Security. unlimited possibilities

[GMER]도구는, 제목과 같이 안티 루트킷(Anti-Rookit) 프로그램이다. 죽, 시스템 내에 숨겨진 유해파일(=Rootkit)을 검색하고 복사/제어할 수 있는 도구라고 말할 수 있겠다. 검색되어진 결과에 대해 신뢰도가 아주 높다고는 평가할 수 없으나, 매우 유용한 도구임에는 틀림이없다. (아마도 결과에 대한 신뢰도는 사용자 본연의 능력에 따라 편차가 크다고 하겟다.)

아래에는 [GMER]도구가 검색을 지원하는 기능들이다.

□ hidden processes

□ hidden threads

□ hidden modules

□ hidden services

□ hidden files

□ hidden disk sectors (MBR)

□ hidden Alternate Data Streams

□ hidden registry keys

□ drivers hooking SSDT

□ drivers hooking IDT

□ drivers hooking IRP calls

□ inline hooks

<지원하는 시스템>

□ Windows NT

□ Windows 2000

□ Windows XP

□ Windows Vista

□ Windows 7

<다운르드>

http://www.gmer.net/ ( 현재 최신버전은 GMER 1.0.15.15641 이다 )

<사용방법>

1. 아래의 Main창에서 ">>>"메뉴를 Click

2. 확장된 각 메뉴에서 사용자가 원하는 동작을 수행

[WinPatrol]은 위도우의 시작프로그램 및 작업 관리 기능과 동작중인 활성화된 작업, 쿠기를 관리할 수 있도록 지원하는 도구이다.

이 도구의 일반적인 주요 기능은 아래와 같다.

시스템 시작시 실행되는 프로그램 검색

작업 스케줄러 관리

동작중인 서비스 및 활성화된 작업 표시

쿠키관리

그리고, 위 기능이외에 상당히 사용자/관리자에게 도움이 되는 기능들이 있는데, 해당 기능은 아래와 같다.

Delay Start 기능: 시작 프로그램 지연 실행 기능

이 기능은, 기왕지사 시작프로그램이 등록되어 순차적으로 실행되는 이상, 다른 시작프로그램의 실행 시점을 꼭 사용자가 로그온한 시점에 몰아서 시작함으로써 큰 로드를 줄 필요가 없다는 컨셉으로 동작하는 것으로, 상당히 매력적인 기능이다.

이 기능 사용방법은, 시작 프로그램 목록에서 지연시키고자 하는 프로그램을 오른쪽 마우스키로 선택 > "Program Delay Startup Options"를 통해 시간을 설정하면 된다.

로그파일 외부로 보내기 기능: 이 기능은 시스템의 로그 파일을 엑셀포맷으로 외부로 보낼수 있는 기능으로, 메인 창에서 "Spreadsheet Report"를 선택하면 된다.

[WinPatrol] 인터페이스

다운로드: http://www.winpatrol.com/

[what's running]은 PC보안관리 도구로, 제공하는 기능은 아래와 같다.

□ 동작중인 프로세스들의 정보

□ 동작중인 서비스들의 정보

□ 동작중인 모듈들의 정보

□ IP연결 상태정보

□ 설치된 드라이버 정보

□ 시스템 시작시, 동작되는 프로그램 정보

□ 시스템 정보

그리고, 위 기능과 함께 [스냅샷] 기능이 포함되어 있는데,

[스냅샷] 기능은, 이 전에 찍은 스냅샷과 현시점에서의 시스템정보를 비교할 수 있도록 지원한다. 즉, 이 기능을 잘 이용하면 과거의 어느 시점과 현시점의 시스템상태 비교가 되기 때문에 침해사고 및 바이러스 감염이 발생된 후에 원인추적및 재현에 큰 도움이 될 수 있을 것이다.

[what's running] 인터페이스

최신 버전: 3.0 (beta)

다운로드 위치: http://www.whatsrunning.net/whatsrunning/Download.aspx

Modsecurity의 IIS 설치 msi파일을 통해 Microsoft IIS에서도 Modsecurity 웹서버 보안강화도구를 사용할 수 있다.

아래는 IIS에서 Modsecurity를 설치, 설정하는 방법이다. 만약, IIS에서 Modsecurity를 사용하고자 한다면, 참고가 되시길..

또한, Modsecurity를 설치하기 위해 사전에 설치해야 하는 목록에 추가적으로 .NET Framework이 필요하다.(참고하세요)

Installation for Microsoft IIS

The source code of ModSecurity’s IIS components is fully published and the binary building process is described (see mod_security/iis/winbuild/howto.txt). For quick installation it is highly recommended to use standard MSI installer available from SourceForge files repository of ModSecurity project or use binary package and follow the manual installation steps.

Manually Installing and Troubleshooting Setup of ModSecurity Module on IIS

Prerequisites

Before installing ModSecurity one has to install Visual Studio 2010 Runtime:

• 32-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=5555
• 64-bit OS: http://www.microsoft.com/en-us/download/details.aspx?id=14632

Installation Steps

Download binary package and unzip the content to a separate folder:

• http://sourceforge.net/projects/mod-security/files/modsecurity-iis/2.7.0-rc2/ModSecurityIIS_2.7.0-rc2_debug.zip/download

The installation process of ModSecurity module on IIS consists of three parts:

1. Copying of binaries: copyfiles.bat

The following binary files are required by ModSecurity module and by default should be copied to %windir%\system32\ (32-bit binaries) and/or %windir%\SysWOW64\ (64-bit binaries):

• libapr-1.dll
• libapriconv-1.dll
• libaprutil-1.dll
• libxml2.dll
• lua5.1.dll
• ModSecurityIIS.dll
• pcre.dll
• zlib1.dll

The mlogc tool can be copied to any place, together with libcurl.dll:

• libcurl.dll
• mlogc.exe

2. Registering of the module: register.bat

An IIS module must be properly registered before it can be used by web applications. The following command, executed in %windir%\system32\inetsrv, performs the registration:

appcmd.exe install module /name:ModSecurityIIS /image:%windir%\system32\inetsrv\modsecurityiis.dll

The registration process itself is described with details in the following articles:

• http://technet.microsoft.com/en-us/library/cc771133(v=ws.10)
• http://learn.iis.net/page.aspx/121/iis-modules-overview/

3. Extending of the configuration schema.

The last step extends IIS configuration schema with ModSecurity entities, using ModSecurity.xml file provided in the binary:

iisschema.exe /install ModSecurity.xml

and iisschema.exe tool. More information about the tool and this step is available here:

• http://mvolo.com/iisschemaexe-a-tool-to-register-iis7-configuration-sections

Configuration

After the installation the module will be running in all websites by default. To remove it from a website add to web.config:

<modules>
    <remove name="ModSecurityIIS" />
</modules>

To configure module in a website add to web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <ModSecurity enabled="true" configFile="c:\inetpub\wwwroot\xss.conf" />
    </system.webServer>
</configuration>

where configFile is standard ModSecurity config file.

Events from the module will show up in "Application" Windows log.

Common Problems

If after installation protected website responds with HTTP 503 error and event ID 2280 keeps getting logged in the application event log:

Log Name:      Application
Source:        Microsoft-Windows-IIS-W3SVC-WP
Event ID:      2280
Task Category: None
Level:         Error
Keywords:      Classic
User:          N/A
Description:
The Module DLL C:\Windows\system32\inetsrv\modsecurityiis.dll failed to load.  The data is the error.

most likely it means that the installation process has failed and the ModSecurityIIS.dll module is missing one or more libraries that it depends on. Repeating installation of the prerequisites and the module files should fix the problem. The dependency walker tool:

• http://www.dependencywalker.com/

can be used to figure out which library is missing or cannot be loaded.

위 내용에 더불어 아래와 같은 msi 설치파일도 있네요..;; 갠히 고생했네;;

아래 파일을 통한 설치도 해보시면 좋겠네요.

ModSecurityIIS_2.7.0-rc3.zip

설치 후, 설정은 아래 사이트를 참조하세요,,

http://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx

<Modsecurity>

[Modsecurity]는 웹서버 Apache의 모듈로 동작하는 공개 SW 웹애플리케이션 방화벽(?)정도의 웹서버 보안강화도구이다. Modsecurity는 서버측에서 접근하는 요청(Request) 트래픽or패킷에 대한 Ruleset을 통해 정의된 트래픽or패킷을 자동으로 차단하는 식으로 동작한다.

[Modsecurity의 출현배경]

□ 웹 애플리케이션 취약점 보안을 위한 대대적인 소스 코드 수정이 필요하게 됨.

□ 대 다수의 중소기업이 개발인력 미비로 지속적인 침해사고에 대응 못함.

□ 기존 애플리케이션에 수정 없이 이미 존재하는 취약점에 대하여 능동적인 대응이 필요하게 됨.

[Modsecurity의 특징]

□ 웹페이지 주요 취약점 해결을 위해 아파치 모듈로 개발/공개된 웹보안 강화도구

□ 웹에서의 요청(Request)을 웹서버 또는 다른 모듈들이 처리하기 전에 분석/필터링

□ 우회 공격용 스트링("//","\/",".." 등)을 제거하고 인코딩된 URL을 디코딩하는 우회방지기술 적용

□ HTTP 프로토콜을 이해 가능한 엔진을 적용하여 정밀한 필터링 수행

□ GET/POST 메소드 요청분석

□ 모든 요청에 대한 상세 로깅가능이 가능하며, 차단 기능 비활성을 통해 침입탐지 역활수행

□ HTTPS를 통한 공격 필터링 가능

[Windows Modsecurity 설치방법]

<설치방법>

1. Modsecurity 설치에 필요한 파일(libxml2.dll, mod_security2.so)을 Apache "Modules" 폴더내에 복사

2. Ruleset파일을 Apache conf 폴더에 복사

<설치 전 주의사항>

※ 윈도우 계열에서 modsecurity를 설치하기 위해서는 Apache 2.2.x 이상 버전에서만 설치 가능

※ VC 2008 Redistributable Package를 설치해야 정상적으로 동작 (윈도우용 modsecurity는 visual studio 2008에서 개발되었기 때문)

※ VC 2008 Redistributable Package 다운로드: http://www.microsoft.com/en-us/download/details.aspx?id=29

<설치 후 주의사항>

※ Apache는 기본저긍로 mod_unique_id.so 모듈이 Disable 되어 있기 때문에 이 모듈을 Enable로 설정변경. (unique_id 모듈은 유닉스 환경과 마찬가지로 modsecurity의 정상적인 필터링을 가능하게 해주는 모듈이다.)

[Linux Modsecurity 설치방법]

<설치방법>

1. yum을 통한 설치: yum install mod_security ( or source build )

2. 방화벽에서 사용할 Ruleset 추가/생성

3. 서비스 시작

아래 URL은 Modsecurity wiki 페이지이다. 상세한 내용은 아래에서 참고하시길 ...

EMET( Enhanced Mitigation Experience Toolkit )는 MS에서 무료로 제공되는 보안설정 도구이다. 이 도구는 소프트웨어의 취약성이 악용되지 못하게 하는 보안 유틸리티 도구로, 공격자가 소프트웨어의 취약성을 공격하기 위해 포함해야 하는 특수한 동작(행위)를 사전에 감지하여 사전에 차단하는 설정(기술)로 구성되어 있습니다.

또한, 이 도구의 사용은 모든 취약성에 대한 조치는 어렵다고 보여지나, 취약성의 악용을 어렵게 할 수 있습니다.

EMET 최신 버전 다운로드:

-> EMET v3 (http://blogs.technet.com/b/srd/archive/2012/05/15/introducing-emet-v3.aspx)

EMET 보호기능

- DEP (Dynamic Data Execution Prevention):

Heap이나 스택의 메모리에 위치한 공격자의 제어데이터 또는 shellcode를 실행하려는 시도를 프로세서 수준에서 거부시키는 기능 (즉, 설정된 데이터영역(read-only)에서 코드를 실행하려는 시도를 감지하고 종료시켜 버림)

- SEHOP (Structure Exception Handler Overwrite Protection):

스택 오버플로우 공격으로 부터 시스템을 보호. 이 기능은 OS에서 Exception Handler들을 호출하기 전에, Exception Record Chain을 확인/점검하는 기능

- ASLR (Mandatory Address Space Layout Ramdomization):

호출되는 모듈의 위치를 랜덤화함으로써 공격자가 취약한 DLL의 위치를 예측할 수 없도록 하는 기능

- Null page allocation:

사용자 모드에서 잠재적인 Null 역참조 문제를 방어하는 기능

- EAF (Export Address Table Access):

공격자의 페이로드에 필요한 인도우즈 APIs 조회 차단 ( 현재 시도되는 대부분의 shellcode를 차단 )

- Bottom-up randomization:

힙, 스택, 다른 메모리의 할당을 포함하여 기본주소를 랜덤화하는 기능

시스템 보호 설정 프로파일

- Maximum Security Settings: 최고수준의 보호

- Recommended Security Settings: 권장수준의 보호

- Custom Settings: 일반

지원하는 운영체제

• Client Operating Systems
       Windows XP service pack 3 and above
       Windows Vista service pack 1 and above
       Windows 7 all service packs
• Server Operation Systems
       Windows Server 2003 service pack 1 and above
       Windows Server 2008 all service packs
       Windows Server 2008 R2 all service packs

시스템별 지원하는 보안설정 구분

보안 설정 GUI

EMET는 위와 같은 기술로 공격자가 시스템의 취약성을 악용하려는 시도를 미연에 막고, 0-day를 포함하는 알려지지 않은 새로운 형태의 공격에 대응할 수 있다.

또한, EMET는 보호설정이 적용된 EMET 프로그램의 패키지를 생성할 수 있기 때문에, 이를 통한 기업내 표준화된 보호설정을 지원할 수 있을 것으로 생각된다.

하지만, 그 강력한 기능으로 인해 시스템에 자주 접근하는 응용프로그램에는 위험요소가 존재할 수 있다. 따라서, 다양한 응용프로그램을 사용하는 사용자의 경우 많은 시나리오 테스트와 커스터마이징이 필요할 것으로 생각된다.

아래에는 추가로, EMET의 User's Guide를 첨부한다.

EMET User's Guide.pdf

아래는, EMET도구에 대한 이해를 돕기위한 동영상입니다.