Security 34

Snort와 Snort Rule Signature

Snort 란? -오픈소스 시그니처 기반 네트워크 침입탐지 시스템 -네트워크에 있는 패킷을 수집하여 트래픽을 모니터링 하며, 스노트룰 기반의 준비된 규칙과 비교해서 침입 탐지 및 경고를 발생 -시그니처 기반이란 침입탐지를 문자열로 판단 패킷 데이터에서 악의적인 문자열을 탐지하여 침입의 여부를 결정 Snort 동작 순서 1. Sniffer 가 네트워크 패킷을 수집 2. Packet Decoder로 정규화를 함.정규화 : 인코딩된 URL 값을 디코딩하는 작업 (분석할 수 있는 형태로 만들어준다) 3. Preprocessor(전처리기)는 특정행위가 발견된 패킷을 Detection Engine(탐지 엔진)으로 전송 4. Detection Engine은 해당 패킷이 스노트 규칙에 매칭되는지 확인하고 매칭되면 경고..

악성코드샘플 분석 (2)

보완하여 업로드하였음. 기초 분석 Virustotal에 악성 샘플을 업로드하였을 때 - 68개의 백신 중 58개의 백신에서 악성코드라고 진단하였다. - Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였다. - 많은 백신이 Backdoor,Trojan 으로 악성코드 진단을 하였다. - 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무단으로 사용될 수 있도록 설치된 통신 연결 기능인 백도어와 정상적인 파일로 위장하여 악의적인 기능을 수행하는 트로이 목마 성격을 가지고 있었다. -Window 환경의 실행파일(exe)을 확인할 수 있다. -PEiD 툴을 통해서 SVKProtector로 패킹이 되어 있고 UPX로 한번 더 패킹이 되어있는 것 같다고 추측해볼 수 있었다. -vbscript.dll,..

악성코드 샘플 분석

보완하여 업로드하였음. 기초분석 Virustotal에 악성 샘플을 업로드하였을 때 - 69개의 백신 중 45개의 백신에서 악성코드라고 진단하였다. - Win32를 통해 Window 환경에서 실행되는 파일형태임을 추정하였다. - 악성코드 진단명은 Trojan,adware,Downloader 등이 있다. - 트로이 목마 성격과 광고 목적의 애드웨어, 인터넷 등을 통해 다운로드도 할 수도 있을 것이라고 추정하였다. -MD5, SHA-1, SHA-256 등 여러 해시 암호화 알고리즘 종류의 Hash 값과 파일타입, 사이즈를 확인할 수 있다. -Window 환경의 실행파일(exe)을 확인할 수 있다. -해당 파일은 PEiD packer 부분에 microsoft visual c++로 되어 있는 것으로 보아 패킹이 ..

가상환경 구성 (Vmware 15)

악성샘플 분석을 위하여 로컬 환경이 아닌 윈도우와 동일한 가상환경 구성하였다. Vmware에서 가상환경 Windows 7 설치 Vmware 설치 후 Home에서 Create a new virtual machine 을 클릭 Typical 선택한다. ( 사용자 지정 모드로 하나하나 설정해줘야 하는 custom과 달리 쉽게 구성 가능) 다음으로 게스트 운영체제 설치방법으로 두번째 disc image file 탭을 클릭하여 윈도우 7이 있는 ISO 파일을 넣어 설치를 진행하였다. ''' ISO파일은 많은 파일이나 폴더를 하나의 파일에 넣어 놓은 것을 말한다. ISO파일은 디스크의 이미지를 가지고 있다 말하는데 디스크 안에 있던 모든 파일과 폴더들을 모두 포함하고 있다는 뜻이다. 다른 말로 CD나 DVD의 완벽한..

계층별 프로토콜

프로토콜 = 통신규약통신을 하기 위해 서로 정한 약속​ 7계층7-1. HTTP Hyper text transfer protocolhttp는 서버 클라이언트 모델에 따라 데이터를 주고받기 위한 프로토콜인터넷에서 보여지는 여러가지 이미지 텍스트 정보들을 제공​ 암호화가 아닌 평문을 이용해서 통신한다는 취약성80번 포트 사용​7-2. HTTPS는 개인정보,금융정보등 민감정보를 다루는 페이지에서 적용 그 외에는 HTTP를 통해서 운영하고 있는 페이지들이 존재 443번 포트 사용SSL이라는 인증서를 사용하여 암호화된 통신을 한다.(네트워크 패킷들을 확인할 때 HTTP로 통신을 하면 모든 패킷이 평문으로 보여진다.HTTPS로 통신을 하면 IP와 포트 번호는 보이지만 그 안에 해당하는 데이터 영역은 암호화 되어 있어..

악성코드 정적, 동적 분석

악성코드 분석 시 기초 분석, 정적 분석, 동적 분석 순으로 진행 그 결과와 결론, 결론에 대한 대응 방안,예방법 등을 작성=> 악성코드 분석보고서 악성코드가 가지고 있는 네트워크 관련 특징을 파악을 해서 탐지패턴을 만들어 보안장비에 넣어 같은 악성코드 공격이 들어왔을 때 탐지가 가능하도록 만드는 것도 악성코드 분석의 하나임. (리버싱은 어셈블리어 언어 등 깊이 알아야함) 정적 분석 악성코드를 실행시키지 않은 상황에서 그 자체가 가지고 있는 속성을 분석하는 것 정적분석방법 1. 패킹여부 확인 정적 분석에서 가장 먼저 해줘야 하는 것은 파일을 실행하지 않은 상태에서 원하는 형태로 분석하기 위해 암호화가 되어있는지를 확인 공격자들은 악성코드의 코드를 분석하기 어렵게 하기 위해 패킹(암호화기법)이라는 방법을 ..

Virustotal (기초 분석)

악성 코드 분석을 할 때 세 가지 과정 기초 분석, 정적 분석 그리고 동적 분석인데 기초분석은 바이러스 토탈을 통해서 분석되어진 결과를 바탕으로 정적 분석과 동적 분석에 대한 방향을 설정 Virustotal 이란? -악성 코드 분석하거나 ip 도메인 등을 분석하고자 할 때 활용되어지는 온라인 분석 사이트 -보안 관제 업무, 침해대응, 악성 코드 분석, 취약점 진단, 모의해킹 업무를 할 때도 사용되어지는 사이트 중에 하나 -60개~70여개의 백신을 통해서 악성 코드로 진단하고 있는지 각각의 백신에서 어떠한 진단명으로 악성 코드로 진단을 하고 있는지 (트로이목마,웜,바이러스,랜섬웨어 등) 악성 경유지로 활용이 되었던 이력들이 있는지 등 확인할 때 사용 -무료 자체로도 모든 기능을 다 사용할 수 있다. -악성..

보안관제

보안관제(기밀성 무결성 가용성 바탕으로 이제 악의적인 공격으로부터 보호하기 위해)실시간으로 모니터링을 통해서 탐지 및 분석을 하여 즉시 대응하는 일련의 과정​보안 관제 수행에 해당하는 3 원칙-무중단의 원칙24시간 365일이지만 회사마다 다르며 최근 좋아진 환경-전문성의 원칙모니터링 하면서 올라온 정보들을 바탕으로 이게 공격인지 아닌지 구분하는 능력과 어느 정도의 속도도 필요네트워크 및 악성 코드와 관련된 전문성도 포함-정보 공유의 원칙보안 회사들은 발생했던 사건 사고를 정리를 해서 다른 쪽에 공유를 함으로써 다른 쪽에서 동일한 사건 사고가 발생하지 않도록 예방함.​그래서 공공기관은 ( 한국인터넷진흥원=kisa)을 통해서 정보를 공유를 받고 있고금융기관은 금융보안원을 통해서 금융 정보를 공유를 받고 있다..

악성코드

관제/cert 쪽에서 모니터링할 때 정탐/오탐/미탐 ​ 1.정탐 : 정확하게 탐지 true positive 공격을 공격으로 탐지 true negative 공격 x 를 공격 x로 탐지 2.오탐 : 잘못된 탐지 false positive 이벤트가 들어온 것을 확인하고 잘못 분석 => 행위 함 3.미탐 : 탐지행위 못함 false negative 인식하지 못함 => 행위를 하지 않음 ​ 행위는 해서 수정을 할 수 있는 오탐 행위 자체를 하지 않은 미탐 공격에 대한 보고 같은 행위를 하지 않았기 때문에 공격이 들어왔을 때 미탐이 치명적이다. ​ 악성코드 의도적으로 공격자가 사용자에게 피해를 주고자 만든 악의적인 목적을 가진 프로그램 사용자에게 피해, 기밀 유출, 과시, 광고 등 여러 목적 ​ 악성코드의 유형 1..

보안장비 (DDoS,FW,IPS,WAF)

DDoS분산된 서비스 거부공격웹사이트 또는 네트워크 리소스 (서버,서비스) 운영이 불가능하도록 악성 트래픽을 피해자한테 대량으로 보내는 공격 공격자가 c&c(command & control)라고 불리우는 컨트롤 서버(마스터)를 이용해서감염된 좀비 pc를 원격으로 동작시켜 피해자 pc를 공격하는 방식좀비pc는 찾기 쉽지만 공격자는 누구인지 찾기 힘들다.​디도스 장비를 통해서 어느정도 커버가 가능디도스 장비가 얼마만큼의 대역폭을 소화할 수 있는지를 기준  DDoS 장비일반적으로 IP주소 및 포트 기반으로 임계치 기반의 이상 트래픽 탐지 한다.DoS: 단일 IP를 기준으로  패킷의 양을 측정DDoS : 다수 출발지 IP 기준으로 보호대상에 인입되는 트래픽의 양을 측정최근에는 TCP, HTTP 특성을 이용한 인..