기록★일지

YARA- VirusTotal에서 제작한 도구, 악성코드의 패턴을 이용하여 악성 파일 분류- 간단한 규칙(Rule)을 작성하여 해당 규칙에 맞는 악성코드 탐지- 단순한 문자열이나 바이너리 값뿐만 아니라 반복 조건 지원 정규표현식(Regex)- 문자열의 일정한 규칙(패턴)을 표현하는 형식- 간단한 규칙을 작성하여 규칙에 맞는 문자열을 검색- 특정 문자열의 포함, 제외뿐만 아니라 반복 표현도 지원- 탐욕적 수량자(Greedy Quantifier)와 게으른 수량자(Lazy Quantifier)를 활용하여 탐지율 조절- https://regexr.com/ (정규표현식 연습 사이트) 탐욕적 수량자- 가능한 많은 부분과 일치하도록 시도- 패턴이 일치하는 가장 긴 문자열을 찾음- *: 0번 이상 일치 (예: a*는 ..

사이버 킬 체인(Cyber Kill Chain)- 사이버 킬 체인은 Lockheed Martin의 연구원들이 개발한 개념- 사이버 공격을 7단계로 설명- 원래는 군사 용어에서 유래한 개념, 군사 작전의 단계별 진행을 뜻하고, 사이버 보안에선 공격자의 행동 분석 및 방어 활용   사이버 킬 체인 7단계1.정찰(Reconnaissance)- 공격자는 목표 시스템이나 조직에 대한 정보 수집- 공개된 웹사이트, 소셜 미디어, 기타 오픈 소스 인텔리전스(OSINT)를 통해 이루어짐 방어전략- 주기적인 보안 평가- OSINT 모니터링으로 공격자 정보 수집 및 탐지 2. 무기화(Weaponization)- 공격자는 수집된 정보를 바탕으로 악성코드(malware) 제작 및 취약점 이용한 공격 도구 준비 방어 전략- 최..

MITRE ATT&CK (Adversarial Tactics Techniques & Common Knowledge)- MITRE ATT&CK 프레임워크는 사이버 보안 분야에서 사용되는 쳬게적인 지식 기반- 공격자들의 전술(Tactics), 기술(Techniques), 절차(Precedures)를 체계적으로 정리하여 효과적으로 대응  IOC 기반 탐지- Snort와 같은 시그니처 기반 도구를 사용하여 악성 파일 해시, IP 주소, 도메인 이름 등을 탐지- 수집 및 자동화가 용이하지만, 새로운 IOC가 필요하고 단기적인 탐지 TTPs 기반 탐지- 공격자의 전술, 기술, 절차를 분석하여 행동 패턴을 탐지- Splunk와 같은 SIEM 도구를 사용하여 새로운 공격 기법에 대한 탐지가 가능하며 우회가 어렵지만, ..

요약이 문서에서는 공격자가 apache 취약점(CVE-2023-27524)을 악용하는 방법을 보여줍니다. 애플리케이션 apache superset을 사용합니다.취약한 애플리케이션에는 다음과 같은 특징이 있습니다.[Docker] Ubuntu에 Docker 설치하기공통 설치 명령어는 아래와 같습니다.설치 후에 docker version 명령어로 도커가 설치되었는지 확인하면 됩니다.sudo wget -qO- | sh위 명령어로 설치가 되지 않는다면1. 필수 패키지 설치apt-get를 업데이트하고 필수 패키지를 설치합니다.sudo apt-get updatesudo apt-get install -y \\ ca-certificates \\ curl \\ gnupg \\ lsb-release2..

OWASP (The Open Web Application Security Project)- 비영리 보안 프로젝트 재단을 통칭하는 약자로 애플리케이션에서 발생할 수 있는 취약점을 분석하고 연구- 2001년 12월 1일에 OWASP 재단으로 발족한 이후 2004년 4월21일에 비영리 단체로 등록- 주로 웹에 관한 정보노출, 악성파일, 보안 취약점 등을 연구하며 일정 주기로 10대 웹 애플리케이션 취약점을 발표 OWASP TOP 10 2021 - A-01:2021-Broken Access Control- A-02:2021-Cryptographic Failures- A-03:2021-Injection- A-04:2021-Insecure Design- A-05:2021-Security Misconfiguartio..

시스템 권한 탈취- 다른 사람의 통신망이나 컴퓨터 시스템에 정당한 접근 권한 없이 접근하거나 허용된 접근 권한의 범위를 초과하여 침입하는 행위- 권한 상승 역시 보안 경계를 침해하는 행위 중 하나로서 시스템 권한 탈취와 유사한 공격으로 관리자가 의도한 정도보다 더 많은 권한, 시스템이나 애플리케이션에 대한 더 높은 액세스 권한을 획득하는 행위 CVE-2021-3156 : Heap-Based Buffer Overflow in Sudo (Baron Samedit)- sudo에서 힙 오버플로우 취약점 발견, 권한이 없는 모든 사용자는 이 취약점을 악용하여 기본 sudo 구성 사용하여 호스으테 대한 루트 권한 탈취   레이스 컨디션- 두 개 이상의 프로세스가 공용 자원을 병행적으로 (concurrently)읽거..

Path Traversal- Path Traversal (Directory Traversal) 공격은 클라이언트로부터 입력 받은 값이 경로 형태로 서버측에서 처리를 하는 경우 공격자가 이를 조작하여 원하는 경로로 접근하거나 정상적으로 접근이 불가능한 파일에 접근하는 공격 기법- 보통 클라이언트로부터 파일의 이름이나 경로를 전달받아 처리하는 경우에 많이 발생하며 ../와 같은 구문을 사용하여 상위 디렉터리로 접근하거나 일반적으로 접근이 불가능한 경로에 있는 설정 파일이나 시스템 파일 등에 접근이 가능 Path Traversal 취약점 발생 원인- 파일의 이름이나 경로를 클라이언트에서 전달받아 사용할 때 이를 검증하지 않고 바로 사용하여 발생https://example.com/vulnerable.php?TE..

CSRF (Cross-Site Request Forgery)- 피해자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 애플리케이션에 요청하게 만드는 형태의 공격- CSRF는 피해자의 권한을 도용하여 특정 행위를 수행하는 형태이기 때문에 피해자의 권한이 높을수록 할 수 있는 행위가 많아져 피해 규모가 커지는 특징이 존재  Step1. 관리자가 갤러리 페이지에 공지사항 작성.  Step2. 공격자가 갤러리 페이지에 공격 Payload 삽입하여 작성   Step3. 갤러리에 작성한 글을 관리자가 클릭 후 qna 에 새로운 글이 작성되는 것을 확인.  CSRF 공격과 전제 조건- 피해자(사용자)는 보안이 취약한 (CSRF 공격이 가능한) 애플리케이션으로부터 이미 인증을 받은 상태여야한다.- 인증을 받지 않은 ..

XSS- XSS(Cross-Site-Scripting)은 공격자가 애플리케이션에 스크립트를 삽입하고 해당 스크립트가 사용자의 웹 브라우저에서 실행되는 형태의 공격을 의미- 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 그대로 사용할 경우 주로 발생하는 취약점- 많이 발견되는 공격 형태는 사용자의 인증 (세션) 정보를 탈취하거나 스크립팅으로 할 수 잇는 비정상적인 기능을 수행하는 공격이 주를 이룸  XSS 공격 종류 및 공격 기법Reflected XSS- Reflected XSS는 메시지나 검색 결과와 같은 HTTP Request가 서버에 전송되고 전송된 값의 일부 또는 전체가 응답에 포함되어 서버에서 반사되는 형태의 공격- Non-Persistent Cross-Site Scripting..

악성코드 (Malicious Code 혹은 Malware)- 의도적으로 또는 비의도적으로 실행되면서 기밀성, 가용성, 무결성 등의 컴퓨터의 보안 속성을 침해할 목적으로 작성된 프로그램 악성코드 분류- 독립형, 기생형 기생형- 다른 응용프로그램이나 유틸리티 같은 호스트 프로그램을 필요로 함- 바이러스, 논리폭탄, 백도어 독립형- 자체적으로 구동될 수 있는 프로그램으로 스케줄되어 구동될 수 있음- 웜, 좀비 프로그램 바이러스성 악성코드- 자기 복제 가능- 웜, 바이러스 비-바이러스성 악성코드- 자기 복제 불가능- 트로이목마, 백도어 악성코드 종류바이러스- 다른 프로그램을 감염시킨느 프로그램 단편이며, 자기 복제 기능이 있음- 네트워크를 통해 전파되지 않음 바이러스 세대별 분류1세대 원시형 바이러스 (Prim..