LovGate 악성코드란?

1. 악성코드 개요

LovGate는 2003년경 발견되었으며, 메일 내 첨부파일, 취약한 관리자 계정 암호에 의한 관리목적 공유 폴더에 의해 주로 감염된다.

해당 악성코드는 전파 위험이 높으며 메일 내 악성코드파일을 심어 강제로 발송하거나,

공유폴더를 이용하여 주변 기기에 대해 악성코드를 감염시킨다.

LovGate 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

2.     읽지않은 메일에 대하여 악성코드 복사하여 전파

3.     프린터 공유로 인해 비정상적인 인쇄물 계속 출력

LovGate 악성코드 감염되지 않기 위해서는 비정상적인 메일 제목 (Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

과 수상한 첨부파일이 있는 메일에 대하여 읽지 않고 삭제해야하며, 관리자 암호를 복잡성이 높게 설정하여야 한다.

2. 악성코드 감염 증상

LovGate 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.   특정 포트(Port)을 외부에 열어 BackDoor 기능으로 악용

->  악성코드 변종에 따라 다르지만, TCP_20168, TCP_10168 등 특정포트에 대하여 외부통신을 허용시켜

     BackDoor 및 P2P통신으로 PC 내 정보 탈취 및 심화된 시스템 감염될 가능성이 있다.

2.   읽지않은 메일에 대하여 악성코드 복사하여 전파

->  이메일을 이용하여 다른 PC에 대하여 LovGate 악성코드를 점염시킨다.

(Documents, Roms, Evaluation copy,Reply to this!’ ‘Last Update, for you’ ‘Attached one Gift for u’ ‘Hi Dear’ 등)

3.   프린터 공유로 인해 비정상적인 인쇄물 계속 출력

->  프린터 공유기능 사용중 LovGate 감염시 비정상적인 문자열 (깨진 문자열)의 프린트가 계속 출력된다.

3. 악성코드 치료 방법

LovGate 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다

1. AhnLab_LovGate 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=35

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=26&page=5&keyfield=&key=

4. 악성코드 예방 방법

LovGate 악성 코드 예방방법은 다음과 같다

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. 의심스러운 메일 읽지 않기

Kashu 악성코드란?

1. 악성코드 개요

Kashu는 2003년에 처음 발견되었으며, Microsoft의 Windows 시스템 파일을 감염시키는 바이러스이다.

다양한 이름을 가지고 있으며 EP코드가 모두 다르고, 바이러스 분기방법(CALL, JMP, RETN) 도 달라 진단/치료가 어려운 바이러스다.

Kashu에 주로 감염되는 경로는 악성코드 파일 실행 및 네트워크, 다른 악성코드를 통해 감염되며

Kashu에 감염된 시스템은 스팸 중계 , 통신 프록싱, 민감한 데이터 추출, 웹 서버 손상 및 

비밀번호 cracking 목적의 P2P ( peer-to-peer ) 통신을 할수도 있으며, 2010년 이후 특정 변종은 루트킷 (Rootkit) 기능까지 발전했다.

또한 Windows\system32 內 정상 PE 파일 코드를 암호화 하고 바이러스 코드를 삽입하여 악성 파일을 생성한다.  

Kashu는 지속적인 개발 및 발전으로 인해 현재까지 가장 복잡하고 강력한 형태의 멀웨어 중 하나이다.

※ 해당 악성코드의 별칭의 종류는 다음과 같다.

Win32/Kashu (AhnLab), Virus.Win32.Sality.v (Kaspersky), W32.Sality.AE (Symantec), PE_SALITY.AM (Trend Micro), 

W32/Sality.AD (McAfee), W32/Sality-AM (Sophos) 

2. 악성코드 감염 증상

Kashu 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.      Windows 시스템 내 EXE, SCR 확장자를 가진 정상 PE 파일을 감염시킨다.  

2.      시스템 경로에 루트킷 파일을 생성한다.

3.      비정상적인 레지스트리 생성

4.      추가적인 악성코드 다운로드

3. 악성코드 치료 방법

Kashu 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=72

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=55&page=3&keyfield=&key=

Conficker 악성코드란?

1. 악성코드 개요

컨피커(Conficker)는 2008년 말부터 확산되기 시작한 악성코드로

Conficker, Kido, DownUp 등 다양한 이름으로 알려져 있으며, 악성코드 변종도 매우 다양하다.

컨피커(Conficker) 악성코드는 Windows 서버 서비스 취약점을 이용해 주로 감염되며

해당 취약점의 경우 MS08-067 – 긴급 보안 패치를 이용하여 대처 가능하다.

또한 공유 폴더, USB 등을 통해 감염 가능성이 있다.

Conficker 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

1.     계정 잠금 정책이 자동적으로 초기화된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

해당 악성코드의 경우 2008년 말부터 존재하는 악성코드로, Windows 보안 패치 및 백신 프로그램으로 간단하게 치료 가능하나, 사용자 환경이 폐쇄적인 시스템 혹은 업데이트 불가능할 경우, 악성코드 감염되지 않도록 주의해야한다.

2. 악성코드 감염 증상

컨피커(Conficker) 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

1.     계정 잠금 정책이 자동적으로 초기화된다.

è  관리자 계정 암호를 해독하기 위해 무차별 대입 공격 기법(brute force attack)을 사용하여, 관리자 계정을 탈취 시도하며 성공할 경우 계정 비밀번호 변경 및 다음 악성행위를 위해 사용자 PC 환경을 강제로 변경한다.

    ※ 관리자 계정 탈취시 공유폴더 (ADMIN$)에 요청하여 Windows\System32 內 랜덤한 이름의 악성코드 파일 생성하며,

       악성파일이 동작할수있도록 작업스케줄러를 생성하게된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

è  MS08-067 – Windows 긴급 보안 패치 및 백신 프로그램에 치료되지 않게

Windows 및 백신 사이트에 접속할 수 없게 인터넷 환경(DNS)을 강제로 변경시킨다

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

è  Conficker 악성코드 감염 시 랜덤 IP 혹은 B 클래스 IP 대역을 대상으로

TCP 445(SMB) 포트를 이용하여, 대량의 트래픽을 발생시켜 네트워크 속도를 저하시킨다.

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

3. 악성코드 치료 방법

컨피커(Conficker) 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하며

백신 프로그램으로 악성코드 제거후 반드시 재부팅을 해야한다.

è  재부팅을 하지않을경우 시스템 메모리에 동작하는 Conficker가 다시 생성될 가능성이 있다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=80

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=90

3. 수동 제거 방법

https://support.microsoft.com/ko-kr/help/962007/virus-alert-about-the-win32-conficker-worm

4. 악성코드 예방 방법

컨피커(Conficker) 악성 코드 예방방법은 간단하다.

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. Windows 보안 업데이트

구버전일경우 해당 페이지에서 긴급 보안 업데이트 

https://docs.microsoft.com/ko-kr/security-updates/SecurityBulletins/2008/ms08-067

GRE 스니핑

기본적으로 스니핑은 같은 네트워크 구간에서 가능하지만 외부에서 스니핑 불가능 한것도 아니다

다른 네트워크 구간이더라도 상대방의 라우터를 장악하고 조작하여 공격자에게 패킷이 오게끔 설정을 하게되면

공격자는 다른네트워크 구간에서 있더라도 내부네트워크를 스니핑을 할수있다

이것을 이용한것이 터널링을 이용한 방법이다

========================================================

터널링 이란

Passenger protocol을 Carrier protocol에 담아서 Encapsulation protocol로 감싸는것

Passenger protocol을 Encapsulation protocol로 덮어씌워 Carrier protocol로 전달한다

즉 네트워크 구간의 정보를 담아서 포장하여 타 네트워크로 전송하는것이다

이것이 사용되는경우는 IPv6 통신과 IPv4 통신시 양방향성 변환 지원이 아닌 단방향성 지원할때

많이 사용된다

※터널링은 비밀성 제공을 해주지않는다 중간에 패킷을 잡을시 내용이 다보인다

========================================================

터널링을 사용한 경우는 보통 라우터를 거쳐서 통신을 했을때 사용하지만

이번에는 같은 라우터를 사용하지만 다른 네트워크 대역에 존재하는 공격자가

내부망에 있는 통신을 Sniffing하는것을 시도해보겠습니다

이번에는 PBR의 경로 지정을 통해 다른네트워크의 정보를 공격자에게 오게 해보겠습니다

GRE 스니핑

실습 토폴로지

관리자 10.10.10.1이 서버쪽 20.20.20.0/24 대역과 통신하는것을 스니핑하기위해

공격자 30.30.30.1에서 GRE 터널링을 이용해서 공격해 보겠습니다

라우터의 정보를 변경하여 통신경로를 공격자 쪽으로 돌려야 함으로

SNMP서비스의 TFTP를 이용하여 공격하겠습니다

우선 라우터안에서 관리자와 서버가 통신하는 경로를 공격자에게 오게해야 하기 때문에

1.라우터의 공격자의 PC로 오게끔 할 설정 파일을 생성한다

2.TFTP를 이용하여 라우터에 정보를 전송한다

3.공격자가 받은 정보를 포워딩 해줘서 관리자와 서버가 통신이 원활하게 되게한다

==================================================================

설정 이후에 관리자가 통신을 시도하게 되면

공격자는 패킷을 분석하여 통신내용을 감청할수가 있다

이런식으로 다른 네트워크에 존재하더라도 만약 상대방의 라우터의 정보를 조작하여

타 네트워크끼리의 스니핑이 가능한것을 확인해 봤습니다

==================================================================

IDS

침입 탐지 시스템(Intrusion Detection System, IDS)은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다. IDS는 매우 많은 종류들이 존재하며, 여기서는 그들 중 일부를 설명한다. 시스템에 대한 원치 않는 조작은 악의를 가진 숙련된 해커 또는 자동화된 툴을 사용하는 스크립트 키디에 의한 공격의 형태로 행해질 수 있다.

침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 그리고 권한 확대(privilege escalation) 및 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마, 웜)와 같은 호스트 기반 공격을 포함한다.

IDS는 여러 개의 구성 요소로 이루어져 있다: 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러가지가 있다. 많은 간단한 IDS들은 위의 세 가지 요소들을 하나의 장치 또는 설비로 구현하고 있다.

==================================================================

IDS의 탐지가 실제로 어떻게 돌아가고 특정 패킷을 탐지하게 할수있는방법을 알아보겠다

토폴로지

※실습전 기본 통신 구성 설정 및 확인할것

==================================================================

IDS 장비 설치후

IDS의 VMnet 4 외부 통신용 , VMnet 5 패킷감시용으로 사용한다

※※스노트는 IDS의 다양한 환경을 지원하며 무료로 IDS 환경을 구축할수있다

현재 IDS는 리눅스에 스노트를 설치하여 사용하고 있다

==================================================================

==================================================================

IDS 서버로 패킷 경로 지정

ESW 1에 스위치에 관리용 스니핑을 설정하여

1/1 ~ 3 f1/15로 들어오는 패킷들을 f1/5로 보내게 되어 내부망의 모든 패킷들이

IDS 장비를 거쳐서 통신하게끔 설정하여 IDS 장비에서 패킷을 확인하게 설정해야한다

==================================================================

ESW 1 config

conf t

monitor session 1 source int f1/1 both

monitor session 1 source int f1/2 both

monitor session 1 source int f1/3 both

monitor session 1 source int f1/15 both

monitor session 1 destination int f1/5

스위치에 시작되는 관리적인 모니터링을 위해 경로를 수정하는 방법으로

int f1/1 ~ 3 , f1/15 로 들어오는 패킷들을 int f1/5의 경로로 보내는 방법이다

==================================================================

스위치에 설정 적용후 IDS를 거쳐서 통신하는지 확인을 해보면

IDS를 거쳐서 움직이는 패킷들을 확인할수있다

==================================================================

Snort를 활용해서 IDS 필터 규칙 설정

→ 규칙의 예시로는  Snort가 경고를 하는데 TCP의 출발지와 포트가 아무곳에서나

목적지의 포트가 80번으로 가는 패킷중 GET이 포함되어있으면 경고를 해주는 예시이다

이곳에 GET이 포함되어있으면 이라는것이 옵션인데

이 옵션 설정이 중요하다 옵션설정에 따라서 탐지율이 달라지기 때문이다

간단한 규칙을 만들어 보자

패킷 분석을위해 IDS 에서 Sguil을 이용하여

ID와 비밀번호를 입력하여 접속하여

Vmnet 5 = int f1/5 = eth1인 곳에 패킷을 확인한다

그런뒤 다른 PC에서 ICMP request 패킷을 보내게 되면

붉은 색으로 알람 패킷을 볼수 있게 된다

※현재 ESW 1 에서 모든 내부망의 패킷은 IDS를 거쳐 가게 설정이 되어있다

==================================================================

좀더 복잡한 설정

ICMP Echo Request

ICMP Redirect

WEB 서버 대상으로 하는 FIN Scan

WEB 서버 대상으로 하는 스크립트 작성구문들을

IDS가 발견시 보고하게 하는 자체 규칙 설정이다

스크립트 문을 작성해서 IDS에 탐지된 모습이다

IDS 결론

IDS는 탐지장비 탐지 장비의 탐지율을 높혀주기위해 Snort등을 이용하는데

스노트는 규칙을 만들어서 탐지를 하게된다 규칙을 생성하는것이 중요하다 그런 규칙은 실제로 패킷을 많이 분석하여 경험에 의해서 발전하고 적용하는것이 좋다

VPN

가상 사설망(영어: Virtual private network, VPN)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망이다. 가상 사설망에서 메시지는 인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달된다.

멀리 떨어져 있는 네트워크들을 물리적으로 연결하는것이 아닌가상의 하나의 네트워크로 구축하는 기술입니다 즉 본사와 지사가 멀리 떨어져 있을때 케이블을 연결하여 내부 통신망을 구성하는것이 아닌 가상 사설망 [VPN]을 이용 안전하게 통신가능합니다

이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러가지 한계를 가지며, 전용선을 이용해서 네트워크가 구성되었다고 하더라도 네트워크 운영을 자체적으로 하는 것과 새로운 기술들을 도입하는 것 역시 기업의 입장에서는 상당한 부담이 될 수 있다. 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 되었습니다

==================================================================

가상사설망 만들기

VPN을 만들어 주는방법중 하나를 소개해 드리면

GRE Tunneling을 이용한 VPN을 만들수있습니다

==================================================================

GRE over IPsec VPN

=가상 사설망을 만드는 방법중 하나입니다

→ GRE Tunneling 구간을 IPsec 암호화하여 안전하게 다른 네트워크 끼리 통신할때

안전하게 통신이 가능하다

※GRE Tunneling 만사용하여 통신할시 중간에서 패킷을 확인하면 모든패킷이 나오기 때문에

위험하다 그렇기 때문에 IPSec로 암호화하여 통신하는것이다

==================================================================

GRE over IPSec VPN

실습 토폴로지

==================================================================

※기본적인 통신은 구성되어 있어야 합니다

1. 전구간 라우터 통신상태 확인

2. Vmware 연동하여 통신상태 확인

==================================================================

우선 GRE 터널을 이용해서 외부망과 내부망을 서로 연결해준다음

연결해준 터널을 IPSec로 암호화 하는 방식이다

VPN을 위한 GRE 터널 생성 방법

R1 config

conf t

int tun 0

tun sour se2/0

tunnel dest 192.168.200.2

ip add 192.168.250.1 255.255.255.0

exit

access 101 per ip any 192.168.3.0

route-map pbr1 permit

match ip add 101

set ip next-hop 192.168.250.2

int f0/0

ip poli route-ma pbr1

==================================================================

R3

conf t

int tun 0

tun sour se2/1

tunnel dest 192.168.100.1

ip add 192.168.250.2 255.255.255.0

exit

access 101 per ip any 192.168.1.0

route-map pbr1 permit

match ip add 101

set ip next-hop 192.168.250.1

int f0/0

ip poli route-ma pbr1

==================================================================

config 해설

터널 인터페이스를 생성하고

터널의 시작 인터페이스를 지정하고

터널의 목적지 IP를 설정한다

그후 터널 인터페이스의 IP를 지정

터널을 통과할 ACL 리스트를 생성한 다음

(출발지는 any 목적지는 외부네트워크로 나가는 패킷으로 설정했다)

라우트 맵을 생성한후 ACL을 적용시킨다

라우트 맵을 통과하는 다음 지점을 터널의 반대쪽 인터페이스의 IP를 설정

라우트 맵을 설정할 내부 인터페이스를 설정한다

==================================================================

IPSec 설정 방법

→ IPsec 설정은 1페이즈와 2페이즈로 구성되어 있다

R1config

1페이즈 [Configure ISAKMP 설정]

 crypto isakmp policy 1

 encryption 3des

 hash sha

 authentication pre-share

 group 2

 lifetime 86400

 exit

 crypto isakmp key firewallcx address 192.168.200.2

2페이즈 [IPSec 설정]

 crypto ipsec transform-set TS esp-3des  esp-sha-hmac

 mode transport

 crypto ipsec profile protect-gre

 set security-association lifetime seconds 86400

 set transform-set TS

 interface tunnel 0

 tunnel protection ipsec profile protect-gre

R3config

1페이즈 [Configure ISAKMP 설정]

 crypto isakmp policy 1

 encryption 3des

 hash sha

 authentication pre-share

 group 2

 lifetime 86400

 exit

 crypto isakmp key firewallcx address 192.168.100.1

2페이즈 [IPSec 설정]

 crypto ipsec transform-set TS esp-3des  esp-sha-hmac

 mode transport

 crypto ipsec profile protect-gre

 set security-association lifetime seconds 86400

 set transform-set TS

 interface tunnel 0

 tunnel protection ipsec profile protect-gre

==================================================================

config 해설

1페이즈 [Configure ISAKMP 설정]

ISAKMP 생성

des라는 알고리즘을 3번 이용 해서

해시 함수로 생성

psk 방식으로 인증

디피헬만으로 생성 [숫자가 높으면 복잡해진다]

ISAKMP의 키값을 firewallcx로 생성 다음 주소를 반대쪽 터널 인터페이스 주소 설정

2페이즈 [IPSec 설정]

트랜스폼 생성 [TS] 암호화 방법 해시으로 하는것

1대1 암호화 통신설정

ipsec 하나더 생성 [protect-gre]

시간 제한 [86400]

트랜스폼 [TS] 적용

터널인터페이스 0번에

만든 [protect-gre] 넣기

==================================================================

IKE 동작 과정

페이즈 1 ,2으로 구성

1은 메인 2는 퀵

페이즈 1에서는

IKE 협약과정 , 키생성을 진행하며

우선 암호 무결성 알고리즘 협상한뒤

키생성한뒤 디피 헬만방식으로 키를 교환한다

상호 인증방법을 진행한다

페이즈 2에서는

IPsec 통신을 위한 협약 과정을 진행한다

페이즈 1에서 만든것을 한번더 암호화 한다고 생각하면된다

암호, 무결성 알고리즘 협상을 진행한뒤

Session Key 생성

상호 인증을 진행한다

==================================================================

※ 상호인증방법은 PSK 이다

※ 1번째 설정 IKE SA 암호화 방법 설정 (양쪽장비에 같게 설정)

※ 2번째 설정 IPSec SA 설정 (양쪽장비에 같게 설정)

==================================================================

모든 설정을 마친후 외부 네트워크와 통신을 시도시

통신도 잘되는것을 확인할수있으며 또한 ESP로 암호화가 되어있어서

중간에 패킷분석이 불가능하다

이렇게 VPN 생성 및 통신상태를 확인해 보았습니다

=================================================================

IDS

IDS란 ?

침입 탐지 시스템

→탐지를 주로 사용하는 시스템입니다  그이외 기능은 제공해주지 않거나 기능이 약간 부실합니다 하지만 탐지에는 효과가 월등 합니다

IDS는 공격하는 패킷을 탐지만 하고 발견하면 관리자에게 보고하는 시스템 입니다

IDS는 모든 탐지된 정보를 보고 하는것이 아닌 특정정보만을 필터링 해서

관리자에게 전송하게 됩니다

호스트 기반 침입 탐지 시스템 (HIDS)

컴퓨터에 설치되어 동작하는것을 말합니다

공격대상이 자기자신이 되어야지 탐지할수있으며

즉 네트워크에 대한 침입 탐지 불가능합니다

EX)개인 PC 방화벽

네트워크 기반 침입 탐지 시스템 (NIDS)

네트워크 전반의 감시하며 감시 영역이 넓습니다

IP주소로 하는것이 아니기 때문에 네트워크 전반의 감시 능력이 뛰어 납니다

공격 당한 시스템의 결과에 대해서는 알수가 없는것이 단점입니다

→IDS는 패킷이 발견되면 빠른속도로 분석하고 필터링을 합니다

전부다 받아 버리는 로그 관리는 시스템에 부담이 되고 관리자도 알아보기가 힘들기 때문에

클리핑 레벨, 필터링에 따라 로그를 설정합니다

로그를 확인하여

정상탐지이냐 오보탐지 인가 가 중요하다

즉 공격의 이 진짜인지 거짓인지 구분하는것이다

관리자의 필터링 설정에 따라 효과적인 방어가 가능하고 불가능 합니다

==================================================================

※필터링을 정확하게 해서 공격탐지만 보이게 한다면 빠르게 탐지가 가능하고 대응도 가능할것이다

※IDS는 규칙을 어떻게 만드는가 가 중요하다

IDS 장비는 규칙이 잘만들어지냐에 따라서 잘만든것과 못만든것 구분가능

==================================================================

오용 탐지란

→ Black list 방식으로 합니다

즉 공격패턴을 입력하여  공격패턴을 감지하고 침입탐지를 하는것

대량의 데이터 분석에 부적합 하며,  공격의 순서 정보를 얻기 힘들다는 단점이 있습니다

==================================================================

※상태변이 기법은 모든 공격상황에 대한 시나리오에 따라 분석하는것입니다

공격상황에 대한 상세한 시나리오가 필요하기 때문에 설정하는것이 어렵습니다

※오용 탐지는 APT 공격에는 불리합니다

==================================================================

이상 탐지

→ 정상적인 패턴과 비정상적인 패턴을 기준으로 하여 급격한 변화를 일으키면 공격으로 간주하고 탐지하는 방법입니다

IDS는 책임 추적성을 제공해주지않습니다 탐지만 주로 하고있습니다

책임 추적성을 추가한것이 바로 IPS입니다

※IDS는 능동적으로 대응을 하지않는다

보안 솔루션

→ 보안상의 문제가 발생했을때 해결할수있는 모든 방법이 바로 보안 솔루션 입니다

보안의 3요소

기밀성 , 가용성 , 무결성 입니다

기밀성이란 ?

= 정보를 오직 인가된 사람들에게만 공개하는 것 입니다

모르는 사람이 비밀을 막 볼수 있으면 안됩니다

가용성이란?

= 요구 기능을 요구 시간 동안 올바르게 수행할 수 있는 능력입니다

예를 들면 장비의 이중화 , 서버를 원활하게 해주는것등이 있습니다

무결성이란?

= 원래의 정보 또는 신호가 전송/저장/변환 중에 또는 그후에도 동일함을 유지하는 것

원래 데이터의 원본을  보장해줄수 있게 하는것입니다

==================================================================

보안은 여러파트로 나눠져있는데 이모든것을 통합하여

보안적 문제를 해결해 줄수있는것이 보안 솔루션입니다

==================================================================

네트워크는 보안상 중요한곳입니다 이유는 대부분의 보안사고가 발생되는 곳이기 때문이다

또한 외부에서 공격 할수있는 거의 유일한 방법이기 때문에

(네트워크에 연결되어 있지 않는 단말기는 외부에서 공격이 불가능하다)

항상 네트워크 관리는 철저해야합니다

==================================================================

IPS

침입 차단 시스템

→ 트래픽이 흐르는 가운데에 설치하여 공격의 흐름을 탐지 및 차단까지 가능하다

감지가 주가 아닌 차단이 주인 시스템 입니다

IDS

침입 탐지 시스템

→탐지를 주로 사용하는 시스템입니다  그이외 기능은 제공해주지 않거나 기능이 약간 부실합니다 하지만 탐지에는 효과가 월등 합니다

IDS는 공격하는 패킷을 탐지만 하고 발견하면 관리자에게 보고하는 시스템 입니다

UTM

통합 위협 관리 시스템

→통합 위협 관리 시스템으로서  IPS,IDS,방화벽,GW 역할등을 하며

방화벽이 기본적으로 제공되고있습니다 또한 IPS도 제공하며 , 여러가지 기능이 통합되어있는 장비를 말하고 있습니다

NAC

네트워크 제어

→ 네트워크에 흐르는 패킷을 점검하여 지정한 보안수준 미만일경우 차단하고

아닐경우 허용해준다 시스템 입니다

Windows 경우에는 NAC가 아닌 NAP이며, 방화벽이 없거나 백신이 설치가 안되어있는

PC의 접근을 차단하고 검역소로 보내 보안성을 강제적으로 올린뒤 네트워크 접속을 허용해주고 있습니다

VPN

가상사설망

→ 가상사설망은 가상망을 실제 네트워크 망처럼 구성하여 사용 하는 것입니다

무선 랜 보안성을 제공해주며 실제 네트워크장비와 비슷한 기능을 제공해준다

==================================================================

서버에 실제 정보들이 저장되고 운용하기 때문에 서버에 대한 보안대책도 중요합니다

==================================================================

서버 보안

→ 서버에 접근하는 사람에 대해 보안성 검토를 해야합니다

예를 들어 시스템 보안을 위해 사용자 인증 , 계정 관리를 수행 , 휴면계정 정지 및 삭제등이 있습니다

DB 보안

→ DB는 모든 정보가 들어있는 곳이기 때문에 접근하는 사람이 누구냐에 따라 정보 제공 방식과 제어 권한을 설정해야 합니다

또한 DB에서 중요한 정보들은 암호화 해서 보호해야합니다

세션 로깅

→ 관리자, 사용자 계정이 재대로 사용되고있는지 확인하고 검사해서 불필요한 접속 및 제어를 하고있는지 파악해야합니다

==================================================================

★보통 서버보안은 기본설정을 그대로 사용하게 되면 굉장히 위험합니다

그렇기 때문에 기본설정를 수정하여 보안성을 높여줘야합니다

==================================================================

현재는 직접적인 공격을 시도하는것에대 대부분이 방어대책을 해놨기 때문에

기본공격외에 여러가지 공격기법들을 응용하여 공격하는 것에 대해 대책을 마련해야합니다

공격자가 가장 먼저 노리는것은 웹서버입니다

그이유는 외부에서 내부로 접근하기에 가장 편리한것은 웹서버 이기 때문입니다

웹서버의 취약점을 이용하여 웹서버를 공격자가 탈취한다음 내부를 노리는 방식으로

공격순서가 진행되고 있습니다

==================================================================

WAF

→ 취약한 웹의 보안을 위해 웹 방화벽을 통하여 외부의 공격을 막는 방법입니다

Webscan

→ 웹 서버의 취약점을 분석해주는 프로그램입니다

DRM

→ 배포한 디지털 자료나 하드웨어의 사용을 제어하고 이를 의도한 용도로만 사용하도록 제한하는 데 사용되는 모든 기술들을 지칭하는 용어입니다

예로 복사방지가 있습니다

안티 스팸

→ 스팸 메일 방지 솔루션입니다

PMS

→ 중앙 시스템에서 관리하는 PC들을 대상으로 패치 (업데이트) 관리를 해주는 시스템이다

무척이나 편리하기도 하지만 관리를 잘해줘야 합니다 이유는

공격자 손에 PMS가 넘어가면 모든 PC를 업데이트를 강제적으로 할수있기 때문에

굉장히 위험할 수도 있습니다  

안티 피싱

→ 피싱 사이트를 필터링하고 관리해주는 사이트

==================================================================

PC 사용 및 작업 환경의 편리성을 중시한 나머지 보안에 취약한 환경이 될수도 있다는것

==================================================================

통합 PC 보안

→작업 이외에 다른 프로그램을 설치 및 실행할경우 거부하는것입니다

예를들어 사용자가 PC를 사용하는데 마음대로 보안에 위험한 설정을 변경하였을때

못하게 하는것입니다

Office PC 보안

→ 업무용 단말 PC에 통합 PC 보안을 제공하는것

예를들어 사용자가 특정 업무외에 특정한 목적을 가지고 사용하기위해 프로그램 설치를

거부하여 보안성을 높이는 방식 입니다 또한 백신 설치등을 제공하여 업무용 PC에

바이러스 감염을 방지합니다

시큐프린트

→프린터 내부에 저장 기능을 이용하여 여러가지 작업들을 받을시 기억하고 처리하는데

( 스풀링) 이기능을 공격자가 역이용하여 내부의 정보를 가져 갈수도 있습니다
또한 사내에서 프린트한것을 외부로 유출못하게 특수한 종이를 사용하는것도 있습니다

==================================================================

저장 장치 암호화

→ 이동용 저장 장치를 사용할때 허가된 사용자가 아니면 접근하지못하게 설정하는 것입니다

(USB 메모리 , 외장 하드등)

포렌식

→  데이터 복구 방법중 하나 입니다 , 과학적인 기술을 접목시켜 범죄현장에 남겨진 증거를 종합하여 분석하는것을 PC로 옮긴것을  컴퓨터 포렌식 , 사이버  포렌식이라고 합니다

디가우저 (Degausser)

기록 정보 파기

→  자기장을 사용하여 저장하는 하드 디스크를 강력한 자기장 기기를 이용하여 하드 디스크를 초기화 시킨다 , 배드섹터가 생기기 시작하면 하드디스크를 버리기전에

디가우저를 이용해서 파기하고 버리는것이 좋습니다

==================================================================

ESM

→ 통합 보안 관리

여러가지 보안 시스템을 모아서 통합으로 관리하는것

TMS

→ 위협 관리 시스템

현재 실제 공격에 대해 탐지 , 분석 관리 해주는것

RMS

→ 위험 관리 시스템

잠재 적인 공격 위험에 대해 탐지 , 분석 관리 해주는것

NMS

네트워크 장비 관리 시스템

(ex) SNMP

관제 서비스

→ 서비스 회사를 대상으로  다른 회사가 대신 관리를 해주는 시스템

==================================================================

방화벽의 기본 역할은 신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크로 오지 못하게 막는것이다

네트워크 관리자의 입장에서 높은 신뢰도를 갖는 구간은 내부 네트워크 구간이라 하고,

낮은 신뢰도를 갖는 구간을 인터넷 구간 또는 외부 네트워크 구간이라고 한다.

대부분의 방화벽은 정책 기반의 방화벽이며 다양한 수준의 정책으로 네트워크 간의 트래픽을 제어한다

일반 수준의 정책: 외부에서 내부로 전송되는 모든 트래픽을 차단하거나 허용

고급 수준의 정책: "외부의 경쟁회사.com으로부터 내부 서버 가짜정보.net으로 오는 길이 500바이트 이상의 http 트래픽을 허용하되 로그를 남긴다."와 같은 복잡한 정책.

→ 기본적으로 방화벽은 모두 금지 그리고 필요한 시스템을 허용해줘서 사용하게 된다

모든 방화벽이 Deny All이 적용되는것이 아니다

※방화벽은  트래픽이 많아지면 다운될수도있다 , 이중화 필요하다

==================================================================

SSL Strip Attack

공격자가 중간에서 SSL로 보호되는 세션을 벗겨내는것입니다

즉 공격자는 MiTM 상태를 클라이언트 -- 공격자 -- Web 서버 로 만들어서

클라이언트와 공격자 사이에서는 HTTP로 통신되게끔 유도하고

공격자와 Web서버에서는 HTTPS(SSL)로 통신한다

클라이언트 입장에서는 인증서를 조작하는것이 아니기 때문에

인증서 에러메시지도 출력되지않고 url창에 HTTPS로 접속되어야 하는부분이

HTTP로 변한것 뿐이어서 공격당하고 있는지 확인도 어렵습니다

또한 SSL MiTM 공격은 현재 안되는곳이 대부분이지만

SSL Strip Attack은 아직까지도 가능합니다

공격순서

실제 공격

1.sslstrip tool을 받기 위해 해당 사이트로 접속한다

다운로드를 받은뒤에 파일을 확인한다

2.파일압축을 해제하여 sslstrip을 설치한다

→ SSL strip을 설치한다

3. ARP Spoofing , 리눅스 방화벽을 이용한 포트 변환 , SSLstrip을 실행한다

※ iptables = 리눅스 방화벽

→ 방화벽을 이용한 포트변환을 실시하여 클라이언트가 보내는 80번 포트를 10000번 포트 (SSLstrip이 이용하는 포트)로 전달하게끔 실시한다

SSLstrip을 이용하여

10000번 포트로 전달받은 패킷을 test.log에 저장하는 방법이다

★port 번호는 지정된것이 아닌 마음대로 변경이 가능하다 (지금은 10000으로 설정)

==================================================================

즉 포트 X를 지정하여 80번 포트로 들어오는정보를 전달시켜

공격자는 X 포트를 이용하여 외부망과 https 통신을 시도하고

클라이언트와는 80번으로통신 (http)로 통신하는 방법이다

==================================================================

4. 클라이언트가 다른 사이트 접속시 https로 통신되어야 하는부분이 http로 통신되고있다

또한 공격자는 클라이언트가 통신한부분을

로그 파일을 통해 확인할수도 있다

SSL Strip Attack 방어방법

1.MiTM 상태가 되지않는 환경을 구성한다

2.사용자가 HTTPS로 접속되는곳을 파악하여 HTTP로 접속되는곳은 이용하지않는다

SSL MITM Attack

→ 웹 서버와 브라우저간의 보안통신을 위해 사용되는 프로토콜

SSL 사용시 https를 사용합니다

인증서를 받고 확인하는 작업을 먼저하는데 만약 인증서에 문제가 있을시 미리 경고를 하게됩니다

1. http로 보안페이지 접속시 잘못접속시 서버에서 https주소를 알려주고 https로 재접속한다

2. 자신의 인증서와 공개키를 브라우저에게 보냄 , 서버가 진짜인지 가짜인지 확인할수있게한다

3. 인증서를 확인한다

4. 세션키를 만들어서 웹서버의 공개키로 암호화 해서 전달한다

→ 가짜 서버라면 웹서버의 개인키가 없기 때문에 복호화가 불가능하다

웹브라우저가 요청하는 정보를 암호화해서 보낸다

5. 웹서버가 진짜라면 개인키로 복호화해서 전송한다

==================================================================

SSL MITM Attack

공격자가 인증서를 가로채고 공격자가 만든 인증서를 주는방법

→ 인증서 위조 , 인증서에 문제가 있는 상태로 웹브라우저에 전송

= 경고창이 계속 팝업 창이 떠서 , 클라이언트가 알수있게 된다

SSL Strip Attack

공격자가 SSL 로접속하게 하는것이 아닌 HTTP 메시지로 보내게 하는것이다

공격자가 클라이언트 대신 SSL 로접속하는것이다

→ 서버가 주는 인증서를 조작하는 공격

클라이언트에게는 인증서 오류 메시지가 출력되어 공격이 발각될 가능성이 높다

최신의 업데이트된 웹 브라우저 같은 경우에는 공격이 잘되지 않는다

공격자가 중간에 MITM 상태를 만들어서 (DNS Spoofing으로)

웹 요청을 직접 받아 포워딩하면서 정보를 탈취한다

==================================================================

Webmitm 과 DNS spoofing , ARP Spoofing 공격은 중간에 중단 X

tcpdump로 공격대상이 입력한 메시지를 생성하고 web…..c..로 복호화 한다

※중간중간에 모든 공격이 잘되고 있는지 확인이 필요하다

특히 DNS Spoofing 공격 같은 경우에는 상대방이 내부에 있는 DNS 서버를 이용할 경우

공격이 잘 안될 가능성이 있다

==================================================================

SSL MITM Attack

→ webmitm tool은 해당 상태까지만 진행한다

또한 재시작시 해당 메시지는 보이지않는다

→ DNS Spoofing으로 유도할 사이트들

※모든공격이 원활히 성사되야지 재대로된 SSL MITM 공격이 가능하다

모든공격이 되었을때 클라이언트에서 DNS 해당 사이트로 접속시도시

보안경고 인증서 오류가 뜨게 되지만 만약 클라이언트가 그냥 이용하게될시

공격자는 만들어둔 attack.txt파일을 확인하여 클라이언트가 입력한

정보를 그대로 확인할수있다

=================================================================

SSL MITM Attack 결론

클라이언트에게 Web요청을 받아 웹서버 쪽으로 포워딩하고

인증서를 조작해서 클라이언트에게 포워딩 하는방법이다

단점으로는 트래픽이 우회가 불가능하고

자기자신에게 Web요청이 와야함

(MITM 상태로 만들어야한다 또한 DNS Spoofing을 통해 특정 사이트 접속시 자기 자신에게 요청이 와야한다)

인증서 자체에 문제가 있어서 계속 클라이언트에게 인증서 에러 메시지가 출력 된다

웹브라우저 에서 조치를 해두면 실패할 가능성이 높다

최근에는 거의 모든곳에서 불가능합니다

=================================================================

SSL MiTM Attack 방어방법

1.MiTM 상태가 되지않는 환경을 구성한다

2.사용자가 HTTPS로 접속되는곳을 파악하여 HTTP로 접속되는곳은 이용하지않는다