보안25

• 

  [웹취약점진단] 3. 구글링 취약점 3 출처 : 제2010-11호-홈페이지_개발_보안_안내서.pdf ​ 1. 파일 다운로드 취약점 ​ 1-1. 정의 - 파일 다운로드 취약점은 인터넷에서 어떤 파일을 다운받을 때 발생하는 취약점 - 웹 애플리케이션에서 상대경로를 사용할 수 있도록 설정되어 있는 경우, 상대경로 표시 문자열인 “../”를 통해 허가되지 않은 상위 경로로 이동하여 시스템 주요 파일이나 소스 파일 등에 접근하여 파일을 다운로드 하는 취약점 ​ 1-2. 사례 확장자 검증 미흡으로 인하여 원격의 파일을 다운로드 및 실행 할 수 있는 취약점. ​ 1-3. 대응방안 - 외부에서 입력하는 파일 경로와 이름에 대해 허용하는 경로 이외의 디렉터리와 파일에 접근할 수 없도록 처리한다. - 다운로드 위치를 저장된 데이터 저장소에 고정하여 사용하는 것.. 보안 2021. 6. 9.

• 

  [웹취약점진단] 2. 구글링 취약점 2 1. 취약한 파일 존재 취약점. ​ ⑴ 취약점 설명 웹 루트 하위에 내부 문서나 백업파일, 로그파일, 압축파일과 같은 파일이 존재할 경우 파일명을 유추하여 파일명을 알아내고, 직접 요청하여 해킹에 필요한 서비스 정보를 획득할 수 있는 취약점 예를 들어 사이트 관리자가 디렉터리를 주기적으로 압축하여 백업 파일을 해당 디랙터리에 보관하는 습관이 있다면, 해당 파일은 외부에서 누구나 접근하여 내려받을 수 있다. 압축된 백업 파일을 통해 해당 디렉터리 내 하위 디렉터리 및 파일 구조를 파악할 수 있으며, 그 중 admin과 같은 중요한 php파일의 내부를 통해 취약점이 있는지 파악할 수 있다. ​ ⑵ 사례 ① OO서비스는 웹 서버 개발 시 개발·보수 등의 이유로 임시 페이지로 인해 시스템 정보가 노출, OO기관.. 보안 2021. 6. 9.

• 

  [웹취약점진단] 1. 구글링 취약점 1 1. 관리자 페이지 노출 취약점 ​ 1. 관리자페이지 노출 - 일반 사용자에게 관리자 페이지를 노출 시켜 관리자 페이지에 접근 할 수 있는 취약점. - 관리자 페이지의 이름은 쉽게 추측이 가능한 'admin' ,'manager', 'master', 'administrator' 등으로 설정하거나 프로그램 설계의 오류로 생길 수 있다. 2. 관리자 페이지 노출 취약점 캡쳐 💥 검색방법 - site:kr intile:관리자페이지 - site:kr inurl:amdin.asp, inurl:/admin/login.asp, inurl:/adm/loigin.php, inurl:/manager/login.asp 3. 관리자 페이지 노출 대응 방안 - 관리자 계정으로 외부 사이트에 접속하는 것을 불허해야 한다. - 사내.. 보안 2021. 6. 9.

• [침해대응&CERT] 5. 쇼단의 이용범위와 기기의 특징 1. shodan 이용범위 ​ 1-1. 쇼단 활용 용도 - admin/admin, admin/1234 같은 기본 아이디, 패스워드 사용환경 검색. - FTP,SSH,Telnet 접속 시 유출된 ip 정보 및 사용자 정보 검색. FTP: 파일전송 프로토콜(인터넷 망으로 연결되어 있는 멀리 떨어져 있는 서버로 파일을 올리거나 가져오기 위해 필요한 일종의 프로토콜 SSH : 시큐어 셀, 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 시스템에서 명령을 실행하고 다른 시스템으로 파일을 복사할 수 있도록 해주는 응용프로그램, 프로토콜 telnet: 인터넷을 통하여 원격지의 호스트 컴에 접속할 때 지원되는 인터넷 표준 프로토콜. - nmap 없이 서비스 목록 및 ip 주소 정보 검색. nmap: 호스트나 네트워크 스.. 보안 2021. 6. 9.

• [침해대응&CERT] 4. 사물인터넷(IOT)& 쇼단 1. 사물인터넷 1-1. 사물인터넷 - 사물+인터넷 - 엄청난 경제적 가치 창출. - 해킹에 대한 위험 - 빅데이터와 연관. 1-2. 사물인터넷 종류 - 스마트 시티 - 산업 사물 인터넷 - 스마트 홈 - 보건 의료 분야 - 환경 분야 ​ 2. 쇼단 2-1. 쇼단이란? - 사물 인터넷을 위한 검색 엔진. - 인터넷에 연결된 기기라면 모두 검색이 가능하여 해킹의 위험이 있음. - 보안 강화 수단으로 개발되었다. - 보안 취약점을 가진 시스템을 검색 할 수 있다. - 회원가입이 필요하며, 무료계정은 정보검색의 제한이 있다. - 공공쪽에서 많이 사용한다. - 쇼단에 노출 된다? -> 취약한 기기! 2-2. 사용자 보안전문가, 연구원, 법 집행기관 등. 2-3. 검색방법 - 도시검색 : Apache city: .. 보안 2021. 6. 9.

• [침해대응&CERT] 3. 구글링(20.09.26.) 구글링 1. 구글링 - 구글 검색 엔진을 활용하는 정보를 탐색하는 단어. - 인터넷 정보 검색을 위해서 구글 엔진을 사용하다 라는 의미. 2. 구글 해킹 키워드 종류 및 사용방법 2-1. 따옴표. - 여러개 단어를 묶어서 검색이 가능. 2-2. filetype - 특정 파일타입만 검색 가능. 2-3. site - wikipedia.org로 검색시, wikipedia.org만 검색결과로 나온다. 2-4. intile - 제목에 그 문자가 들어 있는 결과를 가져옴. 2-5. inurl - url 에 그 문자가 들어 있는 결과가 검색됨. 2-6. intext - 키워드를 입력하면 본문에 키워드가 존재하는 사이트 검색하여 보여줌. 2-7. 연산자 검색 활용법 - or :둘중 하나만 포함되어도 검색함. - -: .. 보안 2021. 6. 9.

• [악성코드분석] 네트워크 행위를 하는 악성코드 분석 최종. 1. 개요. 1-1. 개요 악성 코드 란 사용자 컴퓨터에 악의적인 영향을 끼칠 수 있는 모든 소프트웨어를 통칭하며, 악 성코드의 유형에는 여러가지가 있으며 대표적으로 컴퓨터바이러스와 웜, 트로이 목마 등이 있습 니다. 현재 분석할 악성코드는 adware이며, 네트워크 행위를 하며, Virusshare를 통하여 샘플을 구 했습니다. 1-2. 파일 정보 exe형식,adware 1-3. 분석 도구. - 기초 분석 : virustotal : 악성코드 감염 파악. - 정적 분석 : PEView : PE 구조 분석. Exeinfo PE : 패킹 여부 파악. InnoExtractor : 파일의 세부 내역 파악. - 동적 분석 : Autoruns : 시작프로그램 분석 관리. Currports : 네트워크 모니터링. P.. 보안 2021. 6. 9.

• [악성코드분석] 네트워크 행위를 하는 악성코드 분석_DicterSetup3.76.0.62.exe Virusshare를 이용하여 샘플 수집을 하였습니다. 0. Wireshrk 행위 확인 Wireshark에서 악성사이트에서 3-way handshake가 일어났습니다. Get 메소드를 이용하여 Yandex-ack,Yandex-exe,Yandexpacksetup.exe 를 다운합니다. 1. 기초분석. Virustotal에서 악성코드로 탐지함. AhnLab에서는 탐지를 못함. 파일의 정보 ; exe 2. 정적분석. PE-view), 이 프로그램은 윈도우 32에서만 실행되어야 함./컴파일 시기 : 2016.04.16. PE-view,Exeinfo PE) virtual size와 size of raw data 차이가 8로, 언패킹되어 있음. InnoExtractor) 악성샘플의 내부 내역. 3. 동적분석. 3-.. 보안 2021. 6. 9.

• [악성코드분석] 네트워크 행위를 하는 악성코드 샘플 수집-1(와이어샤크활용) 와이어샤크 : 패킷(*Packet) 분석할 때 활용. *Packet: 데이터의 전송단위, OSI 7 계층 중 3층(Network Layer)에 속하는 패킷. * 네트워크 행위가 어떤식으로 이루어지는지를 정확히 알아야 한다. 1. TCP 연결 통신은 3-way handshake 방식으로 이루어진다. 2. 연결이 성립되면 Client는 서버에서 http를 요청하며 서버는 text나 html형식으로 전송한다. ​ * 만약에 악성코드라면, 와이어샤크에서 어떤 식으로 포착되는가? 1. 비정상적인 패킷 포착 (SYN->SYN+ACK->ACK: 정상통신과정)에서 SYN만 포착. 2. GET 메소드를 이용하여 방문하지 않은 악성 사이트에 접속한다. 3. 3-way handshake에서 sequence패킷 번호를 조작한.. 보안 2021. 6. 9.

• 

  [악성코드분석] TCP 3way handshake TCP를 이용한 통신 과정 ​ 3 Way Handshake ​ 1. 클라이언트(나)가 서버에게 요청 패킷을 보냄. (서버가 클라이언트에 요청을 보내는 경우는 없다.) 2. 서버가 클라이언트의 요청을 받아들이는 패킷을 보냄. 3. 클라이언트는 이를 최종적으로 수락하는 패킷을 보낸다. ​ * 연결 수립 과정 *S 처음 보낼 경우 +1이지만, 그 다음부터는 동기화 S= 받은 ACK 번호. ​ *네트워크 보안 측면에서 중요한 것. ​ 클라이언트가 아닌 다른 누군가가 통신을 보내면 다시 통신을 시작한다. => 세션 하이재킹. 네이버에 접속 후 로그인을 한 상태에서, 그연결을 누군가가 빼앗았을 경우, 그 빼앗은 사람은 아이디 패스워드 없이 로그인 페이지를 그대로 받아서 악용할 수 있다. ​ 해커는 이 값을 계산한다.. 보안 2021. 6. 9.

• [악성코드분석] WireShark를 이용한 패킷 분석-1_20.07.15 사용하는 곳 ​ 1. 침해대응 분석 : 모니터링. - IPS/IDS 패킷 샘플 ​ 2. 모의해킹시, PC-->server 어플리케이션 패킷 분석 ​ 3. 포렌식 분석 ​ * status bar : 위에 각각의 패킷을 실시간으로 분석하여 확인가능. - No. : 패킷 수집된 순서. - Sorce : 시작 값. - D : 도착값. ​ ​ 보안 2021. 6. 9.

• 

  [악성코드분석] Wireshark 이용 분석. wireshark 분석. 1. TCP 통신 과정 [연결]-[데이터통신]-[종료] - SYN : 연결 요청 - ACK : 응답 확인. (패킷 정상적 수신 알림 패킷) - FIN : 연결 종료 (모든 전송 완료됨으로 연결 종료 알림) - RST : 연결 초기화 (TCP 연결상 문제 발생시 현재 연결 끊고, 다시 연결 요청) - PSH : 즉시 확인 요청 (버퍼가 차는 것을 기다리지 않고 즉시 상위계층 전달) - URG : 긴급데이터로 전송시 우선 전송. ​ 2. HTTP Connect 연결과정 TCP 80번 포트 이용 연결 과정 [SYN]/클라이언트 -> 서버 : 클라이언트가 서버에게 TCP 연결 요청. [SYN,ACK]/서버 -> 클라이언트 :서버가 클라이언트 요청에 응답, 연결 준비 상태 알림. [ACK.. 보안 2021. 6. 9.