안녕하세요 오늘은 재수 끝 합격한 CISA 합격 후기를 공유하고자 합니다 :)주관적인 느낀점이니 참고 하시길 바랍니다.추후에 내용을 정리에서 업로드할 예정입니다.1. 공부방법- 공부기간기본지식: 정처기 + 보안관제 1년차9개월 ( 순공부는 거의 4개월정도 했습니다)9개월간 강제성이 없다보니 놀면서 했습니다..제가 생각하는 공부기간은 3-4개월이 적당하다고 느꼈습니다.- 공부교재 L사 온라인 정규강의 + L사 온라인 문제풀이 강의 + L사 1500제 + 2019 CISA 1000 문제집, CISA Review Questions, Answers & Explanations Manual 12th Edition(한글판) CISA 리뷰 퀘스천 문제 유형이 L사와 다른점이 있어서 실전에서 도움이 크게 되었습니다.이그..

소개안녕하세요 오늘은 IT 기초용어에 대해 쉽게 이해할수 있도록 간단하게 알아보도록 하겠습니다. 웹브라우저- 웹을 보는 도구, 즉 인터넷에서 웹서버의 모든 정보를 볼 수 있도록 문서 검색을 도와주는 응용 프로그램.즉,사용자가 선택한 자원을 서버에 요청하고 브라우저에 표시하는 것,ex) 크롬, 네이버 웨일, 사파리  서버service + er = server 서비스를 제공하는 자홀서빙을 연상시키면 더 이해하기 쉬움※ 실제로 클럽에서 술을 서빙하는 직원을 서버라고도 한답니다. 클라이언트서비스를 제공받는 사람, 고객 IPip: 웹사이트의 고유(진짜) 주소※ 아파트로 예를 들면 단순한 건물 이름이 아닌 실제 주소를 뜻함 DNSDNS (Domain Name Service) - 도메인 네임을 제공하는 서버Domai..

Snort - 오픈소스 시그니처 기반 네트워크 침입탐지 시스템(IDS/IPS) - 프로토콜 분석, 콘텐츠 검색, 웜, 취약점 공격, 포트 스캔, 버퍼 오버플로우 등 다양한 공격을 탐지 - 네트워크 패킷을 수집(스니핑)해서 지정한 Rule과 동일한 패킷을 탐지한다. Snort 기능 1. Packet Sniffer Mode 패킷 스니퍼 모드 - 네트워크 패킷을 읽고 콘솔에 보여줄 수 있다. 2. Packet Logger Mode 패킷 로거 모드 - 패킷을 디스크에 기록한다. 3. NIDS (Network IDS) Mode / NIPS (Network IPS) Mode - 공격을 탐지하기 위한 패턴을 만들고 네트워크 트래픽 등이 탐지되는지 분석한다 Snort Rule 시그니처(Signiture) - 룰 헤더(..

※주의사항! : 샘플이여도 악성코드이기 때문에 반드시 가상환경에서 실행해야 한다. 1. MalwareBazaar (https://bazaar.abuse.ch/) 무료 악성샘플 사이트로 별도의 로그인이나 라이선스 없이 누구나 이용이 가능하다 [MalwareBazaar database] 누르면 악성샘플 목록을 조회할 수 있다 타입이나 태그 등 내가 원하는 설정으로도 조회가 가능하다 원하는 샘플을 찾은 후 맨 오른쪽에 있는 버튼을 클릭하여 다운로드한다 해당 악성 샘플의 해시값, 파일크기, 발견시기 등 자세한 정보를 알 수 있다. 다운로드하면 압축파일로 생성된다 2. VirusShare (https://virusshare.com/) VirusShare 사이트는 로그인이 필요하다 해당 메일에 권한 요청메시지를 보..

윈도우와 가상환경에서 공유폴더 만드는법 폴더생성-해당 폴더 속성- 고급 공유-권한-모든권한 허용 Virtual Machine Settings-Options--Always enabled-add VMware 환경 구성 고급 공유 설정 관리 - [파일 및 프린터 공유 켜기] 체크 - 변경 내용 저장 네트워크 드라이브 연결 - [동적분석도구] 폴더 클릭 - [로그온할 때 다시 연결] 체크 후 마침

가상 머신(Virtual Machine) - 물리적 하드웨어 시스템에 구축되어 자체 CPU, 메모리, 네트워크 인터페이스 및 스토리지를 갖추고 가상 컴퓨터 시스템으로 작동하는 가상 환경 - 호스트 운영체제와 분리되어 있기 때문에 악성코드 분석을 안전하게 할 수 있다. 스냅샷 - 세이브 포인트를 저장하여 사용자가 원할 때 언제든지 저장한 상태로 돌아갈 수 있다 - 데이터 백업이 가능하기 때문에 악성코드 동적 분석 시 유용하다. 스냅샷하는 법 VM-SnapShot-TakeSnapshot 클릭 이름과 설명을 적은 후 Take SnapShot을 눌러 저장 ex) 가상환경 구성했을 때로 돌아가고 싶을 때 가상환경 구성 클릭 - Go To 클릭 -> 가상환경 구성 상태로 복원, 단, 스냅샷을 복원하면 현재 진행중인..

동적 분석 - 악성코드 의심 파일을 직접 실행하여 실행 전후를 모니터링하며, 변화를 확인한다. 특징 - 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행하는 것을 권장 - 악성코드 행위의 특징과 규칙성, 놓친 부분 등을 알기 위해선 여러번 실행하여 확인하는 것이 중요하다 동적 분석 방법 1. 프로세스 모니터링 -악성코드를 실행시킨 뒤 프로세스의 변화를 살펴본다 -> 악성코드의 동작 추측 가능 2. 파일 모니터링 - 악성코드는 파일을 생성, 변조, 삭제 등 파일의 변화를 모니터링 하는 것이다. => 만약 모니터링을 통해 많은 파일이 변하는 것을 확인한다면 감염을 의심을 해봐야 한다. 3. 레지스트리 모니터링 - 악성코드는 윈도우 설정을 변경하여 원하는 동작을 수행한다. => 이러한 변경 정보를..

정적 분석이란? - 악성코드로 의심되는 파일을 실행하지 않고 파일 자체의(ex.소스코드) 속성을 분석하는 방식 - 동적분석에 비해 쉽고 빠르게 분석 가능 정적분석 방법 1. 파일 종류 판별 악성코드는 파일 종류를 감추기 위해 다른 확장자를 사용함. => 파일의 종류 별로 자신만의 고유한 시그니처를 가지고 있기 때문에 시그니처를 확인을 통해 파일의 종류를 파악할 수 있다. 2. 파일 구조 파악 exe, sys, dll 등의 확장자를 가진 파일들은 PE 파일 구조를 가지고 있음. => PE 구조 확인을 통해(코드에 관한 정보, 애플리케이션의 유형 등) 파일의 구조를 확인하여 악성코드 감염 여부를 확인해야 함. 3. 패킹(실행 파일 압축) 여부 확인 악성코드를 패킹한 뒤 배포한다 => 도구를 통해 언패킹하여 ..

VirusTotal 정의 - 악성코드 분석 시 활용하는 온라인 분석 사이트 - 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스 악성코드 분석 과정 대표적으로 기초 분석 - 정적 분석 - 동적 분석이다. 기초 분석 결과를 토대로 정적 분석과 동적 분석을 진행한다. 기초분석을 할 때 주로 VirusTotal을 이용한다 VirusTotal 특징 - 무료이며, 독립된 서비스이다. - 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다. - 바이러스 정의를 실시간으로 자동 업데이트를 한다. - 어떤 바이러스에 걸렸는지 알려준다. - 실시간으로 전세계적인 통계를 만들어 낸다. VirusTotal 사용법 VirusTotal..

보안관제 -다양한 IT자원을 해킹, 바이러스 등과 같은 사이버 공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행. -각종 보안 이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무 보안관제 3원칙 1. 무중단의 원칙 - 사이버 공격은 시간과 장소에 상관없이 수시로 발생하기 때문에 24시간 365일 중단 없이 수행해야 함. 2. 전문성의 원칙 - IT와 보안에 관련된 전문 지식과 경험, 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함 3. 정보 공유의 원칙 - 특정 공격행위를 막아도 타 기관에서 같은 공격으로 인한 피해가 발생할 수 있으므로 침해사고를 탐지 및 차단하기위해 정보가 공유되어야 한다. -> 관계 법령에 위배되지 않는 범위에서..