320x100

잘 되어 있는 공공기관이 점프하기에 좋다.

보안관제 쪽 5문제 나옴

10장 외우면 다섯문제 다 맞춤

 

 

 

보안관제

  • 보안 장비로부터 수집된 이벤트를 분석하고, 이를 통해 보안 정책과 비교하여 이상 징후나 공격을 탐지하는 과정

SIEM 운영

  • SIEM(보안 정보 및 이벤트 관리)은 보안 장비라기보다는 보안 솔루션의 일종입니다. SIEM은 다양한 보안 장비와 시스템에서 수집한 로그와 이벤트를 통합하여 분석하고, 실시간으로 모니터링, 경고 및 보고 기능을 제공합니다.

(시험) SIEM 구성 및 이해

Manager

  • 경보 감사 데이터 발생 시, 다양한 알람 기능을 처리(Sound, Email, SMS, 스크립트, SNMP)
  • 감사 데이터 및 설정 데이터 저장을 위한 데이터베이스 백업 및 삭제관리를 스케쥴링 처리
  • 모든 자체 감사 데이터를 생성하고, 데이터베이스에 저장

Console

  • 사용자 및 에이전트 그룹 관리, 구성관리, 수집조건, 연관성 분석, 데이터베이스 백업 및 삭제 관리 등 모든 설정 화면을 제공

Agent

  • 관리대상 장비로부터 수집한 로그를 정해진 규칙에 따라 정규화하고, 수집조건 규칙과 비교하여 매니저로의 전송 여부를 결정
  • 매니저로 전송 전에 동일 패턴으로 구분되는 이벤트는 축약 처리하여 네트워크 및 데이터베이스 등의 부하를 최소화
  • Agent 방식 - Agent설치 됌

각 장비마다 Agent(데이터 수집 및 판단) 가 있어야함

  • Agentless 방식 - Agent설치가 안되고 sys로그만 던져주는 방식

SIEM 구성 3가지 요소

Agent - Manager(Back-end) - Console(front-end)

 

 

 

로그

  • 로그는 컴퓨터나 서버등에서 유저의 플레이 정보를 시간에 따라 남기는 기록
  • 데이터 로그는 연속 데이터의 기록을 뜻한다.

로그 → 시간 → 관련된 포트는 NTP(Network Time Protocol) 123포트 에서 사용

로그의 시간 정보를 정확하게 동기화하기 위해 NTP(Network Time Protocol)를 사용하며, 이때 사용하는 포트가 123번입니다. NTP는 네트워크를 통해 시간 동기화를 수행하여 시스템 간의 시간 차이를 최소화하는 데 도움을 줍니다.

파싱(Parsing)

  • 로그는 한줄로 쭉 들어오는데 이해하기 힘들다. 원본로그를 필드 별로 구분하는 것

SIEM 이상 그래프 확인 방법

  • SIEM에서 연동된 각 보안장비에 대해 일일 그래프 또는 30분별 그래프 등을 만들어 해당 장비의 상태 및 이벤트 수치를 한눈에 확인하기 쉽도록 만들 수 있다.

이상 그래프를 탐지하였을 경우 해당 그래프에 대해서 발생시간, 출발지, IP목적지, IP Port 등 더 자세하게 어떠한 이벤트가 수집이 되었는지 확인이 필요하며, 확인된 정보를 바탕으로 이상 유무를 판단해 낼 수 있어야 한다.

→ 그래프를 프로파일로 저장하여 그떄 그떄 확인하고 싶은 여러 가지 그래프를 매번 생성하지 않고 저장시킨 프로파일을 불러 들어와 빠르게 확인하여 보다 효율적으로 관제할 수 있도록 한다.

 

번들룰 생성

  • 번들룰은 가용성 체크를 위한 경보이다. 장애로 인한 이벤트 미 수집 / 보안장비 펌웨어 업데이트로 인한 로그필드 변경 시 미 수집 등이 발생할 수 있다. NMS와 같이 Ping Check를 통한 가용성도 확보할 수 있다.
  • 번들룰 종류: 핑 체크, 프로세스 체크, 미 수집 체크

단일경보 생성

  • Object는 단일 경보 생성 시 각 필드에 해당되는 탐지 상세 조건이다. SIEM에서 수집되는 로그를 기반으로 필드를 선택한 뒤 조건을 충족하여 경보가 발생하도록 운영자가 설정할 수 있다. 연산자(AND, OR, Like)를 통하여 해당 조건에 따라 발생 건수가 달라지며, 정/오탐 고도화가 진행된다.

경보를만들때 조건을 만드는게 중요 → 옵션은 오브젝트 - > 값을 정의하고 어떤 칼럼으로 파싱 되는지를 알아야한다. - > 이를 통해 where 조건을 다 만들 수 잇다.

단일 경보를 생성할 때 조건을 설정하는 것은 매우 중요합니다. 이를 통해 경보의 정확성과 유용성을 높일 수 있습니다. 다음은 단일 경보 생성을 위한 기본적인 단계입니다:

옵션 정의: 경보를 설정할 오브젝트를 선택합니다. 예를 들어, 특정 로그 유형이나 이벤트 소스를 선택할 수 있습니다.

값 정의: 오브젝트에 대한 조건을 설정합니다. 특정 값이나 상태를 기준으로 경보를 트리거할 수 있도록 합니다. 예를 들어, 특정 IP 주소나 사용자 계정 등입니다.

칼럼 파싱: 어떤 칼럼에서 값을 추출할지를 결정합니다. 로그 데이터의 구조를 이해하고, 필요한 정보를 올바르게 파싱할 수 있도록 해야 합니다.

WHERE 조건 작성: 위의 정보들을 바탕으로 SQL과 같은 쿼리 언어를 사용하여 WHERE 조건을 작성합니다. 이 조건은 경보가 발생할 기준을 설정하게 됩니다.

테스트 및 검증: 설정한 경보 조건이 올바르게 작동하는지 테스트하고, 필요에 따라 조정합니다.

이러한 과정을 통해 효과적인 경보를 생성할 수 있으며, 보안 이벤트를 신속하게 탐지하고 대응할 수 있는 기반을 마련할 수 있습니다.

상관분석

  • 단일 경보의 조합으로 생성된다. Step 별로 경보 단계가 진행되기 떄문에 고도화를 위한 경보 생성 시 적합하다. 상관분석은 생성된 단일 경보를 기반으로 단계별 탐지 설정이 가능하며, 전 단계에 대한 상세 조건을 설정할 수 있다.

 

대법원 보안관제 사례

 

(시험)외부 침입으로부터의 방안

공격자

  • 1단계 대량트래픽차단시스템 (DDOS) → 패킷 많이 들어오면 네트워크 과부하, 시스템한테 가는거니까 서비스가 안되는 것

서비스 자원 고갈, 서비스 거부 공격방어

  • 2단계 침입방지시스템 IPS (In-line mode (IPS), sniffing (IDS) 미러링 떠서 데이터만 탐지할 수 있게 하는것)

비정상 패킷 차단

  • 3단계 침입차단시스템 (방화벽)

비정상 세션 차단, IP,PORT 제어

  • 4단계 악성메일차단 (URL, 악성 첨부파일을 차단)

스펨메일 차단, 악성 유포지 경로, 악성 첨부파일 차단

  • 5단계 웹 안전도 검사 시스템 (홈페이지 바탕화면 바꾸는것, 기존이랑 변경된 사항이 있는지 확인하고 차단한다. )

웹 서비스 위변조 대응 (문자, 이미지 크기 변경)

  • 6단계 웹방화벽 (WAF)

웹 공격, 정보유출 차단

  • 7단계 서버보안, 감사

자원/프로세스 접근제어, 사용자 계정 및 로그감사

  • 8단계 DB암호화, 접근제어

DB 중요정보 암호화, DB 사용자 인증 및 로그감사, 명령어 제어

정보시스템

300x250
320x100

https://www.boho.or.kr/

https://www.boho.or.kr/kr/bbs/list.do (정보보호 용어) - 전부 다 공부해야

보안관제에서 목숨을 걸었다면 → 쿠팡, 게임회사 로 가야 돈을 벌 수 있다.

 

 

보안관제 & SOC

 

(시험)보안관제 구성요소 - 객관식 예상

  1. Process (관제 방법론)
    - 조직과 규모, 목표에 따른 절차
    - 위기대응 메뉴얼

    - 유관 부서간 역할 정의
  2. People (숙련된 인력)
    - 역할별 기능을 수행하기 위한 인력

    - 운영 방법
    - 직접운영 / 위탁운영
  3. System(모니터링 Tool/인프라)
    - 보안관제 모니터링
    - 침해사고 대응 관리 시스템
    -  다양한 분석 시스템

보안관제 전문기업

 

보안관제 수행업무

  • 24시간 365일 보안관제
  • 사전 침해 예방 서비스
  • 기타 정보보안 업무 지원 서비스

SOC : Security Operation Center (보안관제)

  • 중앙 집중화 된 환경에서 사람, 프로세스, 기술을 활용하여 조직의 사이버위협을 식별, 예방, 탐지, 대응, 복구 관리하며 사이버보안의 최전방에서 자산 및 정보를 보호하는 업무를 수행

SOC 구성요소

  1. 전문조직 (People)
    - SOC매니저
    - 위협헌터
    - 침해대응/분석
    - 보안시스템운영
    - 진단/모의해킹
    - 보안관제
  2. 기술 (Technology)
    - 엔드포인트
    - 위협헌팅
    - 사고처리
    - 포렌식
    - 위협정보공유
    - 네트워크 모니터링
  3. 프로세스 (Process)
    - 관리
    - 복구
    - 대응
    - 탐지
    - 예방
    - 식별

 

네트워크 이해

  • 1계층 케이블 / 2계층 MAC / 3계층 IP / 4계층 PORT
  • 방화벽은 IP 와 PORT로 승인되지 않은 것들을 모두 차단한다

 

 

네트워크 구성방식

In-line 모드 (일반적)

  • 모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송 될 수 있도록 구성
  • 2대 이상의 장비를 설치해 한 장비가 동작하지 않으면 다른 장비로 트래픽이 전달되도록 하는 Fall-Over 기능 필요 (active 가 죽으면 stand by 가 active 로 넘어가도록 동작하는 것)
  • 회선 라인 위에 대응장비 설치 / 패킷이 왔을떄 문제가 있다고 판단했을떄 차단할 수 있다.
  • 라인위에 올려 설치할 수 있다.

 

Sniffing 모드

  • 물리적 회선 구성에 미러링 장비를 통해 유입된 트래픽을 분석하는 방식 (데이터가 스위치에서 서버로만 가는게 아니라 IDS 한테도 전송된다 -> IDS 는 데이터를 받고 쌓아서 "탐지"만 한다
  • 결국, 미러링을 통해 탐지만 한다

 

Out of Path 모드 방식

  • Out of Path 구성은 물리적 회선 구성 바깥에 탐지장비 및 차단장비가 설치되는 방식
  • 미러링 장비를 통해 유입된 트래픽을 탐지장비(센서)에서 분석하고, 차단장비에서 해당 공격을 차단하는 방식
  • Inline 방식에 비해 구성상 복잡하며 상대적으로 고비용이 요구되므로, ISP 및 대형 서비스 망에서 주로 구성하는 방식

 

HA(High Availability) 구성 방식 - Active-Active

  • 중단 없는 서비스를 위한 구성
  • 다운 타임을 최소화 함으로써 가용성을 극대화
  • 트래픽에 대한 Load Balancing 을 통하여 특정 방화벽의 과부하를 제거할 수 있으며, 한쪽 방화벽 장애 시 Fail-Over 기능을 통해 서비스 가용성 보장

* Fall-Over (active 가 죽으면 stand by 가 active 로 넘어가도록 동작하는 것)

*로드 밸런싱(Load Balancing)은 서버, 네트워크, 데이터베이스 등에서 요청을 여러 개의 리소스에 분산시켜 부하를 고르게 나누는 기술

 

 

HA(High Availability) 구성 방식- Active-Standby

  • 중단 없는 서비스를 위한 구성
  • 다운 타임을 최소화 함으로써 가용성을 극대화
  • 평상시에는 Active F/W을 통해 통신하다가 Active가 문제 발생 시 Standby를 사용

 

통신이해를 위한 Zone의 개념

각 Interface 별 Zone의 개념

내부망 : 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 직접적인 접근이 통제 또는 차단되는 구간

 

DMZ 구간 : 인터넷과 내부망 구간사이에 위치한 중간지점으로 침입차단시스템 등으로 접근제한 등을 수행하지만, 외부망에서 직접 접근이 가능한 영역으로 외부에서 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에 접근제한을 수행하는 영역

 

인터넷 구간 : 개인정보처리시스템과 인터넷이 직접 연결되어 있는 구간

 

방화벽의 이해

 

방화벽의 원리

  • 네트워크 방화벽은 기본적으로 네트워크(인터넷 서비스 망)을 통해 들어오는 패킷에 대해 사전에 관리자가 설정해 놓은 보안 규칙(접근제어 목록)에 따라 허용 또는 차단하는 기능 수행
  • 일반적으로 내부 네트워크와 외부 네트워크 중간에 위치하여 패킷 제어가 가능

 

화이트리스트(Whitelist)

정의: 허용된 항목의 목록으로, 목록에 있는 항목만 접근이나 실행을 허용합니다.

장점:보안성이 높음: 허가된 항목만 통과하므로 악성 소프트웨어나 비허가된 접근을 차단할 수 있습니다.

관리의 용이성: 명확한 기준으로 관리할 수 있습니다.

단점:유지 관리가 필요: 새로운 소프트웨어나 사용자 추가 시 목록을 업데이트해야 합니다.

유연성이 떨어짐: 허용되지 않은 항목은 모두 차단되므로 필요한 접근이 제한될 수 있습니다.

블랙리스트(Blacklist)

정의: 차단된 항목의 목록으로, 목록에 있는 항목만 접근이나 실행을 차단합니다.

장점:유연성: 사용자가 필요로 하는 대부분의 항목에 접근할 수 있으며, 문제가 되는 항목만 차단합니다.관리가 비교적 쉽고 빠름: 새로운 항목을 차단하는 것이 더 간편합니다.

단점:보안 위험: 새로운 악성 소프트웨어나 공격 방식이 등장할 경우, 이를 즉시 차단하지 못할 수 있습니다.

관리가 복잡해질 수 있음: 많은 항목을 차단해야 할 경우 관리가 어려워질 수 있습니다.

 

 

(시험)방화벽 NAT - (방화벽, NAT 개념 둘 다 알아야함)

사설 IP를 공인 IP에 필요한 주소 변환 서비스, 방화벽을 활용하여 다수의 사설 IP를 하나의 공인 IP주소로 변환하는 기술

  • 공인 IP 주소 절약 : 인터넷상의 공인 IP는 한정되어 있는데, 점점 그 수요가 많아 지고 있어서 공인 IP 주소가 고갈될 우려가 있음
  • 보안 강화 : 내부에서 사설 IP 사용을 통해 외부에서 서버나 인터넷 장비에 직접적인 접근을 하지 못하게 함

 

내부 -> 외부

내부 특정사설 IP가 특정공인 IP 또는 대역 으로 변경되어 나가는 형태

 

외부->내부

하나의 공인 IP에 내부서버로 1:1로 접속되는 형태

 

 

방화벽 운영방식 - (NAT 방식이 가장 많이 사용된다.)

 

방화벽에 대한 세션 시작 시간이 있고 계속 물려있음

 

 

IPS / IDS 이해

 

 

IDS (Intrusion Detection System)

IDS는 원본 트래픽을 손실이나 변조 없이 복사해주며, 트래픽 유통에는 전혀 관여하지 않는 Out of Path 방식

 

지식기반/오용탐지

  • 패턴에 없는 새로운 공격에 대해서 탐지 불가

행위기반/비정상행위 탐지

  • 오탐률이 높음

300x250
320x100

시험 문제

난이도 하 2 중 1 ~ 2 상 1~2

 

SIEM

 

참고 사이트

  • C-TAS 정보공유시스템 ( 여기서 올라오는 글들을 알림으로 할 수 있게 개발 스크립트를 짠다든지 등 하면 좋음) - 키사랑 국가정보자원관리원에서 중요한 정보만 뽑아주는 사이트 제일 좋음 근데 회사이이디로 회원가입해야함
  • 키사 - 보호나라에 올라오는 글을 알람울려주는 스크립트
  • 국가정보자원관리원

 


Wireshark 실습

 

Wireshark HTTP 트래픽을 쉽게 분석하는법

 

원하는 패킷 오른쪽클릭 -> Follow -> HTTP Stream 

 

 

HTTP Stream 화면

 

 

 

필터링 기능을 이용해서 특정 아이피만 볼 수 있다.

 

 

필터링 2

http에 pw 라 있는 것만 볼래 ( tcp도 가능 == tcp contains “pw”) 

 

패킷을 아래와 같이 추출해서 notepad에 올려놓아 보면 보이지 않는 글자까지 볼 수 있다.

300x250
320x100

보안관제

  • 조직의 IT 시스템과 네트워크에서 발생하는 보안 이벤트를 실시간으로 감시하고 분석하여 위협을 탐지하고 대응
  • 사이버 위협에 대응하기 위해 지속적으로 발전해온 통합적 보안 개념

보안장비의 기능과 종류

FireWall, IDS, IPS, WAF, SIEM, EDR, XDR, TMS, SIEM, SOAR…

 

 

해킹의 시작

1980년대

공격방법

  • 네트워크가 대중적으로 사용되지 않았기 때문에 공격자는 물리적인 방법(플로피디스크)을 통해 공격(Brain Virus…)

방어 방법

  • 물리적 접근 방지, 컴퓨터 자체를 보호
  • 최초의 백신이 개발(패턴을 인식하여 제거)

 

1990년대

공격방법

  • 네트워크를 통한 공격(Worm, Trojan)
  • 네트워크를 통한 빠른 감염과 전파가 목적
  • TCP/IP의 취약점을 악용한 공격방식

방어 방법

  • 네트워크 트래픽을 필터링 할 수 있는 방화벽의 개념이 생기고 외부로부터 접근을 차단
  • IP/PORT 주소 기반의 접근 차단 위주의 방어
  • 서비스 기반의 방어(TCP Wrapper)

 

1세대 방화벽의 등장

  • Packet Filter F/W
  • IP, PORT, Protocol 기반의 필터링 수행
  • Inbound/Outbound
  • OSI 7 Layer 기준 3계층 기반에서 작동(수행 범위는 3~4계층)

1세대 방화벽의 문제점

  • 세션의 상태를 추적할 수 없음(Tcp Session Hijacking등의 조작된 패킷 방어 불가)
  • 규칙 기반의 방어(대규모 네트워크 환경에서의 Inbound, Outbound)
  • OSI 7 Layer 기반 Application 계층의 위협을 차단하지 못함

2세대 방화벽의 등장

  • Stateful Inspection F/W
  • 세션기반의 방화벽으로 트래픽의 모든 상태를 추적하여 정상 트래픽인지 확인
  • 상태 저장 기능(패킷을 개별적으로 처리하지 않음)

2세대 방화벽의 문제점

  • 여전히 Application 계층의 위협을 차단하지 못함
  • 암호화된 트래픽(SSL/TLS) 방어 불가
  • DoS, DDoS 공격 방어 불가

IDS의 등장

  • 트래픽을 실시간으로 모니터링(미러링)
  • 공격 패턴, 시그니처를 기반으로 공격 탐지
  • 호스트 또는 네트워크를 기반으로 침입 탐지
  • 정상 트래픽 및 동작을 학습한 후 비정상 행위 탐지
  • 차단X → 탐지
  • 신호로 오탐(False positive), 정탐(False Negative)을 구분지어 발생시킨다.
  • 비정상 행위를 탐지할 수 있는 시그니처, 즉 탐지정책의 필요성 증가
  • 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
  • IDS와 방화벽을 통해 DDoS 방어 시도

IDS의 문제점

  • DDos 공격 대응 실패
  • 탐지만 하고 차단할지 결정은 사람이 하기 때문에 오탐(False positive) 발생
  • 직접적인 공격의 차단이 불가능하다(미러링)
  • 탐지 이후의 대응은 IDS 장비를 통해 대응이 불가능
  • 2000년대 기술의 발전과 공격방식의 발전에 따라 다음 단계의 보안장비가 필요

공격 방법(2000년대)

  • 대규모 공격(국가, 정부)
  • DDoS(Trinoo,TFN(1999년)) 공격 및 지능형 지속 공격(APT)의 등장
  • 공격 대상이 개인, 기업, 국가기관, 정부로 개인정보, 기밀정보 등 정보탈취
  • 기술의 발전에 따른 취약성 증가
  • 사회공학 공격기법, 공급망, 내부자를 통한 정상적 행위의 공격방식이 등장

IPS의 등장(2000년대) - IDS + packet filtering system

  • IDS의 기능에 차단기능을 추가하여 실시간 위협 차단
  • DoS, DDoS 탐지 및 차단 가능(대규모 트래픽→전문 DDoS 장비 필요)
  • 자동으로 탐지와 차단이 가능해짐

IPS의 문제점

  • 웹 어플리케이션을 목표로 하는 공격(Injection, XSS…)을 탐지 및 차단하지 못함
  • 내부자 위협에 대한 방어 수단X
  • 클라우드 환경에서의 물리적 장비의 한계(2010년대)

WAF(Web Application F/W)의 등장

  • 어플리케이션 계층의 공격을 방어하는데 특화
  • SSL/TLS 트래픽을 복호화 하여 공격 차단

DLP(Data Loss Prevention)의 등장 

  • 데이터 유출을 방지하기 위하여 네트워크, 엔드포인트 모니터링
  • 비인가 행위를 차단하여 내부자 위협 방어

공격 방법(2010년대)

  • 랜섬웨어
  • 국가 조직적 APT(Advanced persistent threat)공격
  • 클라우드 보안 위협(데이터 탈취, 서비스 마비…)
  • IoT 보안위협
  • Cryptojacking(암호화폐 채굴)

APT장비 등장

  • 랜섬웨어, 크립토재킹 등 다양한 공격 방식과 지속적 공격을 방어하기위해 샌드박스 형식의 보안장비 개발

UTM장비 등장

  • 다양한 보안 장비를 하나의 장비로 통합(F/W, IDS/IPS, DLP, APT…)

샌드박스

  • 안전한 환경에서 프로그램이나 파일을 실행하여 악성 코드나 보안 위협을 분석하고 차단하는 기능을 가진 장비
  • 격리된 공간에서 실행되기 때문에, 실제 시스템에 영향을 미치지 않고 위험을 평가할 수 있습니다. 주로 악성코드 탐지, 네트워크 보안, 애플리케이션 테스트 등에서 사용되며, 사이버 공격에 대한 방어 수단으로 효과적입니다.

SIEM (보안 정보 및 사건 관리)

  • 조직의 보안 상태를 모니터링하고 관리하기 위한 솔루션입니다.
  • SIEM 시스템은 다양한 소스에서 로그와 이벤트 데이터를 수집하고, 이를 분석하여 보안 위협을 탐지하고 대응하는 데 도움을 줍니다.
  • 보안장비 및 모든 자원에서 발생한 로그 통합(빅데이터기반)
  • 관리되는 자원의 모든 로그를 통합하여 상관 분석
  • 실시간 위협 탐지와 연관성 분석이 가능
  • 시나리오를 통한 위협 분석이 가능

SOAR(보안 오케스트레이션, 자동화 및 대응)

  • 보안 팀이 보안 사건을 보다 효율적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:
  • 사이버 위협에 대한 업무의 자동화
  • Playbook을 통한 보안 위협 유형에 따른 업무 자동화
  • AI 기반 지능형 보안관제 시스템
  • 빅데이터 기반의 SIEM과 연계 및 위협 인텔리전스 연동
  • 보안 전문 인력 부족 문제 해결

 

 

ESM(Enterprise Security Management)

  • 보안장비를 통합하여 중앙 집중 관리
  • F/W, IDS/IPS, VPN…
  • 보안 정책 수립, 시행에 맞는 보안, 관리적 목적
  • 보안관리체계에 집중한 방식

 

한국의 SOC(Security Operations Center, 보안관제 센터)

  • 국가사이버안전센터(NCSC)
  • 한국인터넷진흥원(KISA)
  • 민간기업

 

보안관제 유형

1. 원격관제

2. 파견과제

3. 하이브리드 관제

4. 클라우드 관제

 

 

  • DNS 포트번호 53
  • 400 클라이언트 오류 (Bad Request): 클라이언트의 요청이 잘못되어 서버가 이해할 수 없음을 나타냅니다.
  • 500 서버 오류 (Internal Server Error): 서버가 요청을 처리하는 중에 내부 오류가 발생하여 요청을 완료할 수 없음을 나타냅니다.
  • 300 여러 선택지 (Multiple Choices): 요청한 리소스에 대해 여러 가지 선택지가 존재함을 나타냅니다.
  • 301 영구 이동 (Moved Permanently): 요청한 리소스가 영구적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 새로운 URL을 사용해야 합니다.
  • 302 임시 이동 (Found): 요청한 리소스가 임시적으로 다른 URL로 이동했음을 나타냅니다. 클라이언트는 원래 URL을 계속 사용해야 합니다.
  • 304 수정되지 않음 (Not Modified): 클라이언트가 요청한 리소스가 수정되지 않았음을 나타내며, 클라이언트는 캐시된 버전을 사용할 수 있습니다.

 

 

GET 방식 : 정보가 URL 에 담겨있다.

POST 방식 : 네트워크 패킷 헤더에 붙어 요청하는게 아니라 바디(본문)에 담겨서 전송된다.

 


 

와이어샤크에서 응답값이 없을 경우 : 해당포트가 닫혀있거나, 방화벽에서 차단 됐을 수 있음

통계 → 대화

 

  • 이더넷 = 사용자의 MAC 주소 ( 랜카드에 박혀있는 고유한 주소)

APT 대응 솔루션

  • 외부로부터 유입되는 탐지 위치에 따라 네트워크 APT 대응 시스템, 이메일, APT 대응시스템, 엔드포인트 APT 대응시스템 등으로 구분

웹 어플리케이션 보안에 특화된 장비

클라이언트의 요청과 웹 서버의 응답에 대한 통신 데이터에 대해 검사 및 탐지, 차단을 수행

  • Request Packet 검사 후 비정상 요청에 대한 패킷 차단

웹방화벽 : 클라이언트가 요청한 것만 본다.

 

DDos 대응장비는 기본의 방화벽/IPS 등에 일부 포함된 DDoS방어 기능에서 벗어나 DDoS공격에 효과적으로 방어 할 수 있도록 특화된 솔루션

 

 

 

Snort

오픈 소스 네트워크 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)

네트워크 트래픽을 실시간으로 모니터링하고 분석하여 악성 활동이나 공격 시도를 탐지하는 데 사용됩니다. 주요 기능은 다음과 같습니다:

  • 패킷 캡처: 네트워크를 통해 흐르는 패킷을 캡처하여 분석합니다.
  • 침입 탐지: 미리 정의된 규칙에 따라 패킷을 분석하여 악성 코드나 공격 패턴을 탐지합니다.
  • 침입 방지: 탐지된 공격에 대해 자동으로 차단 조치를 취할 수 있습니다.
  • 로그 및 보고: 탐지된 이벤트에 대한 로그를 기록하고, 필요한 경우 경고를 생성합니다.
  • 유연한 규칙 설정: 사용자가 규칙을 정의하여 특정 트래픽을 필터링하거나 모니터링할 수 있습니다.

Snort는 강력하고 유연한 보안 솔루션으로, 다양한 환경에서 널리 사용되고 있습니다.

 

 

 

 

SOAR

SOAR(보안 오케스트레이션, 자동화 및 대응)는 보안 팀이 사이버 보안 사건을 보다 효과적으로 관리하고 대응할 수 있도록 돕는 플랫폼입니다. SOAR의 주요 기능은 다음과 같습니다:

  • 오케스트레이션: 다양한 보안 도구와 시스템을 통합하여 서로 간의 작업을 조정하고 자동화합니다.
  • 자동화: 반복적인 보안 작업을 자동화하여 인적 오류를 줄이고, 보안 팀의 효율성을 높입니다.
  • 사건 대응: 보안 사건 발생 시 신속하게 대응할 수 있는 프로세스를 제공하여 사건 처리 시간을 단축합니다.
  • 협업 기능: 보안 팀 내에서 원활한 커뮤니케이션과 협업을 지원하여 사건 해결을 가속화합니다.
  • 보고 및 분석: 사건 대응 과정과 결과를 기록하고 분석하여 지속적인 개선을 도모합니다.

SOAR 플랫폼은 보안 운영을 최적화하고, 위협 탐지 및 대응 능력을 강화하는 데 중요한 역할을 합니다.

300x250
320x100

시험

정보유출용 악성코드 중 개인정보 악성코드 명이 뭐인가?

 

악성코드, 정보유출 중 개인정보나 브라우저에 PC, 쿠키 정보를 수집하는 악성코드가 무엇인가

 

정보유출형 ~ 쿠키 캐시를 수집하는 악성코드 명

 


책추천 : 후니의 시스코 네트워킹

 

 

드롭퍼(Dropper) 공격 방식

  • 파일 안에 악성행위를 품고 있는 것 ex)네이버지킴이가 악성행위를 하는 프로그램을 품고 있다.
  • 실행 파일 내 악성코드가 포함되어 있는 공격 방식 (↔ Loader)
  • 내부에 악성코드가 압축된 형태로 안티 바이러스 탐지 어려움
  • 주로 동적 분석 과정에서 샘플링 후 분석 가능

파일리스(Fileless) 공격 방식 (시험)

  • 파일이 없이 공격을 한다.
  • 안티 바이러스와 같은 보안장비를 우회하기 위한 공격 방식
  • 파일이나 흔적이 남아있찌 않아 분석 어려움
  • 악성코드 주로 메모리에 존재하여 휘발성 데이터 수집 후 분석
  • (워터링홀 공격방식 또는 이메일 공격방식, 스팸, 악성URL 등을 이용해서 악성코드를 배포한다(다운로드를 받게 유포해서 다운로드하면 일차적으로 자바나, 비쥬얼베이직스크립트 등의 형식의 파일로 공격자가 행위를 한다. → 스크립트 파일은 파일 스크립트에 저장이 되는 것인데, 침해사고 서트 팀에서 조사하다보면 흔적
  • 결국에 공격 payload 가 파일로 남지 않아서 파일리스 라고 불림

문서형 APT 공격 방식

  • 문서형 APT 공격은 프로그램안에 스크립트가 녹아져있다.
  • 코드 난독화 기법을 이용하는 이유는 공격자가 보안장비를 우회하기 위한 목적이 가장 크다. (보안솔루션, 일반사용자 PC에 저장되어있는 백신프로그램, 안티바이러스 프로그램 등)
  • word의 ‘콘텐츠사용’ 버튼 매크로를 사용할지 말지를 물어보는것 → 누름과 동시에 악성코드가 동작을 하면서 PC 가 감염이 된다. (분석가들은 문서 파일에 있는 매크로를 분석해야한다.)
  • 악성코드가 실행파일(.exe)가 아닌 문서 파일(.hwp, .doc, .xlsx 등)로 유포
  • 문서 내부 동작 매커니즘으로 악성코드가 동작하는 방식
  • MS Office Macro, Hwp OLE, PDF Script 등
  • 주로 악성코드를 불러오는 Loader 역할로 활용

 

 


SAMPLE 3

네이버알리미 속성을 들어가서 분석

악성코드 중 1MB 가 넘어가면 dropper 의 가능성이 높겠구나 라고 생각

Windows 32비트에서 구현 / C/C++ 언어 구동

문자열 참고하기

시간정보는 얼마든지 조작이 가능

 

 

평판조회 or 구글링을 통해 해시값을 넣고 조회할 수 있다. 분석자료 확인

 

 

 

추가적으로 생성되는 .exe 파일들은 별도로 샘플링을 해서 스냅샷으로 초기화면으로 돌린 화면에서 어떠한 행위를 하는지 돌려봐야한다.

 

 

왜 실행파일이 아닌 text 파일이 있지? → exe 파일이 생성을 했을 가능성이 있다.

날짜, 응용프로그램, 키보드입력도 쿠킹을 해서 메모장에 저장이 된다.

 

 

C2 server 실행과 동시에 안올라왔을 가능성이 있어서 와이어샤크를 통해 네트워크를 주시하면

시간적인 제한이 풀리면서 C2 서버로 통신하는 경우가 있다. 그런것을 찾아 내야함

 

 


피싱 메일 분석 실습

이메일 헤더

  • 메일 발송자의 위치에서부터 시작하여 각 서버를 거쳐 최종적으로 수신자에게 오는 동안의 과정을 기록
  • 분석가는 해커가 발송한 메일을 역추적하기 위해 반드시 확인 필요
  • 이메일 헤더에는 다양한 필드들이 존재

From - (공격자가 얼마든지 조작이 가능)

  • 보내는 사람 입력, 임의의 주소라도 적지 않을 경우 메시지 작성 불가
  • 임의의 주소를 적으면 되기 떄문에 해커는 자신의 주소가 아닌 가짜 주소를 입력

이메일 헤더 필드

Received - 서버에서 통신을 위한 Received header는 조작할 수 없다.

  • 표준양식으로 작성
  • 발신지서버 by 수신지서버 with 메일프로토콜 id 문자열 for 수신자 메일주소
  • 해커가 최초 공격지 서버일 가능성이 가장 크다.

Received 는 제일 하단에서부터 역순으로 분석을 한다.

Return-Path (신뢰할 수 있다 - 실제 주소가 적혀있을떄 예방주소에 도메인 주소를 등록하면 된다)

  • 메일 전송 실패 시 반송되는 주소, 주로 **송신자(해커)**의 메일 주소를 입력

X- 헤더 (비표준 헤더)

  • 정해져있지 않은 필드
  • 실제 발송IP, 실제 발송 계정, 발송 응용프로그램명 등 중요한 단서 포함
  • 해외 메일서버에서 암묵적으로 메일서버를 구현할때 어떻게 메일서버에서 불러오는지 약속을 했음

Return-Path:

  • 이메일이 배달되지 않았을 때, 반송 메일이 어디로 보내져야 하는지를 나타냅니다.일반적으로 발신자의 이메일 주소가 포함되어 있으며, 이메일이 수신자에게 도달하지 못했을 경우 이 주소로 오류 메시지가 전송됩니다.

Received:

  • 이메일이 서버를 통해 전달되는 경로를 기록합니다.각 이메일 서버가 이메일을 수신할 때마다 추가되며, 보통 이메일이 발신자에서 수신자에게 도달하기까지 거친 서버의 정보가 포함됩니다.이 정보를 통해 이메일이 어떤 경로로 이동했는지 추적할 수 있습니다.

X-Session-IP는 이메일 헤더의 확장 필드 중 하나로, 특정 세션에서 클라이언트의 IP 주소를 나타냅니다. 이 정보는 주로 웹메일 서비스나 특정 이메일 클라이언트에서 사용되며, 다음과 같은 목적을 가질 수 있습니다:

사용자 추적: 이메일이 발송된 세션의 IP 주소를 기록함으로써, 발신자의 위치나 사용 환경을 추적할 수 있습니다.보안: 의심스러운 활동이 감지되었을 때, 해당 세션의 IP를 확인하여 추가적인 조치를 취할 수 있습니다.분석: 이메일 서비스 제공자가 사용자의 활동을 분석하는 데 도움을 줄 수 있습니다.

이 헤더는 표준 이메일 헤더에는 포함되지 않지만, 특정 서비스나 애플리케이션에서 추가적으로 사용될 수 있습니다.

IoC 침해지표

[국민건강보험공단] 새로운 전자문서가 도착했어요.

 

[네이버]새 인증서를 기기에 저장했습니다.

썬더버드로 열어봤을때 인증서링크랑 썬더버드의 링크가 일치하지 않는다.

이것은 악의적 사용자가 의도적으로 바꾼 흔적

 

 

[알림]스팸메일 대량 발송

 

esrc.2kool4u.net 을 평판조회해야함

 

발신지 주소를 nslookup 커맨드를 사용해서 IP 주소를 뽑고 국가를 확인 할 수 있다.

 

 


SAMPLE 4

 

파일 시그니처

http://forensic-proof.com/archives/300

mal2.docx 를 HxD 에 올려놓았는데 시그니처가 아래와 같이 나왔다

 

파일 시그니처 홈페이지를 통해 검색해보았더니, zip 파일로 분류가 된다는 사실을 알았다.

 

그렇다면 파일 확장자를 zip 으로 변경해서 압축을 풀 수 있다는 말

 

실제로 반디집을 통해 확장자를 변경해서 풀리는 것을 확인

 

실제로 반디집을 통해 확장자를 변경해서 풀리는 것을 확인

 

 

개발도구에 매크로코드를 보여주기 싫어서 암호를 걸은 것은 편법을 이용해 풀 수 있다.

하지만 워드 파일 자체의 암호가 걸려있는 것은 풀 수 없다.( 현존하는 프로그램으로 풀 수 없다)

 

DPB 는 보안을 인증하는 부분 - ms word 영역에서 암호가 되는 영역임 (해쉬화된 암호가 나오는 곳)

우회를 하기 위해 코드 패치를 한다

 

예를들어 HxD 프로그램을 통해 DPB를 검색하고 DPA 등으로 바꿔 코드패치를 하고 저장을 한다.

 

 

 

 

코드 패치를 한 이후 파일을 전체 묶어서 다시 doc 파일로 만든다.

파일 전체를 선택해서 압축을 다시 한 다음 확장자명을 doc로 변경하면 패치 끝

 

 

개발도구 → visual basic 들어가면 악성 매크로를 확인 할 수 있다.

300x250
320x100

시험문제 (악성코드 행위중)

악성파일, 모든 파일에서 타임스탬프는 얼마든지 조작이 가능하다. → 신뢰할 수 없다.

타임스템프 영역은 악성코드 제작자가 분석을 방해하기 위해서, text 값을 가공할 수 있다.

 


 

 

- 전세계 악성코드 공용 Password
  > infected

 - 가상 OS 환경 내 Windows Defender 비활성화 방법
  > Windows 보안 -> 바이러스 및 위협 방지 설정 -> 설정 관리 -> 실시간 보호 끄기

 - 악성코드 샘플링 사이트 정보
  > https://bazaar.abuse.ch/
  > https://app.any.run/ (기관메일만 가입 가능)

 

 

 

악성코드 분석방법 (어떠한 행위가 악성인가?)

  • 코드 스크립트에 백신프로그램을 체크하는 영역이 있을경우 (백신 프로그램을 체크하는 행위 자체가 악성코드의 주요특징) - 내 파일 자체가 백신에 걸리는지 안걸리는지 체크하기 위해 백신 체크 기능이 악성코드에 있다.
  • 어떠한 특정 서버에 접속을 시도하면 (이 서버에 대해 평판조회를 한다) - 악성코드와 밀접한 관련이 있을 수 있다.

 


 

정적 분석 도구

Detect It Easy 

  • 실행 파일의 구조와 정보를 분석하는 데 사용

 

HashMyFiles

  • 파일의 해시 값을 생성하고 관리하는 간단하고 유용한 도구입니다. 이 프로그램은 다양한 해시 알고리즘을 지원하여 파일의 무결성을 확인하고, 파일 비교 및 관리에 도움을 줍니다.
  • 해시 값을 복사해서 아래와 같은 사이트를 통해 평판을 조회할 수 있다.

https://www.virustotal.com/gui/home/upload

 

pestudio

  • Windows 실행 파일(PE 파일)을 분석
  • 악성코드 분석 및 보안 연구에 유용하며, 파일의 구조와 다양한 속성을 검사할 수 있습니다.

 

Autoruns

  • 시스템에서 자동으로 실행되는 프로그램과 서비스를 관리하고 분석하는 데 사용됩니다. 이 도구는 시작 프로그램, 서비스, 드라이버 등 다양한 항목을 확인할 수 있습니다.

 

 

Logon TAB

  • 해당 악성코드가 이 영역에 등록이 되어 있는지 레지스트리 영역을 확인한다.

 

Services TAB

  • 악성코드가 프로그램 지속성을 유지시키기 위해 service 를 등록했을 경우 확인 가능

 

Scheduled Tasks

  • 작업 등록을 했는지 확인가능

 

 

PEView

  • Windows 실행 파일(PE 파일)의 구조를 분석하고 시각화하는 도구

 

 

파일의 최초 생성 시점, 악성코드 컴파일된 시점 (시간정보) 확인 → 시간정보는 PEview 에서 아래와 같이 확인가능

 

 

 


동적 분석 도구

 

Process Explorer

  • Microsoft의 Sysinternals Suite에 포함된 강력한 동적 분석 도구로, 시스템에서 실행 중인 프로세스와 그들의 활동을 모니터링하고 관리하는 데 사용

 

아래와 같이 explorer를 켜놓은 상태에서 악성코드 의심 프로그램을 실행시키면 분석이 진행된다.

Autoruns(ex. 악성코드) 를 분석하기 위함

 

 

Properties

악성파일이 실행된 경로, TCP/IP 해당 프로세스가 네트워크 행위가 일어나는지, 프로세스가 동작을 했을때 정보수집을 해서 외부로 보낸다고 가정하면 TCP/IP에 정보가 나옴, String 을 통해 프로그램이 가지고 있는 문자열 정보도 확인 할 수 있다. , Thread ID 도 확인 가능

 

 

"Handles"는 현재 실행 중인 프로세스가 열어둔 시스템 리소스의 참조를 나타냅니다. 핸들은 파일, 레지스트리 키, 동기화 객체 등 다양한 리소스를 관리하는 데 사용됩니다.

Handles를 통해 어떤 리소스가 열린 상태인지, 어떤 프로세스가 해당 리소스를 사용하고 있는지를 확인할 수 있습니다. 이를 통해 시스템의 자원 사용 현황을 모니터링하고 문제를 진단하는 데 유용

 

"DLL"은 "Dynamic Link Library"의 약자로, 윈도우 운영 체제에서 여러 프로그램이 공유할 수 있는 라이브러리 파일입니다. DLL 파일은 코드, 데이터, 리소스를 포함할 수 있으며, 프로그램이 실행될 때 필요할 때 로드되어 사용

 

 

 

Filemonitor

  • 시스템에서 파일과 디렉토리에 대한 실시간 활동을 모니터링하는 도구입니다. 이 프로그램은 파일 생성, 수정, 삭제 등의 이벤트를 기록하여 사용자가 파일 시스템의 변화를 추적하고 분석할 수 있도록 돕습니다.
  • 실시간으로 일어나는 파일 시스템에 대해서 관찰을 할 수 있다.

 

 

 

TCPView = = DOS모드에서 명령어 netstat 를 치면 동일한 명령을 할 수 있음

  • Microsoft의 Sysinternals Suite에 포함된 도구로, 시스템에서 현재 열려 있는 TCP 및 UDP 포트의 상태를 실시간으로 모니터링하고 관리하는 프로그램입니다. 이 도구는 네트워크 연결과 관련된 정보를 쉽게 시각화하여 사용자가 네트워크 활동을 이해하고 분석할 수 있도록 돕습니다.

 

아래와 같이 실행된 프로그램의 정확한 경로를 파악 할 수 있음

 

 

ProcessMonitor (동적분석에서 가장 많이 사용)

 

  • Process Monitor는 Microsoft의 Sysinternals Suite에 포함된 강력한 시스템 모니터링 도구로, 파일 시스템, 레지스트리, 프로세스 및 스레드 활동을 실시간으로 추적하고 기록하는 기능을 제공합니다. 이 도구는 시스템의 동작을 깊이 있게 분석하고 문제를 진단하는 데 유용합니다.
  • 특정 프로세스만 필터를 걸 수 있다.
  • 진한 아이콘은 동작중 / 흐릿한 것은 종료된 프로세스

 

 

 

 


실습

 

SAMPLE 1 

 

  • 평판조회를 통해 각 각의 파일을 올리고 악성코드가 있는지 확인
  • install.bat 파일과 drop.hta 에서 평판조회에 악성코드가 나옴

 

 

Detect It Easy 프로그램을 통해서 plain text 파일인 것을 확인

 

메모장에 drop -> 코드 분석

 

 

이후 ProcessMonitor 실행 -> precess tree 로 메모장에서 본 코드가 어떻게 동작하는지 확인

 

 

 

"IOC 서버"는 일반적으로 "Indicator of Compromise"와 관련된 보안 분야에서 사용됩니다. IOC는 사이버 공격이나 보안 침해를 식별하는 데 사용되는 데이터 포인트를 의미합니다. IOC 서버는 이러한 지표를 수집, 저장 및 분석하는 시스템

 

DLL 파일을 최종적으로 받기 위한 최종적으로 거치는 LOADER 파일이었음.

 

 


SAMPLE 2

동일한 방법으로 평판조회 진행 

Dropper 관련 악성코드라는 것을 확인 

 

 

Dropper

드로퍼(Dropper)는 악성코드의 일종으로, 다른 악성코드를 시스템에 설치하거나 배포하는 역할을 하는 프로그램입니다. 드로퍼는 일반적으로 다음과 같은 기능을 수행합니다:

악성코드 배포: 드로퍼 자체는 비교적 작고, 다른 악성코드(예: 트로이 목마, 백도어 등)를 다운로드하거나 설치합니다.은폐: 드로퍼는 종종 보안 소프트웨어의 탐지를 피하기 위해 여러 가지 방법으로 은폐됩니다. 예를 들어, 정상적인 파일로 위장하거나 암호화된 상태로 존재할 수 있습니다.시스템 침투: 드로퍼가 실행되면, 지정된 경로에 악성코드를 설치하거나 사용자 몰래 실행할 수 있습니다.

 

 

동적분석을 위해 가상환경에서 악성코드 의심 파일 실행 후 Explorer를 통해 어떤 변화가 있는지 확인

Setup.tmp 파일이 설치중에 떠올랐다가 사라지는 것을 확인

 

svchost 파일이 악성코드로 판별

 

 

이론

  • 악성코드 전파과정 80% 이상은 이메일 통해 전파된다.
  • 워터링홀 (홈페이지를 통한 전파과정) , 홈페이지만 접근해도 홈피에서 다운로드 된 파일이 스크립트로 동작을 해서 사용자 PC 에서 돈다.
  • 공급망 사슬 공격 (침투 후 공격 대상자들에게 패치 위장 파일 유포), 소프트웨어 개발 과정 오염, 코드 서명 인증서 탈취 등 - 개발서버, 공급망 서버에 침투해서 악성코드를 유포하는 행위
300x250

+ Recent posts