'보안'에 해당되는 글 42건

  1. 2012.09.18 [web hack] SiteDigger.v3 에 대한 서술
  2. 2012.09.18 [Dos] LOIC를 이용한 공격방법 서술 1
  3. 2012.09.18 보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석
  4. 2012.09.18 트위터, 보안팀 강화 위해 세계적인 해커 영입
  5. 2012.09.17 게임계정 탈취 악성코드, 가장 많이 유포됐다!
  6. 2012.09.17 [IDS] Security Onion을 활용한 IDS환경 구축
  7. 2012.09.17 사내보안정책수립에도순서가있다
  8. 2012.09.17 패킷파일에서 데이터(파일) 추출하기

[web hack] SiteDigger.v3 에 대한 서술

|

SiteDigger searches Google’s cache to look for vulnerabilities, errors, configuration issues proprietary information and interesting issues, information, security nuggetson websites.

SiteDigger는 쉽게 말해, 구글캐시로 검색을 자동화한 도구라고 볼 수 있스며, 이를 통해 취약한 사이트를 검색하거나 하는 등의 정보를 수집/취득할 수 있다.

[상세정보]

(http://securitytube-tools.net/index.php?title=SiteDigger)

   * Developed by FoundStone. 
   * Built-in Google Hacking Database (johnny) and FoundStone's. 
   * Improved user interface, signature update and results page.
   * No longer requires Google API License Key.
   * Support for Proxy and TOR.
   * Provides results in real time.
   * Configurable result set.
   * Updated signatures.
   * Ability to save signature selection and result set.

[사용법]

    * Select the signatures from the tree
    * Provide the license key at the bottom-right box on the tool.
    * Enter the domain / sub-domain information.
    * Hit the Scan Button.
    * Save signatures and results for future analysis.

 

SiteDigger v3 다운로드:

sitedigger3.zip

첨부된 파일은 암호로 보호됩니다.

And

[Dos] LOIC를 이용한 공격방법 서술

|

< LOIC Technic Description >

LOIC(Low Orbit Ion Cannon)은 C#으로 구현된 오픈소스 프로그램으로, 다음과 같은 용도로 사용이 가능하다.

(wiki) http://en.wikipedia.org/wiki/Low_Orbit_Ion_Cannon

1. Network Stress Testing

2. Dos Attack

LOIC의 공격종류 1) TCP Flood, 2) UDP Flood, 3) HTTP Flood 가 있으며,

프로그램을 이용한 공격방법은 "URL" or "IP"를 입력한 후, [Lcok On] 버튼을 클릭하고, 공격 포트, 종류 등을 사용자가 원하는 데로 설정한 후, [IMMA CHARGIN MAH LAZER]버튼을 클릭하면 된다.

 <사용방법>

<참고>

1. Source IP의 위조가 되지 않음. 따라서, 실제 공격에 사용하기에는 무리가 있는 프로그램 ( PoC 테스트용으로나 활용 )

2. Threads가 6800 정도까지 되면 중소서버 정도 공격이 가능하다고 하는데, 가능할지는...

파일 다운로드:

LOIC-1.0.7.42-binary.zip

첨부된 파일은 암호로 보호됩니다.

 

And

보안전문가 기고(1). 시뮬레이션 환경에서 APT 공격결과 분석

|
APT 공격에 대해서는 안티바이러스 이상의 대응 필요!


SANS연구소는 글로벌 보안연구 및 교육기관으로 연구활동과 함께 다양한 교육 프로그램을 마련해 전 세계적으로 활동하고 있다. 이에 본지에서는 최근 사이버 공격에 대한 이해도를 높이고, 글로벌 보안위협 추세와 대응방안을 살펴보기 위해 SANS코리아의 협조로 SANS연구소의 유명 보안전문가들의 기고를 3회에 걸쳐 연재한다. [편집자 주]


연재순서-----------------------------------------

1. 시뮬레이션 환경에서 APT 공격결과 분석 - 롭 리

2. 침투 시험 가치 극대화하기 - 브라이스 갤브레이스

3. 가상 환경에서 권한 상승 방법 - 스테판 심스

------------------------------------------------


[보안뉴스=롭 리 SANS 연구소] 디지털 포렌식 사고 대응(DFIR) 분야 커뮤니티에서 가장 큰 불만사항 중 하나가 바로 교육으로 사용할 실제 데이터가 없다는 점이다. 1년 전에 필자는 SANS의 중견 강사 전체가 참가해 경험에 바탕한 실제 시나리오를 만들고, 나머지 전문가들은 공격 스크립트를 검토하고 자문하는 것으로 계획을 세웠다.


이 결과 대부분의 기업에서 운영하는 환경과 같은 윈도우 시스템을 기반으로 하는 실제 공격 시나리오를 만들 수 있었다. 이 공격 시나리오는 현재 ‘SANS FOR508 : 고급 포렌식 및 사고 대응과정’(www.itlkorea.kr/sans/for508.php)에서 사용되고 있다.


이를 활용하여 FOR 508 과정 참가자들이 실제 파일 시스템과 메모리 이미지를 이용하여 지능형 지속위협(APT) 기반의 활동을 탐지·식별 및 포렌식 조사를 분석할 수 있도록 하는 것이다. 즉, 수강 학생들에게 분석을 위해 ‘실제 세계’의 데이터를 보여줄 수 있도록 하는 것이다. 공격 데이터를 생성하여 SANS 과정에서 실제 공격에서처럼 지능적인 공격 활동을 조사할 수 있게 된다.


실제 공격팀을 구성해 실제 APT와 유사한 적들의 행동을 모방하도록 했다. APT 전술을 먼저 본 후에, 우리는 실제 기관의 네트워크를 모방한 실제 환경을 만들도록 훈련계획을 세웠다. 그 결과 침투 시험과 APT 공격 시험에 있어 다른 점을 발견했다.


약 1주일 이상, 먼저 공격 팀을 관찰한 후 굉장히 가치 있는 교훈을 얻었다. 이와 관련한 첫 번째 질문은 ‘안티바이러스가 정말 소용이 없는가?’이다.


안티바이러스가 정말 소용없는가?

수 년 동안 안티바이러스가 우회가능하다는 것을 알고 있었다. 일련의 APT 사건을 포함하여 수년간 많은 보안사고에서, 사고대응팀은 안티바이러스는 침해 징후를 탐지한다는 것을 알았다. 그러나 종종 무시되기도 했다.


훈련을 하는 과정에서 적어도 필자는 일부 특징을 탐지할 것으로 기대했다. 하지만 일주일에 동일한 APT 기술을 사용하여 네트워크를 조사한 결과, 안티바이러스가 지능적이고, 능력 있는 적을 방어하는 데는 한계가 있다는 것을 알았다. 필자는 안티바이러스를 이용하지 말라고 추천하지는 않는다. 하지만 지능적인 적을 찾아내고 방어하기 위해서는 단순히 안티바이러스에 의존하는 것 그 이상을 해야 한다는 점이다.


기업에서 사용하는 안티바이러스나 디지털 포렌식 사고대응(HIDS)이 실제로 훌륭한 기능을 해 줄 것이라고 기대했으나, 안티바이러스는 쉽게 우회가 되었다. 우리는 낮은 수준의 공격은 쉽게 차단할 수 있는 것을 확실하지만, 호스트 기반의 안티바이러스를 신경 쓰지 않고 우리가 원하는 모든 것을 할 수 있었다.


시험에 사용된 안티바이러스 프로그램

사용된 제품은 맥아피 Endpoint Protection Suite에 있는 안티바이러스, 안티 스파이웨어, 안전한 서핑, 안티 스팸, 장치 제어, 온사이트 관리, HIPS로 필자는 별도로 자체 컴퓨터로 된 호스트 IPS를 구매했으며, 맥아피 EPO에 구축하여 네트워크에 배치했다(참고사이트 : http://shop.mcafee.com/Catalog.aspx).


윈도우 기반의 기업 네트워크 환경

네트워크는 표준 컴플라이언스 체크리스트를 이용해서 기업 네트워크 보호망을 모방해 구축했다. 우리는 APT 사고 이후에 설치되는 추가적인 보안조치를 포함하지 않았다. 그러나 우리는 방화벽, 안티바이러스, 호스트 기반 IDS 및 자동 패치 시스템 등을 충분히 구축했다. 그리고 사용자에 제약을 많이 두었으며, 대신 약한 관리자 패스워드 정책 및 로컬 관리자 계정을 동일하게 하는 등 약간의 오류도 같이 설정했다.

시험 환경


사용된 악성코드(비공개 프로그램)

·C&C 프로그램 : XMLRPC 트래픽에 인코딩되어 80번 포트로 통신. 이 악성코드는 Microsoft Security Essentials에서는 탐지가 되나, 맥아피 제품에서는 탐지가 안 되었음.


·C&C 채널 : 맟춤식 미터프리터를 지원하는 실행파일. 80번 포트로 연결. 지속성은 없으며 인터벌 세팅도 없음.


사용된 악성코드(공개 프로그램)

회피 기법은 간단하다. 파이선(Python)이나 PERL, Ruby 등의 스크립트로 프로그램을 설계해서 다시 실행 프로그램으로 만드는 것이다.

·Poison Ivy(www.microsoft.com/en-us/download/details.aspx?id=27871)- 탐지를 못하고, 정상적으로 동작함

·Psexec(http://technet.microsoft.com/en-us/sysinternals/bb897553)- 악성코드 아님

·Radmin(http://www.radmin.co.kr/)- 인코딩이 필요 없음. 백도어로 사용

·mimikatz(http://pauldotcom.com/2012/02/dumping-cleartext-credentials.html)- 인코딩 필요 없음


APT 공격 단계

이번 훈련은 네트워크, 호스트 시스템, 메모리, 하이버네이션/페이지 파일 등에서 탐지가 가능한 실제 적의 흔적을 보기 위한 것이었다. 이 악성코드 FOR601(악성코드 분석)과정에서 사용되고, 네트워크 트래픽은 FOR558(네트워크 포렌직) 과정에서 사용될 예정이다.


·1단계 : 스피어 피싱 공격(자바 애플릿 공격) 및 C&C 프로그램 설치

·2단계 : 다른 시스템으로 측면 이동, 악성 유틸리티 프로그램 다운로드. 추가 프로그램 설치 및 도메인 admin 인증데이터 획득

·3단계 : 지적 재산 정보 검색, 네트워크 분석, 이메일 덤프, 해쉬값 덤프

·4단계 : 데이터 수집 후 경유 시스템으로 데이터 복사. 복잡한 패스워드로 데이터 rar 파일로 압축

·5단계 : 경유 서버에 rar 파일을 탈취하고 경우 서버의 데이터 삭제


마지막으로, 우리는 전체 디스크 이미지외에 각각의 컴퓨터에 있는 진짜 메모리, 네트워크 트래픽, 악성코드 샘플을 캡처했다.


사고대응/포렌식 결과

컴퓨터에서 발견한 일부 포렌식 분석결과는 다음과 같다.

스피어 피싱 공격 수퍼 타임라인


메모리 분석 결과(분석 없이 레드라인 화면) : 추가적인 분석을 위해서 볼라틸리티(Volatility) 사용할 계획


우리는 자체 제작한 악성코드와 Poison Ivy, 메타스플로잇 등 잘 알려진 악성프로그램도 사용했다. 안티바이러스는 우회하기 위해 간단한 우회기술을 적용했다. 그 결과 안티바이러스는 탐지를 하지 못했다. 하지만 조치를 취하지 않은 메타스플로잇 페이로드는 탐지했고, 제거할 수 있었다. 우리는 맥아피 직원들이 설명한 설치 및 설정을 따랐다.


필자는 공격팀에 침투시험 과정에서 배운 공격 방법을 사용할 것을 요청했으며, 공격팀은 고급 공격 기법을 사용하지도 않았다. 공격하는 동안 실수도 했지만, 아무것도 탐지하지 못했으며, 차단도 되지 않았다. 이 연습이 실제 상황이라면 남들이 찾기 전에 아마 수개월, 수년 동안 네트워크에 활동할 수 있었다.


필자는---------------------------------------------------------

롭 리(Rob Lee)

롭 리는 SANS 연구소에서 디지털 포렌직 및 사고 대응에 대한 커리큘럼 리더이자 개발자로 컴퓨터 포렌식, 취약점 및 공격 탐지, 침입 탐지/예방 및 사고대응 분야에 15년 이상의 경험을 가지고 있다. 롭 리는 SANS Korea 2012에서 11월 5~10일에 포렌직 508(고급 컴퓨터 포렌직 분석 및 사고 대응) 과정을 강의할 예정이다.

----------------------------------------------------------------

 

And

트위터, 보안팀 강화 위해 세계적인 해커 영입

|

애플 기기 해킹으로 유명한 찰리 밀러 고용


▲ 출처: 포브스(Forbes)
[보안뉴스 호애진] 트위터가 자체 보안팀 강화를 위해 세계적인 해커 찰리 밀러를 영입했다.


미국 경제전문지 포브스(Forbes)는 16일(현지시각) 트위터가 애플기기 해킹으로 유명한 찰리 밀러를 고용했다고 밝혔다. 찰리 밀러는 최근까지 미국 국가보안국(NSA)에서 보안전문가들을 훈련시켜 왔다.


그는 트위터를 통해 “17일부터 트위터 보안팀과 일할 예정”이라면서 “트위터에서 멋진 팀과 일하는 것이 기대된다”고 전했다.


그러나 그가 트위터에서 어떤 일을 하는지, 직책 등에 대해서는 알려지지 않았다. 다만, 업계에선 지난해 말부터 트위터가 자체 보안 취약점을 점검하고 개선하는 일과 관련해 밀러를 정식 직원으로 채용하기 위해 공을 들여왔다는 소문이 돌았다.


밀러는 2007년 처음으로 애플의 아이폰을 해킹해 유명해졌으며, 이듬해인 2008년 3월에는 해킹대회 Pwn2Own에서 애플의 맥북 에어를 2분만에 해킹한 바 있다.

2009년에는 문자메시지를 이용해 아이폰을 해킹하는 시연을 해보이는 등 각종 애플 기기들의 보안 결점을 드러내 보이며, 세계적인 해커로서 명성을 쌓아왔다.

[호애진 기자(boan5@boannews.com)]

And

게임계정 탈취 악성코드, 가장 많이 유포됐다!

|

8월 악성코드 피해건수 7월보다 10.1% 감소...온라인게임핵 21.9%

최근 C&C 서버 통해 원격조종 가능한 안드로이드 악성 앱 발견 주의! 

[보안뉴스 권 준] 지난 8월의 악성코드 피해신고 건수는 총 1,472건으로 7월의 1,638건과 비교해 10.1% 감소한 것으로 나타났다. 주요 악성코드로는 게임계정 탈취목적의 온라인게임핵(OnlineGameHack)이 21.9%로 가장 높은 비율을 나타낸 것으로 집계됐다. 


이러한 집계결과는 KISA 인터넷침해대응센터가 발표한 8월 인터넷 침해사고 동향에 따른 것으로, 8월의 해킹사고 접수처리 건수는 총 2,173건으로 7월(1,937건) 대비 12.2% 증가한 것으로 나타났다. 


유형별로는 스팸릴레이, 홈페이지 변조, 피싱경유지 등은 감소한 반면, 단순침입시도 유형이 전월대비 155.8% 증가하면서 전체건수 증가로 이어진 것으로 조사됐다.


또한, KISA 인터넷침해대응센터에서 지난 8월 한달 동안 탐지 조치한 악성코드 은닉사이트는 총 1,495건으로, 7월 721건과 비교해 107.4% 증가했다. 악성코드가 은닉된 홈페이지를 기관 유형별로 분류해 보면 기업이 755건(50.5%)으로 가장 많았고, 웹서버 유형별로는 MS IIS가 522건(34.9%)으로 가장 높은 비중을 차지한 것으로 집계됐다.


이와 함께 KISA 허니넷으로 유입된 8월의 전체 악성코드 샘플은 7월 대비 11.8% 증가했고, 악성코드별로는 Starman(71.3%) 계열이 가장 많이 수집된 것으로 집계됐다. 신규 수집된 악성코드의 유포국가별로는 미국(27.9%)이 가장 큰 비중을 차지했고, 대만(6.0%), 중국(5.9%), 브라질(2.9%) 등의 순으로 나타났다.


허니넷에 유입된 8월 한 달 동안의 전체 유해 트래픽은 약 465만 건으로 7월(851만건)에 비해 45.3% 감소했고, 해외 IP로부터 유발된 트래픽이 86.2%로 대부분을 차지했는데, 그 가운데서도 중국(59.6%)에서 유발된 TCP/1433 포트스캔이 가장 높은 비중을 차지했다. 


국내의 경우 ISP 일부구간에서 수집된 포트별 트래픽 양은 7월에 비해 감소했고, TCP/80을 제외하면 TCP/10005, TCP/443, TCP/5003, TCP/8080 포트 등에서 상대적으로 많은 트래픽이 발생한 것으로 나타났다. 

국내 ISP 일부구간에서 수집된 공격유형별 트래픽을 살펴보면, 디도스 공격시 유발되는 트래픽 형태인 TCP ACK Flooding, Open Tear, UDP TearDrop 등이 상대적으로 많았던 것으로 집계됐다. 



한편, 8월의 주요 보안이슈와 관련해 KISA 인터넷침해대응센터 측은 “특히, 지난 8월에는 일반 PC에서도 많이 사용되고 있는 Oracle Java에서 제로데이 취약점이 발견됐고, 웹사이트를 통한 악성코드 유포에 악용되는 사례가 급증하고 있어 인터넷 이용자들의 주의와 적극적인 보안조치가 요구된다”고 밝혔다.


이에 따라 설치된 제품의 최신 업데이트 버전을 다운로드 받아 설치하거나, Java 자동업데이트를 설정해 적용할 것을 권고했다.


이와 함께 올해 들어 안드로이드 모바일 기기를 대상으로 한 악성코드가 크게 증가하고 있는 가운데, 최근 명령제어 서버(C&C)를 통해 원격에서 조종할 수 있는 악성 앱이 발견되어 더욱 주의가 요구된다는 것.


이와 관련 KISA 측은 “제조사 및 이통사의 앱 스토어를 통해 앱을 설치하고, KISA가 개발·보급한 스마트폰 보안 자가점검 앱 ‘S.S Checker’ 등 모바일 백신 및 보안 앱 등을 통해 스마트폰의 비밀번호(패턴) 설정 및 백신설치 여부, 설치프로그램의 악성코드 감염여부 등을 점검할 것”을 당부했다. 

[권 준 기자(editor@boannews.com)]

 

And

[IDS] Security Onion을 활용한 IDS환경 구축

| 2012. 9. 17. 18:08
보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

사내보안정책수립에도순서가있다

|

<사내보안정책수립에도순서가있다>

작성: 한국정보보호진흥원 IT기반기획팀

 

사내보안정책수립에도순서가있다.pdf

<목차>

1. 기업 정보보호 자가측정 리스트

2. 기업 보안정책 수립시 체크리스트

3. 네트워크 관리자 체크리스트

4. 웹 방화벽 체크리스트

5. 웹 관리자 체크리스트

6. 서버보안 관리자 체크리스트

7. 사내 PC 관리담당자 체크리스트

8. PC보안 체크리스트

 

And

패킷파일에서 데이터(파일) 추출하기

| 2012. 9. 17. 16:56
보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.
prev | 1 | 2 | 3 | 4 | 5 | 6 | next