Unique Life

출처:시스템 로그 분석 -안정철

침입자 탐지 체크 리스트 10

1. last 로그, 프로세스 기록, syslog에 의해 생성된 모든 로그 파일 및 보안 로그 등을 조사

-> 평소 접속하지 않거나 외부 IP에서 연결을 한 경우, 혹 특이한 작업을 한 경우에 해당하는 모든 로그 파일을 조사.

2. 침입을 당한 시스템에 있는 setuid와 setgid 파일을 모두 찾아본다 (특히, setuid root 파일)

-> 나중에 재침입을 위해 침입자들은 setuid 설정이 된 /bin/sh나 /bin/time 등과 같은 복사본을 만들어 놓는 경우가 많다. 이러한 파일은 찾아서 삭제해야만 한다.

검생 명령어

find / -user root -perm -4000 -print find / - group kmem -perm -2000 -print

or

ncheck -s /dev/rsd0g

3. 침입을 당한 시스템의 바이너리 파일이 변경되었는지 여부를 확인한다.

4. 네트워크 모니터링 프로그램이 불법적으로 이용된 시스템이 있는지 확인한다.

5. cron과 at에 의해 실행되는 모든 파일을 조사한다.

6. 불법적인 서비스가 없는지 확인한다.

-> /etc/inetd.conf 에 불법적으로 어떤 서비스가 추가 되었거나 변경되었는지 조사한다.

7. /etc/passwd 파일이 변경되었는지 여부를 확인한다.

8. 네트워크 conf 파일에 불법적인 내용이 들어가 있는지 확인한다.

-> /etc/hosts 등

9. 시스템에 침입자가 사용할 만한 프로그램이나 히든파일이 있는지 확인한다.

-> find / -name ".." -print -xdev   find /-name ".*" -print -xdev | cat -v

10. 로컬 네트워크 상에 있는 모든 시스템을 함께 조사한다.

출처: 보안관제학

해킹 메일의 유형 및 탐지 방법

1. 최신 이슈를 가장한 스팸성 메일 제목 및 내용

-> 메일 제목은 사용자들을 현혹하는 문구가 포함

-> 내용에는 메일 수신자들로 하여금 메일에 포함된 링크를 클릭하도록 유도

2. 해킹 경유지에 설치된 악성코드

-> 메일에 포함된 악성 문서를 실행시킬 경우 해킹 경유지에 설치된 악성 코드가 원격에서 실행되어 중요 자료 및 정보가 유출

3. 상용 웹 메일을 이용한 해킹 메일 발송

-> 구굴, 다음, 네이버 등의 사용 웹 메일 서버를 이용하여 절취 및 정보 유출이 가능한 해킹 메일을 발송하는 경우로 해킹 이메일을 발송하는 특정 IP를 대상으로 집중적으로 감시해야함

4. 해킹 메일의 첨부 파일 실행 후 추가 해킹 프로그램 다운로드

-> 메일에 포함된 악성 문서를 실행시킬 경우 추가적으로 해킹 프로그램을 다운로드 하게 함

5. 감염 후 해커에게 감염 신호 송출

-> 파일을 열람하게 되어 감염되게 되면, 감염 신호를 송충하게 된다. 이때, POST /<년월일>/<시분초>/<랜덤숫자>.jsp 및 해커 경유지에서 응답 패킷을 전송하게 되며 또한 감염 PC에서 컴퓨터 이름 등 PC정보를 전송

탐지 할 부분

1. 감염 신호 전송

2. 악성 코드 다운로드

3. 내부 자료 유출

4. 메일 내 첨부 파일 선 확인

DDOS 공격 차단 방법

1. URL 차단   

-> 과도한 DNS query 패킷 발생에 의한 DNS 기능 마비 방지

-> 특정 URL로 발생되는 DDOS 패킷 차단

1) DNS 싱크홀

-> 차단하고자 하는 특정 URL에 대해 loopback IP(127.0.0.1)를 선언하거나 임의의 서버 IP를 설정

BotNetSinkHole.pdf

2) L7 스위치

-> DNS 앞단에서 특정 URL에 대한 DNS query 패킷을 차단 설정

2. IP 차단

-> DDOS 공격 IP를 차단하여 네트워크 보호

DDOS 차단기술.pdf

1) Blackhole 처리

2) ACL 처리

3) uRPF

4) CAR

5) PBR

3. Port, Protocol 차단

-> DDOS 공격하는 특정 포트, 프로토콜등을 차단하여 네트워크 보호

1) L7 스위치

2) ACL 처리

Arcsight SIEM 활용 방안

1. 비인가 접속 모니터링

-> DBA나 관리자 , 계약자 및 퇴직자와 같이 위험이 높은 사용자를 SIEM를 통해 모니터링

2. 역할 위반

-> 모니터링 및 사용자의 역할 또는 부서 외부 시스템 접근에 보고하고, 신분관리(IDM)를 통해 역할과 권한을 확정하여 응용 프로그램에 저장

3. 권한 있는 계정의 활동

-> 권한을 가진 계정의 사용을 모니터링

4. 임원 대시보드

-> 위험한 사용자의 캡처 및 위험한 부서로 그들을 집계한다.

5. 봇넷, 웜, 바이러스 공격 탐지

-> 행봉 분석을 통한 탐지

제우스 => 200개가 넘는 명령 제어 C&C 서버의 활동을 한 번에 검색할 수 있는 IP 리스트를 지원

스팸도메인 => JoeWein.de

취약점 조기 경고 => iDefense, DeepSight

의심스러운 IP 블랙리스트 => www.snans.org

활성화 된 명령 제어 C&C 서버 => mtc.sri.com