'2012/10/09'에 해당되는 글 3건
- 2012.10.09 [취약점] WPAD Man in the Middle 공격에 대한 대응
- 2012.10.09 [PC보안] WinPatrol 도구
- 2012.10.09 [PC보안] 보안관리 도구(What's Running ver3.0)
WPAD(Web Proxy Auto Discovery)는, ISA서버와 같은 방화벽을 사용하는 환경에서 클라이언트의 브라우저의 프록시 설정을 자동화하는 편리한 기능이나, 구조상의 취약점으로 인해 MITM(man-in-the-middle)공격에 노출될 수 있다.
WPAD에 대해 더 자세한 내용을 알고자 한다면 아래의 Wiki페이지를 참고할 것
-> http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
<공격방식>
조작된 WPAD파일을 통해, 공격자의 프록시에 사용자의 브라우저를 지정하고, 사용자로 부터 발생되는 웹 트래픽을 모두 차단/수정할 수 있게된다.
아래에는 최근에 보고된 WPAD MITM 공격에 대한 참고자료이다. (Metasploit 활용)
http://www.netresec.com/?page=Blog&month=2012-07&post=WPAD-Man-in-the-Middle
<조치방법>
◆ 개인 PC 사용자의 경우
: Disabling the "Automatically detect settings" checkbox
◆ 다수의 PC를 관리하는 관리자의 경우
: "Automatically detect settings"기능을 쉽게 Enable/Disalble 할수 있게 생성한 레지스트리 키파일과 vbs배치파일을 이용하여 일괄 조치한다. (다수의 클라이언트 시스템에 일괄 조치하기 위해서는 아래의 파일을 이용하는 것이 효과적일 것으로 생각된다.)
[배치파일]
- Check-AutoDectSet.vbs (Enable)
- Uncheck-AutoDectSet.vbs (Disable)
[레지스트리 키파일]
- CheckAutoDetectSet.reg
- UncheckAutoDetectSet.reg
IE Automatically Detect Settings.zip
(위 파일은 암호로 보호되어 있습니다. )
'보안 > 공격기술' 카테고리의 다른 글
| 취약점 분석 미니맵(단계별 주요이슈 도식도) (0) | 2012.10.11 |
|---|---|
| [web scan] bing-ip2hosts 소개 (0) | 2012.09.27 |
| [web scan] WhatWeb 웹스캔 소개 (0) | 2012.09.27 |
| [sql injection]sqlmap (0) | 2012.09.26 |
| [sql injection]Blind SQL Injection Perl Tool(bsqlbf) (0) | 2012.09.25 |
[WinPatrol]은 위도우의 시작프로그램 및 작업 관리 기능과 동작중인 활성화된 작업, 쿠기를 관리할 수 있도록 지원하는 도구이다.
이 도구의 일반적인 주요 기능은 아래와 같다.
시스템 시작시 실행되는 프로그램 검색
작업 스케줄러 관리
동작중인 서비스 및 활성화된 작업 표시
쿠키관리
그리고, 위 기능이외에 상당히 사용자/관리자에게 도움이 되는 기능들이 있는데, 해당 기능은 아래와 같다.
Delay Start 기능: 시작 프로그램 지연 실행 기능
이 기능은, 기왕지사 시작프로그램이 등록되어 순차적으로 실행되는 이상, 다른 시작프로그램의 실행 시점을 꼭 사용자가 로그온한 시점에 몰아서 시작함으로써 큰 로드를 줄 필요가 없다는 컨셉으로 동작하는 것으로, 상당히 매력적인 기능이다.
이 기능 사용방법은, 시작 프로그램 목록에서 지연시키고자 하는 프로그램을 오른쪽 마우스키로 선택 > "Program Delay Startup Options"를 통해 시간을 설정하면 된다.
로그파일 외부로 보내기 기능: 이 기능은 시스템의 로그 파일을 엑셀포맷으로 외부로 보낼수 있는 기능으로, 메인 창에서 "Spreadsheet Report"를 선택하면 된다.
[WinPatrol] 인터페이스
다운로드: http://www.winpatrol.com/
'보안 > 방어기술' 카테고리의 다른 글
| [Anti-Rootkit] 유해파일 검색도구 [GMER] 소개 (0) | 2012.10.10 |
|---|---|
| [PC보안] 보안관리 도구(What's Running ver3.0) (0) | 2012.10.09 |
| Microsoft IIS 환경에서의 modsecurity 설치,설정방법 (0) | 2012.09.26 |
| modsecurity를 활용한 웹보안 강화 (0) | 2012.09.26 |
| Windwos시스템 보호 설정도구(EMET) (0) | 2012.09.20 |
[what's running]은 PC보안관리 도구로, 제공하는 기능은 아래와 같다.
□ 동작중인 프로세스들의 정보
□ 동작중인 서비스들의 정보
□ 동작중인 모듈들의 정보
□ IP연결 상태정보
□ 설치된 드라이버 정보
□ 시스템 시작시, 동작되는 프로그램 정보
□ 시스템 정보
그리고, 위 기능과 함께 [스냅샷] 기능이 포함되어 있는데,
[스냅샷] 기능은, 이 전에 찍은 스냅샷과 현시점에서의 시스템정보를 비교할 수 있도록 지원한다. 즉, 이 기능을 잘 이용하면 과거의 어느 시점과 현시점의 시스템상태 비교가 되기 때문에 침해사고 및 바이러스 감염이 발생된 후에 원인추적및 재현에 큰 도움이 될 수 있을 것이다.
[what's running] 인터페이스
최신 버전: 3.0 (beta)
다운로드 위치: http://www.whatsrunning.net/whatsrunning/Download.aspx
'보안 > 방어기술' 카테고리의 다른 글
| [Anti-Rootkit] 유해파일 검색도구 [GMER] 소개 (0) | 2012.10.10 |
|---|---|
| [PC보안] WinPatrol 도구 (0) | 2012.10.09 |
| Microsoft IIS 환경에서의 modsecurity 설치,설정방법 (0) | 2012.09.26 |
| modsecurity를 활용한 웹보안 강화 (0) | 2012.09.26 |
| Windwos시스템 보호 설정도구(EMET) (0) | 2012.09.20 |
