오프라인 8일차 (위협에 대응하기 위한 보안 환경의 이해)

2022. 7. 21. 17:46보안/케이쉴드

반응형

주요 해킹 사이트

https://www.fireeye.com/https://www.fireeye.kr/

 

Cyber Security Experts & Solution Providers | FireEye

FireEye protects through unmatched detection and response technologies delivered through an extensible, cloud based XDR platform.

www.fireeye.com

https://www.fireeye.kr/

 

사이버 보안 전문가 및 솔루션 전문 기업 | FireEye

FireEye는 혁신적인 보안 기술, 최고의 Threat Intelligence 및 세계적으로 인정받는 Mandiant 컨설팅을 결합한 단일 플랫폼을 제공합니다.

www.fireeye.kr

 

apt공격 

분업화 지능화된 팀의 조직적 장기적 사건 

ec) 인터파크 > 개인정보법 (과징금 40억)

 

백신 우회 공격

.exe

.dll

.sys

.scr

>PE포맷  = 이식성이 있는, 실행 가능한 

 

많은 실행 압축 프로그램을 사용, 다중 실행 압축 100개정도 돌린다 upx (cli, gui용)

.exe > 실행압축 > .exe (거꾸로는 언패킹)

unpacking 을 혼자서 진행(자체개발) 하게끔 하는것 > mup

 

악성코드의 90%는 실행 압축 되어있다. 

 

 

packer

-compressor

upx

aspack

-protector

난독화 암호화등을 통해 분석을 어렵게 한다. 

ex) themida_유료

https://www.oreans.com/Themida.php

 

Oreans Technologies : Software Security Defined.

 

www.oreans.com

 

악성코드분석

정적분석

동적분석

 

 

디스어셈블러

IDA pro

어셈블리 언어로 찾기

중요 명렁어 30개 정도만

 

.exe, dll > 어셈블리언어 = 디스어셈블 ( 반대는 어셈블)

프로그램파일 > 디버거 > 실행파일

 

 

cpu > 기계어만 인식 , 레지스터를 사용

인텔칩 한정

wing0 커널모드

wing3 사용자모드

실행파일

> 0~2g 사용자 메모리

> 2~4g  커널메모리

 

용량이 작아서 가상메모리를 사용

> ram 에 매핑되어있고

용량이 부족하면 h/d일부분을 메모리로 사용 (pagefile.sys, 리눅스 > swap 파티션)

 

 

 

eproces구조체

 

커널메모리_수정.pdf
0.26MB

 

rpt-m-trends-2020-kr.pdf
7.28MB
rpt-mtrends-2019.zip
19.28MB
M-Trends 2022 Report-Mandiant_ko-KR_0.pdf
16.14MB

 

 

http + ssl > https

 

WAP 웹 방화벽

웹 공격 방지

positive security model 지원

ssl 지원

어플리케이셔 구조 변화에 대한 대응

 

 

Web Hacking 

sql injection > sql 문 공부하기

xss

csrf

ssrf

upload

download

directory listing

 

추가로 공부할거 http 1.0 + 2.0, html, asp, php, jsp 

 

 

 

 

 

목표! SSL에 관하여

SSL MITM 공격

SSL strip 공격

 

비밀키 암호

DES (56bit 비밀키, 64bit 블록 _ 각 8번째는 parity check 비트가 있다. 통신의 에러를 확인하기위해서 1의 개수를 짝수개로 맞춰준다. ) < 미국 표준 but 3번 breackout > triple - DES가 나옴

트리플 DES(Triple DES)는 각 데이터 블록에 데이터 암호화 알고리즘(DES)을 세번 적용한 트리플 데이터 암호화 알고리즘(TDEA 또는 트리플 DEA) 블록 암호에 대한 일반적인 이름이다.

 

Seed, ARIA < 한국 표준

 

정보통신의 아버지 - 샤논

메시지  > 약속(code)를 많이 사용 = encoding > 10101011010 (평문)  > 블록을 비밀키 k 를 사용 > 암호문 > 유, 무선 전송 > 암호문 >비밀키 k 를 사용>평문> 디코딩 > 메시지

평문을 자른걸 블록

 

비밀키암호(수학이 적어서 속도가 빠르다) - 샤논

샤논이 증명함 > 암호를 만들떄 confusion(혼잡) deffusion(확산)  을 쓸수록 >perfect secrey (완전비밀)이라는것을 확률적으로 증명함

 

DES > AES (공모)

2001년 rigndael 리즌들 알고리즘 채택 (유한체 이론_수학 을 활용)

비밀키 128, 192, 256 bit 

블록 128, 192, 256 bit 

 

 

공유기

wep

wpa

wpa2 < 리틀존

wpa3

 

but!

비밀키 공유문제 > 세상은 스니핑 스푸핑 취약점 이 판친다

>> 공개키 암호 탄생함 by 디피, 헬만 (1976, new direction in ryotography)

 

비밀키(secret key) 암호를 사용해서 간접 전자서명을 생성

but 100%보장이 안되었다

 

 

 

 

 

 

공개키암호

공개키 p (public key): RSA, Elgamal, ECC(타원곡선암호법)

개인키 q (private key)

 

메세지 > 공개키 > 암호문 > q > M

but 초기버젼은 바로 breakout > mitm 공격에 취약 >> 공개키 인증의 탄생

 

 

공개키 암호를 사용해서 양쪽에 비밀키 공유

= 공개키 키 교환법(디피 핼만)

 

이산대수

 

 

GF(galois field 갈로아체)

GF(p) = Zp

 

p= 300자리 소수

 

디피핼만 공개키 키교환법

A매우 큰수 a 선택

g^a 를 B에게 전송

B 매우 큰수 b 선택

g^b 를 A에게 전송

두개를 곱해서 비밀키로 사용.

비밀키는 g^ab 

 

+rsa 공개키 교환법

ecc 공개키 교환법

 

공개키 교환법 으로 크라이언트와 서버가 pre-master secretkey를 공유하고 > 여기서 master secretkey를 만들고 여기서 session 비밀키를 만들다. 

 

 

 

IDS 침입탐지 시스템 > 공격 서명에 기반한

2001년 codeRed 웜 1,2,3 (공격서명(시그네이쳐)을 몰랐다)

2001년 닌다웜 _ 공유폴더, 이메일, 백도어, 특정 사이트(드라이브 바이 다운로드) > 다양한 전파경로

>> 무용론

>>비정상행위 탐지 개발

 

 

false positive 공격오인(공격이 아닌데 공격으로 인식)

false negative 정상오인(미탐_실제 공격인데 못찾음)

 

 

시그니처 기반 ids > 이상징후기반 ids

ips 침입 방지 시스템

 

 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ifkiller&logNo=70156536987 

 

Data Hiding 기법 - Alternate Data Stream (ADS) 생성 / 실행 / 탐지 by 해커남

배경 ADS 는 Alternate Data Stream 의 약자로 말 그대로 또 다른 데이터 스트림을 만든다는 것이다....

blog.naver.com

 

ADS > 찾는법 dir /R

 

 

 

 

 

 

wips - 무선 ips 

무선 공유기 탐지 솔루션

 

NAC(Network Access Control) 솔루션은 기업 네트워크의 사용자의 디바이스에 정책을 적용하여 네트워크 가시성과 액세스 관리를 지원합니다.

 

 

취약점 발견 >  vender 연락 

>공격코드 (exploit)

완전공개, 부분공개(소스코드 일부분), poc(proof of concept = 개념적 증명) 

 

 

안티디도스 - 디도스 방지

 

 

DLP - 정보 유출 방지 솔루션 (data loss prevention) 

steganography스테가노그래피 - carrier(mp3, jpg, 동영상)에 데이터를 숨기는 기술, 학문

주요 자산이 밖으로 나가는 것을 방지 

유형

data in use

사용중인 데이터를 보호하여 불법적 활동을 모니터링 하고 표시

data in motion

네트워크를 통해 단말로 이동 하는 데이터

 

 

End system = ES

종단시스템 > 노트북, pc, 스마트폰

 

IS intermediate system

중간시스템

보안IS, 효율적인 대역시스템, 로드분산 IS, NMS

 

ES + IS = 인터넷 

 

 

 

DRM 

하드웨어 및 저작권이 있는 저작물 사용을 제한하기 위한 접근 제어 기술

자산에 대해 사용, 수정 등의 정책을 반영하여 통재

 

기술

verification 확인

enryption - 암호화, 제한조치 우회 방지

copy restriction - 보사 프린트 백업 제한

anti-tampering - 서명되지 않은 소프트웨어가 컨텐츠에 접근하는것을 방지

regional lockout - 특정 지역만

tracking - 워터마크, 메타데이터

 

엔드포인트 보안 솔루션

EDR, EPP 

 

NPB

network packet broker

 

UTM 

전사 위협관리

 

TMS
위협 관리 시스템

 

NMS

네트워크 관리 시스템

 

ESM

전사적 보안관리

 

SIEM

보안 정보 및 위험 이벤트 관리

 

SOAR

자동화가 추가됨

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

시스템 계정으로 로그인 방법

psexec -sid cmd

> regedit 을 더 자세하게 열어볼수 있음

관리자보다 높은 계정

 

 

백도어 여는 과정

nc -lvp 8080 -e cmd

 

이후 칼리에서

nc(elf32 tlfgodvkdlf)

# = 루트

#nc ip 포트번호 

 

반응형