반응형

전체 글 128

윈도우 실행파일의 생성 및 실행 과정

폰 노이만 아키텍처 - 폰 노이만 아키텍처에서는 실행 파일이 평소에는 스토리지에 존재하며, 실행 시 메모리에 로드되어 CPU에 의해 코드가실행 윈도우 실행 파일의 생성 과정소스코드 작성 : 개발자는 C, C++, Java 등 고급언어로 소스코드 파일 (.c, .cpp, .java)을 작성 컴파일- 컴파일러가 소스코드를 아키텍처에 맞는 기계어 코드로 변환하고, 문법 검사 수행- 컴파일 결과로 오브젝트 파일 (.obj) 생성- 오브젝트 파일은 기계어 코드가 포함되어 있으나 아직 완전한 실행 파일은 아님 링킹- 링커가 여러 오브젝트 파일과 라이브러리 파일을 결합하여 실행파일(PE, Portable Executable)을 생성- 실행 파일에 로드될 메모리 주소, 처음 실행될 코드 주소, 함수 및 라이브러리 정보..

루트킷 (RootKit)

루트킷 (RootKit)- 루트킷은 Root와 Kit의 합성어로, 컴퓨터의 관리자 계정(루트)의 권한을 획득 할 수 있도록 하는 도구모음(kit)을 의미- 자신 또는 다른 소프트웨어의 존재를 감춰줌과 동시에 허가되지 않은 컴퓨터나 소프트웨어의 영역에 접근할 수 있게 하는 용도로 설계- 처음부터 불법적이고 악의적 의도로 제작된 건 아님- 윈도우 운영체제의 대중화 이후 사이버 공격자들이 제작/유포한 악성코드를 사용자 및 기타 프로세스로부터 그 존재와 작업 자체를 숨기는데 사용하면서부터 악의적인 용도로 해석- 루트킷은 해커들이 시스템을 해킹할 때 시스템 이용자가 해킹 당하고 있음을 알지 못하도록 하기 위해 사용하는 도구를말하며, 루트킷을 설치하는 목적은 해커들이 나중에 시스템에 접근할 때 들키지 않으려는 것 ..

[모의해킹] 백도어(Backdoor)와 백도어의 종류 (패스워드 크래킹, 루트킷 등)

백도어 (Backdoor)- 일반적인 백도어는 프로그램 개발이나 유지보수 등의 문제 해결을 위해 시스템 관리자나 개발자가 정상적인 절차를 우회하여 시스템에 출입할 수 있도록 임시로 만들어준 비밀 출입문으로 트랩도어(Trapdoor)라고도 함- 컴퓨터 보안에서의 백도어는 보안상 허점을 역이용하여 크래커들이 시스템에 침입한 뒤 자신이 원할 때 다시 침입하거나, 권한 획득을 쉽게 하기 위하여 만들어 놓은 일종의 비밀 통로를 의미한다.- 백도어 프로그램들은 시스템 관리자의 정상적인 보안 관리를 우회해 동작하기 때문에 수시로 패스워드를 변경하는 것과 같이 아무리 안전한 관리를 하더라도 지장을 받지 않고, 또 대부분 침입 사실을 은폐하거나 흔적 조차 남기지 않는다. 백도어 종류1. 패스워드 크래킹 백도어 (Pass..

[암호화 프로토콜] SSL/TLS

SSL/TLS- 전송 계층 상에서 인증 및 데이터를 암호화하기 위한 프로토콜- HTTP(HTTPS), FTP(FTPS), TELNET, SMTP 등에서 사용 가능- 주로 웹 브라우저와 웹 서버 사이의 안전한 보안 채널을 제공하기 위해 사용 SSL/TLS 차이점- SSL v3.0을 참고하여 RFC2246으로 표준화 된 것이 TLS- SSL과 TLS는 본질적으로 같아 사실상 완전히 다른 프로토콜이라고 볼 수 없음- 통신 순서는 크게 바뀌지 않았으나 사이퍼스위트 (암호화 방식, 인증 방식, 키 교환 방식, 무결성 알고리즘 등에 대한 정보 집합)에 대한 합의 방법, 합의 과정이 보호 여부 등에서 차이를 보임 SSL/TLS 데이터 교환- TCP 3-Way Handshaking이 맺어진 후 데이터 교환1. Clie..

[모의해킹] 중간자공격 (Man In The Middle Attack, MITM)

중간자 공격- 공격자가 두 개의 시스템의 사이에 끼어들어 데이터를 가로채거나 조작하는 공격- 클라이언트와 서버가 암호화된 채널을 이용하면서 ARP 리다이렉트, ICMP 리다이렉트, ARP스푸핑과 같은 공격이 무용지물 되어 생겨난 공격 방법 중간자 공격 영향도IP Spoofing- 공격자가 중간자공격(MITM)을 이용하여 IP 주소를 변조- 기업 네트워크와 같이 IP 주소를 검증하고 있는 네트워크에 접근 시 패킷에 탈취한 IP 주소를 삽입하여 접근이 가능하도록 하는 공격 이메일 하이재킹- 공격자가 중간자공격(MITM)을 이용하여 이메일에 포함된 금융 정보, 개인 정보 등 중요 데이터를 탈취하는 공격 브라우저 쿠키 탈취- 공격자가 중간자공격(MITM)을 이용하여 HTTP Cookie 헤더 내 존재하는 인증정..

IDS(침입탐지시스템), IPS(침입방지시스템)

IDS (Intrustion Detection System, 침입탐지시스템) - 네트워크나 시스템으로 들어오는 트래픽을 모니터링하고 이상 행위나 악성 행위를 탐지하는 시스템 - IDS는 네트워크에서 발생하는 패킷, 로그, 이벤트 등을 분석하여 알려진 공격 패턴이나 비정상적인 동작을 탐지하고 관리자에게 경고를 보내어 보안 문제에 대응할 수 있게 함 IPS (Intrustion Prevention System, 침입방지시스템) - IDS의 확장으로, 탐지된 보안 위협에 대응하여 해당 트래픽을 차단하거나 방지하는 기능을 제공하는 시스템 - IPS는 탐지된 악성 트래픽이나 공격을 실시간으로 인식하여, 해당 트래픽을 차단하고 시스템이나 네트워크의 안전을  유지하기 위해 대응 조치를 취함 - 미리 정의된 보안 정책..

[모의해킹] ARP Spoofing

ARP (Address Resolution Protocol) - 통신 대상 시스템에 도달하기 위한 다음 네트워크 인터페이스의 MAC 주소를 알아내기 위해 사용 - 최초 ARP Reqeust 패킷은 Broadcast로 전송하여 응답은 unicast 형태로 전달 받음 - 목적지 호스트가 응답하면 ARP 테이블 설정 ARP Cache Table - IP 주소와 그에 해당하는 MAC 주소가 들어 있는 테이블이 저장되는 메모리 영역 ARP 동작과정 1. 수신 IP 주소를 가지고 ARP Request Broadcast 2. Gateway는 수신자 IP의 MAC 주소를 알지 못하므로 연결되어 있는 모든 네트워크에 ARP Request를 Broadcast (ARP Cache Table에 등록되어 있지 않음) 3. 수신..

[모의해킹] 스푸핑(Spoofing) ICMP, DNS, DHCP

ICMP - Internet Control Message Protocol - 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 오류를 알려주는 프로토콜 - 대표적으로 ping이 ICMP를 사용 1. Type : ICMP 메시지 타입 2. Code : 타입 별 세부적인 값 3. Checksum : 패킷의 무결성을 위한 값 4. Rest of the header : ICMP를 통해 보내는 데이터, 일반적으로 의미 없는 데이터 ICMP 동작 과정 - 송신 측에서 전송 목적지에 ICMP Echo Request 메시지를 송신하고 목적지로부터 ICMP Echo Reply 메시지를 받으면 패킷이 무사히 전송한 것으로 인식DNS - Domain Name Service - IP주소와 도메인 이름을 상호 매칭해주..

[모의해킹] 스캐닝 (Scanning) 및 nmap을 이용한 스캐닝

스캐닝(Scanning)- 목표 네트워크에서 동작중인 시스템과 해당 시스템에서 사용 중인 OS 및 서비스 탐색- Open Port, OS 버전, 동작 중인 서비스, 서비스 취약점 등 다양한 정보 획득 가능 스캐닝 동작과정- 질의(Reqeust)와 응답(Response) 메커니즘 ex) ping- 가장 기본적인 스캔 방법으로 ICMP를 사용- Echo Reqeust(Type 8)과 Echo Reply(type 0)으로 대상 시스템의 활성화 여부를 알 수 있음- TTL(Time to Live) 값이 운영체제 상이하여 운영체제의 종류 추측 할 수 있음  플래그설명URG헤더의 마지막 필드인 긴급 포인터의 내용을 실행ACK확인 번호 필드가 유효PSH송신자에게 높은 처리율을 요구RSTTCP 연결을 다시 설정SYN연..

[버그헌팅] 취약점 공개 정책 (VDP)

취약점 공개 정책 (VDP) 사이버 환경에서의 취약점 보고의 문제점 - 적절한 담당자에게 연락하기 어려움 - 적절한 연락 채널을 찾기 어려움 - 보고 내용이 적절한 담당자에게 전달되었는지 확인이 어려움 취약점 공개 정책 부재로 인한 결과 - 취약점 정보 유출 - 취약점이 보고되지 않음 - 기관이 취약점에 대한 정보를 얻지 못함 2016년 미 국방부(DOD)는 미국 정부를 위해 만든 최초의 VDP를 개발 2020년 CISA(Cybersecurity and infrasturcture Security Agency)는 모든 기관들에게 취약점 공개 정책(VDP)를 설립하도록 지시 VDP는 선의의 목적을 취약점으로 찾는 보안 연구자들에게 법적 조치를 하지 않고 취약점 보고서를 제출할 수 있게 함 https://ww..

반응형