테크리빗

이번시간에는 다운로더 형태의 PE 악성코드 샘플인 bton02setup.exe파일을 가지고 악성코드 분석을 진행하였습니다.   📌기초분석(VirusTotal)VirusTotal에 악성코드를 업로드하여 기초분석을 진행하였습니다.(실제로 악성코드 정보를 확인할때는 업로드하기보다는 해시값을 검색하여 정보를 수집하는것을 권장한다고 합니다.)  이 파일은 73개의 엔진 중 52개 엔진이 악성코드로 진단했으므로, 악성코드일 가능성이 매우 높다고 판단하였습니다.또한 이 파일은 트로이 목마, 애드웨어, 다운로더 형태의 악성코드로서, EXE 실행 파일 형태로 되어 있음을 확인하였습니다. DETAILS탭에서는 악성코드의 해시값, File type등의 정보를 확인할수 있었습니다. RELATIONS탭에서는 연관된 URL 정..

1. VirusTotal이란?의심스러운 파일을 업로드하거나 의심스러운 해시값, IP주소, 도메인, URL을 검색할 수 있는 도구이다. 파일 업로드 시  샌드박스 환경에서 다양한 백신엔진을 통해 검사하기 떄문에 악성으로 의심되는 정보들을 검색하는데 유용하게 사용된다. 예를 들어 악성코드 기초분석 시 사용되는데, 악성코드의 해시값을 통해 이전에 분석된 기록들을 확인하거나 악성코드를 업로드하여 분석하기도 한다. *샌드박스(Sandbox)는 보안 분야에서 악성 프로그램이나 의심스러운 코드를 안전하게 실행하고 분석할 수 있는 격리된 가상 환경을 의미한다.  2. VirusTotal의 주요 기능 파일 업로드 기능여러 회사의 안티바이러스 엔진과 샌드박스로 파일을 분석하고 탐지된 내용을 보고받을 수 있습니다. 단, 검..

1. 보안관제보안관제란 IT 자원을 보호하기 위해 보안 장비를 24시간 365일 실시간으로 모니터링하는 업무이다.보안관제는 IP와 Port 등을 통해 보안장비의 로그를 분석하여 SIEM 장비의 경보가 정탐인지 오탐인지 판단하는 작업을 수행한다.   1.1 보안관제 수행 원칙 3가지효과적인 보안관제를 위해서는 보안관제 수행 원칙 3가지(무중단, 전문성, 정보 공유의 원칙)를 준수해야 한다. 1. 무중단의 원칙사이버 공격을 신속하게 탐지 및 차단하기 위해서는 24시간 365일 중단 없이 보안관제 업무를 수행해야 한다. 2. 전문성의 원칙보안관제 업무를 효율적으로 수행하기 위해 네트워크 이론을 포함한 전문지식을 보유해야 한다. 3. 정보 공유의 원칙사이버 공격은 유사한 공격이 여러 곳에서 동시 다발적으로 발생..

주제선정이유1. 클라우드 기술의 중요성이 점점 더 커지고 있음2. 2024년에는 공공 서비스 분야에서도 클라우드 네이티브로의 전환을 계획중3. 현실에서 많이사용하는 서비스들도 대부분 클라우드 기반 서비스(chatGPT, Onedrive, 모바일 게임) 클라우드 컴퓨팅이란?인터넷을 통해 다양한 컴퓨팅 서비스(서버, 스토리지, 데이터베이스, 네트워킹, 소프트웨어)를 제공하는것다시말해, 컴퓨팅 서비스를 임대해주는것  클라우드 컴퓨팅의 장단점 장점 1. 유연성과 접근성:클라우드는 인터넷이 연결되어 있는 어디에서나 데이터에 접근할 수 있음즉, 사무실이나 집, 이동 중에도 필요한 작업을 할 수 있음2. 비용 효율성:기업이나 개인은 초기에 사업을 시작할때 비싼 하드웨어를 구매하고 유지할 필요가 없음클라우드 서비스 제..

1. 악성코드란?악성코드(malware)란 의도적으로 컴퓨터 시스템에 해를 입히기 위해 설계된 악성 소프트웨어를 말한다. 영어단어를 풀어서 해석해보면, Malicious(악성)와 Software(소프트웨어)를 합친 단어라는것을 알수있다.  2. 악성코드의 유형참고로 악성코드는 특징에 따라 하나의 유형에 속하기 보다는 여러가지 유형에 속하는 경우가 많다.대표적인 악성코드 유형은 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), 애드웨어(Adware), 스파이웨어(Spyware), 랜섬웨어(Ransomeware)로 나뉜다. (이외에 유형들은 회사에 따라서 좀 더 세부적으로 분류하기도 한다.)  2.1 바이러스(Virus)바이러스(Virus)는 사용자의 개입(감염된 파일을 실행) 통해 전파되는..

이번시간에는 주요 프로토콜인 FTP, SMTP, POP3, IMAP, ICMP를 정리해 보겠습니다.네트워크 관련 업무를 할때, 1. 포트번호를 통해서 어떤 프로토콜인지 파악하고, 2. 각 프로토콜의 특징을 파악하는것은 매우 중요합니다. 📌FTP(File Transfer Protocol)이름 그대로  파일(file)을 송수신(transfer) 할때 사용되는 프로토콜입니다. 포트번호: 20(데이터 채널), 21(제어 채널)OSI 7계층에서 응용계층에 해당합니다.서버-클라이언트 구조입니다.암호화 기능이 없습니다.*포트번호는 클라이언트가 아닌 서버측 포트입니다. 제어채널(Control Channel)과 데이터 채널(Data Channel)FTP는 두가지 채널인 Control Channel(제어채널)과 Data..

1. 왜 OSI 7 계층이 등장했나?네트워크 통신의 표준화 모델이 만들어지기 전에는 각 회사가 서로 다른 네트워크 모델을 사용하고 있었다. 이 때문에 두 회사의 장비 간 호환성 해결을 위한 추가적인 비용이 발생했다. 이러한 문제를 해결하기 위해 국제 표준화 기구(ISO, International Organization for Standardization)에서 OSI 7 Layer 모델을 개발되었다. 정리하자면 OSI 7계층 모델의 등장으로 호환성 문제를 해결하여 비용을 절감하고, 세분화된 계층으로 문제를 파악할수 있어 네트워크 문제해결에 도움이 되었다.  2. OSI 7 계층별 특징OSI 계7층안에서 다양한 네트워크 개념들이 담겨있다. 우선적으로 계층별 특징, PDU, 캡슐화, 계층별 프로토콜, 계층별 ..

DDos란?DDoS(분산 서비스 거부) 공격은 여러 대의 컴퓨터를 이용하여 대상 서버에 악의적으로 과도한 트래픽을 일으켜 서비스를 방해하는 행위입니다.  생활 속에서도 이와 비슷한 현상을 겪을 수 있습니다. 예를 들어, 대학생들이 수강신청을 하거나 인기 있는 공연의 티켓을 예매하기 위해 동시에 웹사이트에 접속할 때, 사이트가 느려지거나 접속이 어려워지는 경우가 있습니다. 이러한 현상은 DDoS 공격과 유사해 보일 수 있으나, DDoS 공격의 경우 공격자가 의도적으로 대규모의 트래픽을 생성하여 서비스를 방해한다는 점에서 명확한 차이가 있습니다. 정리하자면, DDoS는 서버의 자원을 고갈시켜 정상적인 이용자들의 접속을 막으려는 악의적인 목적으로 실행됩니다. DDos 동작방식공격자는 감염된 좀비 PC들을 C&..

1. Firewall(방화벽)먼저, 방화벽(Firewall)은 외부 네트워크로부터 내부 네트워크로의 패킷이 이동할 때 허가된 IP 주소나 포트 번호에 따라 접근을 허용하거나 차단하는 도구입니다.  방화벽은 주로 공격에 대한 1차 방어선으로써 접근제어기능(Access Control)을 수행합니다. 또한 방화벽에 접근이 허용되거나 차단된 패킷들을 기록(Logging)하고 추적하는 기능(Auditing)을 수행합니다.  방화벽을 구성하는 방법은 라우터가 방화벽 역할을 하는 스크리닝 라우터로 구성하는 것과, 방화벽 전용 하드웨어로 구성하는 방법이 있습니다.  하지만 방화벽에도 한계가 있습니다.첫째, 방화벽은 IP 주소와 포트 번호에 의존하여 액세스를 관리하는 솔루션이기 때문에, 만약 공격자가 우회한 IP 주소와..

OSI7계층은 두 가지 계층으로 나뉠 수 있다. 소프트웨어 형태로 구현되며, 사용자와 애플리케이션과 가까운 상위계층(L7~L5), 하드웨어 형태로 구현되며, 데이터 전송과 관련된 하위계층(L1~L4)이 있다. 1. L1 장비(물리계층)대표적인  장비로 리피터, 허브, 케이블이 있다. 1.1 리피터(Repeater)케이블 내에있는 구리선을 통해서 전기적인 신호를 전송할때 저항을 받아 신호가 약해진다. 이러한 전기적 신호를 다시 증폭시켜주는 장비가 리피터이다.*현재는 리피터를 따로 사용하기 보다는 허브, 브리지, 스위치 장비안에 리피터 기능이 내장되어 있다. 1.2 허브(멀티 포트 리피터)사무실과 같은 근거리 장비들이 통신(LAN 통신)할때 사용하는 장치이다. 구체적인 예시로, 집에서 사용되는 공유기가 있다..