출처:시스템 로그 분석 -안정철 침입자 탐지 체크 리스트 10 1. last 로그, 프로세스 기록, syslog에 의해 생성된 모든 로그 파일 및 보안 로그 등을 조사 -> 평소 접속하지 않거나 외부 IP에서 연결을 한 경우, 혹 특이한 작업을 한 경우에 해당하는 모든 로그 파일을 조사. 2. 침입을 당한 시스템에 있는 setuid와 setgid 파일을 모두 찾아본다 (특히, setuid root 파일) -> 나중에 재침입을 위해 침입자들은 setuid 설정이 된 /bin/sh나 /bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 이러한 파일은 찾아서 삭제해야만 한다. 검생 명령어 find / -user root -perm -4000 -print find / - group kmem -perm..

출처: 보안관제학 해킹 메일의 유형 및 탐지 방법 1. 최신 이슈를 가장한 스팸성 메일 제목 및 내용 -> 메일 제목은 사용자들을 현혹하는 문구가 포함 -> 내용에는 메일 수신자들로 하여금 메일에 포함된 링크를 클릭하도록 유도 2. 해킹 경유지에 설치된 악성코드 -> 메일에 포함된 악성 문서를 실행시킬 경우 해킹 경유지에 설치된 악성 코드가 원격에서 실행되어 중요 자료 및 정보가 유출 3. 상용 웹 메일을 이용한 해킹 메일 발송 -> 구굴, 다음, 네이버 등의 사용 웹 메일 서버를 이용하여 절취 및 정보 유출이 가능한 해킹 메일을 발송하는 경우로 해킹 이메일을 발송하는 특정 IP를 대상으로 집중적으로 감시해야함 4. 해킹 메일의 첨부 파일 실행 후 추가 해킹 프로그램 다운로드 -> 메일에 포함된 악성 문..

DDOS 공격 차단 방법 1. URL 차단 -> 과도한 DNS query 패킷 발생에 의한 DNS 기능 마비 방지 -> 특정 URL로 발생되는 DDOS 패킷 차단 1) DNS 싱크홀 -> 차단하고자 하는 특정 URL에 대해 loopback IP(127.0.0.1)를 선언하거나 임의의 서버 IP를 설정 2) L7 스위치 -> DNS 앞단에서 특정 URL에 대한 DNS query 패킷을 차단 설정 2. IP 차단 -> DDOS 공격 IP를 차단하여 네트워크 보호 1) Blackhole 처리 2) ACL 처리 3) uRPF 4) CAR 5) PBR 3. Port, Protocol 차단 -> DDOS 공격하는 특정 포트, 프로토콜등을 차단하여 네트워크 보호 1) L7 스위치 2) ACL 처리

Arcsight SIEM 활용 방안 1. 비인가 접속 모니터링 -> DBA나 관리자 , 계약자 및 퇴직자와 같이 위험이 높은 사용자를 SIEM를 통해 모니터링 2. 역할 위반 -> 모니터링 및 사용자의 역할 또는 부서 외부 시스템 접근에 보고하고, 신분관리(IDM)를 통해 역할과 권한을 확정하여 응용 프로그램에 저장 3. 권한 있는 계정의 활동 -> 권한을 가진 계정의 사용을 모니터링 4. 임원 대시보드 -> 위험한 사용자의 캡처 및 위험한 부서로 그들을 집계한다. 5. 봇넷, 웜, 바이러스 공격 탐지 -> 행봉 분석을 통한 탐지 제우스 => 200개가 넘는 명령 제어 C&C 서버의 활동을 한 번에 검색할 수 있는 IP 리스트를 지원 스팸도메인 => JoeWein.de 취약점 조기 경고 => iDefen..

출처: 해킹사고의 재구성 - 최상용 1. 위 변조 사고 o 입력 값 검증에 관련된 공격 방법 - SQL 인젝션 - 웹셀 업로드 - XSS 및 CSRF 관련 공격 o 설정 오류에 관련된 공격 방법 - PUT 메소드 - 터미널 서비스, RPC, 텔넷, FTP등 원격 접근 공격 - 취약한 ID/패스워드를 유추하는 공격 위 변조 사고의 경우 육안상 나타나는 증상 1) 관리자만이 쓰기가 가능한 게시판의 게시물이 추가/변경/삭제 2) 관리자가 생성하지 않은 파일이 생성되어 있으며, 소스파일 중 특정 파일의 M-time이 변경되어 있음 3) 피싱 페이지 등 홈페이지 내 관리자가 추가하지 않은 페이지가 생성되어 있음 4) 로그 변경, 허가 받지 않은 포트 오픈, 서비스 및 프로세스 실행 5) 특정 게시물을 클릭할 때마..

출처:http://elven.kr/archives/649 개인정보 유출사고에 대해 각종 언론과 미디어 매체를 통해 많이 접해보셨을 것입니다. 2010년부터 대량의 유출사고가 빈번히 발생하고 있으며, 안전하다고 여겨졌던 금융권 역시 내부 직원에 의해 개인정보가 유출되면서 큰 혼란이 야기되었습니다. 개인정보 유출사고가 끊이지 않는 가장 큰 이유는 해당 정보를 이용한 거래 시장이 활성화되고 있기 때문입니다. 스팸·보이스피싱·텔레마케팅 등에서 개인정보가 차지하는 비중이 높다보니 자연스럽게 이를 사고 파는 불법 유통 비즈니스가 활성화 되었으며, 이는 곧 판매자로 하여금 더 많은 자원을 확보하기 위한 목적으로 수많은 개인정보 유출사고를 발생시키고 있습니다. 또한 시스템의 개인정보를 탈취하는 과정에 있어, 이전처럼 ..

출처: 한국 인터넷 진흥원

출처: https://nigesecurityguy.wordpress.com/2013/11/12/apt-detection-framework/#comment-2492 O APT 탐지 프레임 워크 overview O 기초 탐지 프레임 워크 O 탐지 프레임 워크 예제 O 보안 모델 프레임워크 상호작용 O 위협 분석 과정

1 ~ 10 으로 나누었으며, 저레벨은 낮은 수준의 공격 기술이고, 정교함에 따라 순위가 올라간다. 공격시작지점 1. 실수로 실행시킨 악성코드 파일 2. 감염된 정보기기(USB등 저장매체) 3. 우연한(우발적인) 웹 브라우저 기반의 사용자 익스플로잇 공격 4. 소셜 네트워크를 통한 감염 5. 서버 사이드 익스플로잇 도구 6. 사용자 기반 맞춤형 익스플로잇 7. 내부자에 의한 감염 8. 사용자 맞춤형 첨부파일 공격(악성코드를 포함한) 9. 스피어 피싱, 피싱, 수평피싱(사원이 사원을 공격), 수직피싱(부하직원이 상사를 대상으로 공격) 10. 지능형 타깃 공격(이메일) 공격 규모 1. 일반 사원의 시스템 2. 팀장의 시스템 3. 네트워크 관리자의 시스템 4. 네트워크 관문 시스템 (DMZ, 웹 서버) 5. ..

사례 이름 목표 타임 라인 자원 위험 수준 기술과 방법 공격 패턴 공격시작 지점 공격 규모 정보 수집 문라이트 매즈 첩보 활동 2년 넘게 시스템에 접근 다년간 코드, 기반시설 개발, 운영 알 수 없음 알 수 없음 타깃형 공격과 국외정보 습득 알 수 없음 알 수 없음 정보 수집 불가 스타카토 호기심 많은 해커가 사이버 범죄자로 전락 다양한 시간대에 활동 알 수 없음 알 수 없음 리눅스 커널에 대한 높은 지식과 라우터 프로그래밍 스킬 수많은 네트워크를 해킹하고 데이터를 훔침 알 수 없음 수백 대의 시스템과 다수의 대형 네트워크 공격 온라인 포럼 타이탄 레인 스파이 활동 신중하고 정확함 다년간에 걸친 코드 개발과 기반시설 확보, 운영 획득한 정보에 따라 달라짐 단순한 방법에서 정교한 방법까지 다양함 중요하고 ..