침해사고 분석 및 대응4 침해사고 유형 별 시나리오 및 주요 취약점 - 침해사고 유형 별 시나리오 1) 리버스 쉘 -- 공격 절차 공격자는 공격 대상 서버 내부에 침입 성공 후 웹 서버의 루트 계정을 탈취하기 위해 telnet brute force/사전 공격 등을 수행하여 루트 계정 패스워드 알아냄. 이후 반복적인 침입을 위해 루트 권한을 가진 일반 사용자처럼 보이는 계정을 만들고, netcat을 이용한 리버스 쉘 연결 작업을 /etc/crontab에 등록하여 주기적으로 리버스 쉘 연결 후 악의적 공격 수행 **리버스 쉘과 일반 바인드 쉘의 차이: 바인드 쉘은 클라이언트가 타겟 서버에 접속해 타겟 서버의 쉘을 획득하는 방식이고, 리버스 쉘은 타겟 서버가 클라이언트 측으로 접속하게 하여 타겟 서버의 쉘을 획득하는 방식임. 일반적으로 방화벽의 인바운드 정책은 엄격하나 아웃바.. 2023. 12. 31. 보안 솔루션 종류 및 특징 --네트워크_물리적 네트워크 보안 장비(1~8) 1) 웹 방화벽(WAF): 일반적인 네트워크 방화벽과 달리 웹 애플리케이션 공격에 대응하기 위한 웹 트래픽의 웹 컨텐츠를 분석하고 탐지 및 차단할 수 있는 기능을 가진 보안 장비. 웹 컨텐츠에 포함된 다양한 난독화 스크립트를 해제 후 분석하거나, SQL 인젝션/XSS와 같은 다양한 웹 공격에서 사용되는 요청 파라미터 패턴을 분석하여 해당 공격에 대응하고, 직접적인 웹 공격 대응 이외에도 정보 유출 방지, 부정 로그인 방지(brute force와 같은 비정상적 로그인 시도에 대한 제어), 웹 사이트 위변조 방지 등에 활용 가능. ex) KISA-캐슬, ATRONIX-WebKnight, Trustwave-ModSecurity(아파치 웹서버에서 동작하는 오픈소스.. 2023. 12. 31. 침입차단시스템(iptables) 패킷 필터링 기능을 가지고 있는 리눅스 커널에 내장된 필터링 기능으로, 상태 추적 기능, NAT 기능, 패킷 레벨에서의 로깅, 확장 모듈을 통한 다양한 기능 제공 형식: iptables –t [테이블] -[체인:A/I/D] [룰] -j [정책] 1) 테이블: 생략하면 자동으로 필터링 테이블 적용 2) 체인: A_Append(마지막 줄에 추가), I_Insert(제일 처음에 추가), D_Delete(삭제) 3) 룰: -s, --sport, -d, --dport, -p 프로토콜(tcp, ucp, icmp, ip), --icmp-type, --tcp-flags, -m state(확장 기능으로 TCP 상태 기능 사용) --state(TCP 상태_NEW, ESTABLISHED, RELATED, INVALID) 4.. 2023. 12. 31. 침입탐지시스템(Snort) snort 룰(시그니처) 설정: 헤더와 바디로 나눠짐 1) 헤더: action, 프로토콜, 출발지 IP&port, direction(방향 ->, > 출발지 IP 주소 기준 10초 동안 두 번째 이벤트까지만 액션 수행 threshold type threshold, track by_src, count 10, seconds 5 >> 출발지 IP 주소 기준 5초 동안 10번째 이벤트마다 액션 수행 threshold type both, track by_src, count 10, seconds 1 >> 출발지 IP 주소 기준 1초 동안 10번 이상 이벤트 발생 시 액션 수행 **수리카타: 스노트의 단점을 개선하고 장점을 수용한 IDS로, 비영리단체인 OISF에서 개발. 오픈소스이며 멀티코어와 멀티스레드 처리 방식으.. 2023. 12. 31. 이전 1 다음