DB 로그 저장 계획 수립은 다음과 같은 몇가지 주요영역에 초점을 맞추어야 한다. 저장 대상 - 헤더 정보: 이벤트 타임스탬프와 관련 이벤트 IP 정보 - 몸체: 이벤트 메시지 - 분석과 요약 결과: 동향 보고 요약 신속한 검색 - 우선순위: 메시지의 중요도 또는 관련 중요성 - 날짜와 시간: 이벤트가 발생한 시점 - 생성 호스트: 이벤트를 생성한 시스템 - 메시지: 발생한 이벤트 세부 사항 보고 -> 보고서 요청 시 신속히 생성 할 수 있도록 보통 추가 보고 테이블이 필요 - 분석결과: 검토하고 조치가 필요한 흥미로운 사항이 있는 전형적인 로그 항목 모음 - 호스트탕 심각도에 따른 이벤트수: 조직 내 공격 패턴이나 문제점을 신속히 발견하는데 유용 - 시간 기반 요약 수치: 많은 조직은 공유할 일별, 주..

참고: NoSQL 기반 보안로그 수집 시스템 구현 NoSQL기반의 MapReduce를 이용한 방화벽 로그 분석 기법 전체적인 구성도 DB 모델 -> 다양한 장비에서 들어오는 다양한 타입의 로그들을 저장해야함

출처: https://nigesecurityguy.wordpress.com/2013/11/12/apt-detection-framework/#comment-2492 O APT 탐지 프레임 워크 overview O 기초 탐지 프레임 워크 O 탐지 프레임 워크 예제 O 보안 모델 프레임워크 상호작용 O 위협 분석 과정

1 ~ 10 으로 나누었으며, 저레벨은 낮은 수준의 공격 기술이고, 정교함에 따라 순위가 올라간다. 공격시작지점 1. 실수로 실행시킨 악성코드 파일 2. 감염된 정보기기(USB등 저장매체) 3. 우연한(우발적인) 웹 브라우저 기반의 사용자 익스플로잇 공격 4. 소셜 네트워크를 통한 감염 5. 서버 사이드 익스플로잇 도구 6. 사용자 기반 맞춤형 익스플로잇 7. 내부자에 의한 감염 8. 사용자 맞춤형 첨부파일 공격(악성코드를 포함한) 9. 스피어 피싱, 피싱, 수평피싱(사원이 사원을 공격), 수직피싱(부하직원이 상사를 대상으로 공격) 10. 지능형 타깃 공격(이메일) 공격 규모 1. 일반 사원의 시스템 2. 팀장의 시스템 3. 네트워크 관리자의 시스템 4. 네트워크 관문 시스템 (DMZ, 웹 서버) 5. ..

사례 이름 목표 타임 라인 자원 위험 수준 기술과 방법 공격 패턴 공격시작 지점 공격 규모 정보 수집 문라이트 매즈 첩보 활동 2년 넘게 시스템에 접근 다년간 코드, 기반시설 개발, 운영 알 수 없음 알 수 없음 타깃형 공격과 국외정보 습득 알 수 없음 알 수 없음 정보 수집 불가 스타카토 호기심 많은 해커가 사이버 범죄자로 전락 다양한 시간대에 활동 알 수 없음 알 수 없음 리눅스 커널에 대한 높은 지식과 라우터 프로그래밍 스킬 수많은 네트워크를 해킹하고 데이터를 훔침 알 수 없음 수백 대의 시스템과 다수의 대형 네트워크 공격 온라인 포럼 타이탄 레인 스파이 활동 신중하고 정확함 다년간에 걸친 코드 개발과 기반시설 확보, 운영 획득한 정보에 따라 달라짐 단순한 방법에서 정교한 방법까지 다양함 중요하고 ..

1. 어떻게 공격 스크립트를 실행할 것인가? 2. 어떤 언어로 작성되어 있는가? 3. 컴파일해야 하는가? 4. 추가로 필요한 라이브러리는 없는가? 5. 스크립트를 구동하는 특수한 조건은 없는가? 6. 어떤 윈도우나 리눅스 버전이 필요한가? 7. DEP를 사용하는가 , 아니면 ASLR을 사용하는가? 8. EIP 주소나 다른 레지스터, 패딩 값을 특정 버전에서만 작동하도록 만들었는가? 9. 직접 수정할 필요가 있는가? 10. 공격을 수행하면 대상 서비스를 종료하는가? 11. 호스트를 함락할 수 있는 기회가 여러번인가, 아니면 한 번에 성공해야 하는가? (한 번에 성공해야 한다면, 미리 고객과 준비를 하거나 실험용 시스템을 마련 해야 한다.) Exploit-DB -> 알려진 취약점을 모아 놓은 DB이다. 이곳..

1. 사용할 취약점 공격 코드나 모듈을 선택한다. 2. 선택한 모듈의 옵션을 설정한다. - set 명령을 사용하여 모듈 설정에 값을 입력한다. - 공격 대상 호스트의 IP주소와 포트번호를 입력한다. - 공격자의 IP 주소와 포트번호를 입력한다. - 가능하면 대상의 시스템 버전, 사용자 계정, 기타 정보를 입력한다. - show options 명령으로 필요한 옵션을 출력한다. 3. 페이로드를 설정한다. - 페이로드는 대상 호스트의 취약점을 공격한 후 어떤 일이 일어날지 결정한다. - 페이로드 종류 상세 설명 페이지 https://www.offensive-security.com/metasploit-unleashed/payload-types/ - show payload 명령으로 사용 가능한 페이로드를 출력한다..

1. 네트워크 프록시를 설정한다. 2. Burp Suite 서버를 실행한다. 3. 웹 애플리케이션에 스파이더(웹 크롤러)를 실행한다. 4. 내용물을 탐색한다. 5. 액티브 스캔을 한다. 6. 취약점을 공격한다. Burp Suite 작동원리: 웹 브라우저와 서버 사이에 작은 프록시 서버를 끼워 넣어 모든 연결을 Burp Suite로 분석 할 수 있도록 하는 것이다. 1. java -jar burp~ 를 통해 burp 실행 2. 프록시 설정 3. 스파이더 실행

1. Nexpose / Nessus를 이용한 스캐닝 2. Nmap을 이용한 스캐닝 3. 커스텀 Nmap 명령을 이용한 스캐닝 4. Peeping Tom을 이용한 스크린 캡처 Nmap 실습 --script : 설치 과정에서 다운로드한 banner-plus 스크립트의 경로이다. --min-rate: 스캔의 시간 제한을 말한다. --min-parllelism: 프로브 패킷의 수치를 설정하여 스캐닝을 가속화한다. -p1-65535: 65,535개의 포트를 모두 스캔하라는 명령이다. -n: DNS의 해상도 설정을 해제한다. -Pn: 핑을 날리지 않는다. -PS: TCP SYN 핑을 보낸다. -oA: 모든 종류의 보고서를 작성한다. Peepingtom 실습 1. cat report.gnmap ~~~~ > http_..

https://www.securepla.net/download/password_check.txt https://www.securepla.net/download/foundpw.csv 위 두사이트는 야후의 계정 유출 정보를 토대로 스크립트화 시켜 비교를 통해 패스워드를 찾아내는 방식이다. #!/usr/bin/env python #Quick Script to Check for Password Hash/Hint Matches #Combined list hint+passwords from: #http://stricture-group.com/files/adobe-top100.txt #http://web.mit.edu/zyan/Public/adobe_sanitized_passwords_with_bad_hints.tx..