기록★일지

YARA- VirusTotal에서 제작한 도구, 악성코드의 패턴을 이용하여 악성 파일 분류- 간단한 규칙(Rule)을 작성하여 해당 규칙에 맞는 악성코드 탐지- 단순한 문자열이나 바이너리 값뿐만 아니라 반복 조건 지원 정규표현식(Regex)- 문자열의 일정한 규칙(패턴)을 표현하는 형식- 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색- 특정 문자열의 포함, 제외뿐만 아니라 반복 표현도 지원- 탐욕적 수량자(Greedy Quantifier)와 게으른 수량자(Lazy Quantifier)를 활용하여 탐지율 조절- https://regexr.com/ (정규표현식 연습 사이트) 탐욕적 수량자- 가능한 많은 부분과 일치하도록 시도- 패턴이 일치하는 가장 긴 문자열을 찾음- *: 0번 이상 일치 (예: a*는 ..

MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge)- MITRE ATT&CK 프레임워크는 사이버 보안 분야에서 사용되는 쳬게적인 지식 기반- 공격자들의 전술(Tactics), 기술(Techniques), 절차(Precedures)를 체계적으로 정리하여 효과적으로 대응  IOC 기반 탐지- Snort와 같은 시그니처 기반 도구를 사용하여 악성 파일 해시, IP 주소, 도메인 이름 등을 탐지- 수집 및 자동화가 용이하지만, 새로운 IOC가 필요하고 단기적인 탐지 TTPs 기반 탐지- 공격자의 전술, 기술, 절차를 분석하여 행동 패턴을 탐지- Splunk와 같은 SIEM 도구를 사용하여 새로운 공격 기법에 대한 탐지가 가능하며 우회가 어렵지만, ..

OWASP (The Open Web Application Security Project)- 비영리 보안 프로젝트 재단을 통칭하는 약자로 애플리케이션에서 발생할 수 있는 취약점을 분석하고 연구- 2001년 12월 1일에 OWASP 재단으로 발족한 이후 2004년 4월21일에 비영리 단체로 등록- 주로 웹에 관한 정보노출, 악성파일, 보안 취약점 등을 연구하며 일정 주기로 10대 웹 애플리케이션 취약점을 발표 OWASP TOP 10 2021 - A-01:2021-Broken Access Control- A-02:2021-Cryptographic Failures- A-03:2021-Injection- A-04:2021-Insecure Design- A-05:2021-Security Misconfiguartio..

시스템 권한 탈취- 다른 사람의 통신망이나 컴퓨터 시스템에 정당한 접근 권한 없이 접근하거나 허용된 접근 권한의 범위를 초과하여 침입하는 행위- 권한 상승 역시 보안 경계를 침해하는 행위 중 하나로서 시스템 권한 탈취와 유사한 공격으로 관리자가 의도한 정도보다 더 많은 권한, 시스템이나 애플리케이션에 대한 더 높은 액세스 권한을 획득하는 행위 CVE-2021-3156 : Heap-Based Buffer Overflow in Sudo (Baron Samedit)- sudo에서 힙 오버플로우 취약점 발견, 권한이 없는 모든 사용자는 이 취약점을 악용하여 기본 sudo 구성 사용하여 호스으테 대한 루트 권한 탈취   레이스 컨디션- 두 개 이상의 프로세스가 공용 자원을 병행적으로 (concurrently)읽거..

악성코드 (Malicious Code 혹은 Malware)- 의도적으로 또는 비의도적으로 실행되면서 기밀성, 가용성, 무결성 등의 컴퓨터의 보안 속성을 침해할 목적으로 작성된 프로그램 악성코드 분류- 독립형, 기생형 기생형- 다른 응용프로그램이나 유틸리티 같은 호스트 프로그램을 필요로 함- 바이러스, 논리폭탄, 백도어 독립형- 자체적으로 구동될 수 있는 프로그램으로 스케줄되어 구동될 수 있음- 웜, 좀비 프로그램 바이러스성 악성코드- 자기 복제 가능- 웜, 바이러스 비-바이러스성 악성코드- 자기 복제 불가능- 트로이목마, 백도어 악성코드 종류바이러스- 다른 프로그램을 감염시킨느 프로그램 단편이며, 자기 복제 기능이 있음- 네트워크를 통해 전파되지 않음 바이러스 세대별 분류1세대 원시형 바이러스 (Prim..

IDS (Intrustion Detection System, 침입탐지시스템) - 네트워크나 시스템으로 들어오는 트래픽을 모니터링하고 이상 행위나 악성 행위를 탐지하는 시스템 - IDS는 네트워크에서 발생하는 패킷, 로그, 이벤트 등을 분석하여 알려진 공격 패턴이나 비정상적인 동작을 탐지하고 관리자에게 경고를 보내어 보안 문제에 대응할 수 있게 함 IPS (Intrustion Prevention System, 침입방지시스템) - IDS의 확장으로, 탐지된 보안 위협에 대응하여 해당 트래픽을 차단하거나 방지하는 기능을 제공하는 시스템 - IPS는 탐지된 악성 트래픽이나 공격을 실시간으로 인식하여, 해당 트래픽을 차단하고 시스템이나 네트워크의 안전을  유지하기 위해 대응 조치를 취함 - 미리 정의된 보안 정책..

방화벽- 방화벽은 해당 포트를 통과할 수 있는 것을 제어하는 것- 컴퓨터에 대한 무단 액세스를차단하기 위한 보안 시스템- 방화벽의 유형은 크게 소프트웨어와 하드웨어가 있다.- 하드웨어 유형은 주로 라우터에 통합되어 있음 (L3, 브릿지 구성도 가능)- 소프트웨어 유형은 컴퓨터에 다운로드함 방화벽 기능인증 (Authentication)- 방화벽을지나가는 트래픽에 대한 사용자가 누구인지 증명하는 기능 (OTP, 패스워드 등) 접근 통제 (Access Control)- 특정 호스트를 제외하고 외부에서 내부 네트워크에 접속하는 패킷을 필터링하는방식으로 접근을 통제하는 기능 프라이버시 보호 (Privacy Protection)- NAT, Dual Domain Name System, Proxy 등의 기능을 제공함으..

1. 베스천 호스트(Bastion host)- 일반적인 호스트 시스템에 방어 기능을 강화한 시스템이다.- 네트워크 보안상 가장 중요한 위치에 있기 때문에 관리자에 의해 철저하게 감시되며 불법적인 침입 의도를 가지고 접속한 모든 시스템의 기록들에 대하여 주기적인 검사를한다.- 내부 네트워크 전체의 보안을 책임지는 호스트이기 때문에 공격자의 목표가 되기 쉽다- 해커 또는 불법 침입자의 시스템 악용을 막기 위해 불필요한 사용자 계정과 유틸리티, 명령들을 삭제하며 라우팅 기능을 올리지 않아야한다.- 강화된 인증 기능 및 모든 사용자 접근 기록, 모니터링 기능 필요하다.- 내부 > 외부, 외부 > 내부 사용자 모두 인증 과정 진행 후 통신한다.- 인터넷과 같은 외부 네트워크와 직접 통신할 수 있는 호스트는 베스천..

1. 패킷 필터링(Packet filtering) 방식- 가장 기초적인 방화벽, 네트워크(3계층) 계층과 전송 계층(4계층)에서 동작- 데이터링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 5-Tuple를 검색하여 정의된 보안 정책에 따라 서비스의 허용/차단 결정   * 5-Tuple은 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port, 프로토콜(TCP, UDP 등) 5개의 조건을 말한다.- 다른 방화벽 방식에 비해 속도가 빠르다.- 낮은 레이어 (3~4계층)에서 동작하기 때문에 기존 애플리케이션과 연동이 쉽다.- 하드웨어에 의존적이지 않으나 강력한 로깅 기능 및 사용지 인증 기대 어렵다. * 로깅은 시스템의 동작을 추적하고 기록하는 것  - (ex : 사용자가 접속..

방화벽(Firewall) - 컴퓨터 네트워크 분야에서 방화벽은 네트워크 경계에 위치하여 네트워크로 들어오고 나가는 트래픽을 제어하는 보안 장치 - 사전에 정의된 보안 정책을 기반으로 트래픽을 필터링하여,허가된 트래픽은 허용, 허가되지 않은 트래픽은 차단한다.- 방화벽은 내부 네트워크와 외부 네트워크의 경계에 존재한다고 보면된다. 방화벽의 주요 기능 - 네트워크 외부로부터의 불법적인 접근을 차단하여 내부 네트워크를 보호 - IN/OUT bound 트래픽을 실시간으로 모니터링하고, 로그를 기록 - 사전에 정의된 보안 규칙을 기반으로 트래픽 필터링 - 알려진 공격 패턴을 인식하고 차단 장점 - 네트워크 경계를 보호하여 불법적인 접근 차단 - IN/OUT bound 트래픽을 제어하여, 비정상적인 트래픽을 필터링..