검색하면, 특정단어가 포함된 내용만 검색한다. 예를들어 "보안"이라고 검색하게 되면, 보안이라는 단어가 들어간 내용만 검색한다. 만약 해당 큰 따옴표 없이 검색하면, 단어와 연관된 검색어도 추가로 검색한다. -특정 단어를 제외하..

1. CERT란? 화재가 일어났을때 소방관이 화재를 진압한다. 그렇다면, 보안사고가 발생하면 누가 처리 할까? 여기서 CERT가 등장한다. CERT는 조직내에서 침해사고가 발생했을 때, 사고의 원인과 피해규모를 신속하게 파악하여 피해를 최소화하기 위한 대책을 마련하고, 사고조치 이후에는 재발방지를 위한 보안정책 수립 및 보안강화 등의 업무를 수행하는 직무이다. 침해사고대응팀(CERT, Computer Emergency Response Team)기업 등 한 조직內에서 발생하는 침해사고 대응을 위해 사고처리 및 피해 복구, 보안정책 수립, 보안강화 등의 임무를 수행하는 대응조직출처: KISA 정보보호용어  1.1 CERT와 보안관제의 차이점CERT와 보안관제는 침해사고 대응과 밀접하게 연관되어 있으며, 회사..

1. 프로젝트 소개snort 기반 악성코드 탐지 패턴을 개발하기 위해, 네트워크 행위를 하는 악성코드 샘플을 수집하여 분석을 진행하고 관련된 내용을 악성코드 분석보고서를 작성하였다. 또한 악성 트래픽을 탐지하기 위한 보안관제 환경을 구축하고 snort룰을 적용하여, 악성 네트워크 행위를 탐지하는 실습을 수행하였다. 2. 프로젝트 회고2.1 악성코드 분석 업무에 대한 자신감악성코드 샘플링, 악성코드 기초/정적/동적 분석, snort 룰 작성등의 전반적인 과정등을 수행하면서 실무에서도 악성코드 분석 업무를 빠르게 숙지할수 있겠다는 자신감이 생겼다. 2.2 신속한 분석의 중요성악성코드 분석도중 악성코드의 네트워크 행위가 중단되어 다시 새로운 악성코드 샘플을 수집해야하는 문제가 있었는데, 악성코드 분석 업무에서..

악성코드 분석 연습을 위해 악성코드 샘플(네트워크 행위X)를 제공받아 분석을 진행하였다. 기초분석, 정적분석, 동적분석순서로 악성코드 분석을 진행하였으며, 악성코드 분석 보고서 작성도 진행하였다.Word를 기반으로 보고서 작성하는 것은 처음이라서, 쉽진 않았지만 Word로 작성하는 연습을 통해서 해당 도구에 익숙해지는 연습을 해야겠다는 생각이 들었다. Dgrep.exe 악성코드는 네트워크 행위를 하지 않아서, 악성코드 동적 분석을 깊게 할 수 없고 탐지패턴을 만들 수는 없었다. 하지만, 정적분석 공부를 할 때 많은 도움이 됐던 샘플이다. 결론적으로 해당 실습을 통해서 악성코드 분석 도구 사용해서 분석을 하는 사용법들을 배울수 있었고, 악성코드 분석 보고서를 작성해 보면서 보고서 작성 능력도 기를 수 있었다.

Snort 환경을 구축하기 위해서는 다양한 프로그램을 설치해야한다. 설치 과정에서 버전 차이로 인한 호환성 문제와 구성파일 수정 과정에서 잦은 오류가 발생할수 있으므로, 차분하게 시간여유를 가지고 진행하는것이 좋다. 가상환경: VMware Workstation Pro 17운영체제: Windows 7 Professional K설치한 프로그램: Winpcap 4.1.3, Snort 2.9.2.3, Xampp 1.7.1, Base 1.4.5 , adodb-5.20.20, Notepad++ 1. 클라이언트, 서버 환경 구성1.1 server, client 가상환경 설치VMware 설치 방법과 Windows 7 Professional K 과정을 정리하였으나, Windows 7 지원이 종료된지 오래되어 크롬 설치과..

1. 스노트(snort)란?snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다. 여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detection System을 의미하고,  NIPS는 네트워크 침입 방지 시스템, Network Intrusion Prevention System를 의미한다.  2. 스노트 룰 작성(Snort Rule Sigture)네트워크 패킷을 탐지하기 위해서는 룰 시그니처를 작성해야 한다. snort 시그니처는 크게 룰 헤더와 룰 옵션으로 나뉘며, 룰 헤더에서는 룰 발생 조건을 작성할 때 어떤 행위를 할 것인지 작성하고 룰 옵션에서는 룰 헤더에서 표현하지 못한 세부적인 행위와 조건을 작..

1. PEview란?Window 용 실행 파일인 PE( Portable Executable )의 구조를 분석할 수 있는 도구이며, 주로 파일시그니처, 언패킹 확인,  타임스탬프 정보 확인등을 파악할때 활용한다.  2. PEview 활용 예시여러 섹션들 중에서 가장 주요하게 살펴볼 섹션은 IMAGE_NT_HEADERS이다.2.1 파일 시그니처 확인IMAGE_NT_HEADERS의 Signature를 통해서 해당 파일이 PE 파일임을 확인할 수 있다. 2.2 언패킹 확인 Virtual Size와 Size of Raw Data값이 같다는것을 통해 언패킹된 파일임을 확인할 수 있다.  패킹된 파일은 Virtual Size와 Size of Raw Data값의 차이가 크다는 것을 확인할 수 있다. (패킹된 파일은 두..

악성코드 분석은 도구에 의존하기 때문에, 다양한 도구를 사용해 보면서 자신에게 맞는 도구를 찾는 것이 중요하다. 악성코드 분석 과정은 기초 분석, 정적 분석, 동적 분석의 순서로 진행되며, 각 단계에서 사용되는 주요 도구들을 간략하게 정리했다. 1. 기초분석기초분석은 정적분석과 동적분석에 필요한 정보들을 수집하는 단계이다.대표적인 기초분석 도구로는 'VirusTotal'을 사용한다.  VirusTotal에 대한 자세한 사용법과 주의사항은 아래 글에 작성하였다. VirusTotal📌VirusTotal이란? 의심스러운 파일, 도메인, IP, URL을 분석해주는 웹사이트 악성코드 기초분석에 활용되며, 기존에 동일한 샘플코드들이 존재했는지 빠르게 확인하는데 주 목적 여러 회사의 안티rybbit-life-deb..