Network
Drive by download (CVE-2016-0189) 공격 정리
Drive by download (CVE-2016-0189) 공격 - "웹이 갖고 있는 취약한 보안 상태를 활용해 악성코드를 심어놓은 방법" - 스크립팅 엔진 메모리 손상 취약점 분석 현재는 드라이브-바이 다운로드를 '스크립트 등을 매개로 웹 사이트 방문 시 사용자의 인식(동의) 없이 자동으로 악성코드를 다운로드하고 실행하는 현상'으로 정의한다. 아래와 같은 시나리오로 DBD 공격이 이루어질 수 있다. Drive-By-Download와 같이 사용되는 것은 "난독화"이다. 페이지 이동 및 악성코드 유포에 대한 대부분의 진행은 스크립트 코드를 통해 이루어지기 때문에 해당 코드를 최대한 알기 어렵게 하기 위해서는 난독화를 진행해야한다. 원리 1. 사용자가 취약점이 있는 웹사이트 또는 크래커가 만든 사이트를 들..
![[7] 스노트 기본 문법](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbyrWkC%2Fbtq4nuYTEfl%2FAAAAAAAAAAAAAAAAAAAAAONEm-k0i5UU8sFN78SYxY9qWYaFGdwRShnWQK7dwmvp%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1777561199%26allow_ip%3D%26allow_referer%3D%26signature%3DyEIDo2s6YIbbGDy%252BGdqJik7yzrY%253D)
[7] 스노트 기본 문법
스노트를 설치한 운영체제에 TCP 덤프라는 도구를 설치할 것이다. TCP 덤프는 커맨드 라인에서 사용할 수 있는 와이어샤크 같은 도구다. apt-get install tcpdump +위 명령어를 입력하니 아래와 같은 오류가 나타났다. D: Could not get lock /var/lib/dpkg/lock-frontend - open (11: Resource temporarily unavailable) D: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it? 우선 터미널 열고 모든 process를 죽여야한다. sudo killall apt apt-get 만일 진행중인 프로세스가..
![[6] 스노트 설치와 설정](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2Fbe9HEG%2Fbtq4oxzGDvM%2FAAAAAAAAAAAAAAAAAAAAANhHmsaGH8kY6ksrR7n1cxDox2i3rrf94K8F6kygjGri%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1777561199%26allow_ip%3D%26allow_referer%3D%26signature%3DSch3ln1n%252BwRYe2wzNDSC9MOkP2k%253D)
[6] 스노트 설치와 설정
스노트는 대표적인 호스트 기반의 IDS 방식이다. 스노트(Snort)는 자유-오픈 소스 네트워크 침입 차단 시스템(NIPS: Network Intrusion Prevention System)이자, 네트워크 침입 탐지 시스템(NIDS: Network Intrusion Detection System)으로서, 마틴 로시가 1998년에 개발하였다. 스노트는 현재 로시가 창립자이자 개발자인 Sourcefire에 의해 개발되고 있으며, 2013년 이후로 시스코 시스템즈가 소유중이다. 스노트는 다음 사이트에서 무료로 다운로드가 가능하다. Snort - Network Intrusion Detection & Prevention System With over 5 million downloads and over 600,00..
![[5] IDS와 IPS 이해](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2F50X9a%2Fbtq1KBLl6Wn%2FAAAAAAAAAAAAAAAAAAAAAKT9J2BS6au1EaOqvtN_mWLW7YnKEGIQJ76BaOjTCU9d%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1777561199%26allow_ip%3D%26allow_referer%3D%26signature%3D4WlGz1epTItMccSqhMRos9PfLQs%253D)
[5] IDS와 IPS 이해
IDS와 IPS는 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치라고 할 수 있다. IDS의 이해 (Intrusion detection system) IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만 방화벽과 달리 접근 권한 제어 또는 인증 기능이 없는 SW/HW 장비다. IDS를 구현하는 방식에는 네트워크 기반의 IDS 방식과 호스트 기반의 IDS 방식이 있다. 전자는 하드웨어를 통해 침입탐지 기능을 수행한다. LAN 영역 전체 탐지가 가능하고, 자신에게 오는 패킷은 탐지가 불가하다. 후자는 각각의 호스트에 침입 탐지 기능을 탑재하여 ..
![[4] 전송 계층 기반의 주요 공격 유형](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FcxcHME%2Fbtq1IGAC2I3%2FAAAAAAAAAAAAAAAAAAAAAF8a-3Aq_Q7NmTB0KolFn09ovDnzgdcDijvvHLWGpEQm%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1777561199%26allow_ip%3D%26allow_referer%3D%26signature%3DHRI01mWCS72BAy3Gi7oOHnKlLds%253D)
[4] 전송 계층 기반의 주요 공격 유형
포트 스캔이란? 원격지 호스트를 대상으로 어떤 포트 번호를 사용 중인지 확인하는 기법. TCP 헤더의 플래그 항목을 통해 진행한다. Nmap은 포트 스캐너의 대명사로 와이어샤크와 마찬가지로 apt-get install nmap 명령어를 통해 설치 가능하다. - TCP 오픈 스캔 기법 : 자기 자신을 대상으로 SSH 서비스 동작 여부를 TCP 3단계 연결 완성을 통해 확인한다. 공격자가 위 기법을 수행하면, 전송 계층에서 SYN 플래그를 생성해 공격 대상자에게 전송한다. (목적지 포트 번호 22번) 공격 대상자가 SSH 서비스를 사용 중이라면 ACK/SYN 플래그로 응답이 온다. 그럼 공격자는 ACK 플래그로 응답한 뒤 공격 대상자가 회신한 ACK/SYN 플래그를 통해 해당 서비스가 동작 중임을 확인할 수..
![[3] 전송 계층의 헤더 기능](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2Fbw5r76%2Fbtq1KBEyqPU%2FAAAAAAAAAAAAAAAAAAAAAD3d1U1A5V1l1erKDMGIBgtURPiTsEAcIU2ta7dwVY6P%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1777561199%26allow_ip%3D%26allow_referer%3D%26signature%3DNeTpYNE4ZwXKvZlav9XL39zqp%252F4%253D)
[3] 전송 계층의 헤더 기능
UDP 헤더의 특징 - 크기는 8 바이트로 고정이다. - 출발지 포트 번호 항목과 목적지 포트 번호 항목은 16 비트 크기를 이룬다. 응용 계층에 속하는 프로토콜의 종류가 65536개인 이유다. - 포트 번호 항목 다음 길이 항목에는 UDP 페이로드와 UDP 헤더를 더한 데이터그램 크기 정보가 담긴다. 그 다음에는 오류검사 항목을 기본적으로 비활성 상태다. TCP 헤더의 특징 - TCP 방식은 UDP 방식과 달리 버퍼링과 단편화 기능을 수행하기 때문에 상대적으로 복잡하다. - TCP 헤더는 크기가 가변적이다. 일반적으로 20 바이트 이상 사용하지만 TCP 추가 항목을 이용해 21바이트 이상 사용이 가능하다. - TCP 헤더 역시 출발지/목적지 포트번호 항목은 16비트 크기이다. - 일련번호 항목과 확인 ..