Snort - 오픈소스 시그니처 기반 네트워크 침입탐지 시스템(IDS/IPS) - 프로토콜 분석, 콘텐츠 검색, 웜, 취약점 공격, 포트 스캔, 버퍼 오버플로우 등 다양한 공격을 탐지 - 네트워크 패킷을 수집(스니핑)해서 지정한 Rule과 동일한 패킷을 탐지한다. Snort 기능 1. Packet Sniffer Mode 패킷 스니퍼 모드 - 네트워크 패킷을 읽고 콘솔에 보여줄 수 있다. 2. Packet Logger Mode 패킷 로거 모드 - 패킷을 디스크에 기록한다. 3. NIDS (Network IDS) Mode / NIPS (Network IPS) Mode - 공격을 탐지하기 위한 패턴을 만들고 네트워크 트래픽 등이 탐지되는지 분석한다 Snort Rule 시그니처(Signiture) - 룰 헤더(..

동적 분석 - 악성코드 의심 파일을 직접 실행하여 실행 전후를 모니터링하며, 변화를 확인한다. 특징 - 악성 행위를 할 수 있으므로, 가상 환경에서 동적 분석을 수행하는 것을 권장 - 악성코드 행위의 특징과 규칙성, 놓친 부분 등을 알기 위해선 여러번 실행하여 확인하는 것이 중요하다 동적 분석 방법 1. 프로세스 모니터링 -악성코드를 실행시킨 뒤 프로세스의 변화를 살펴본다 -> 악성코드의 동작 추측 가능 2. 파일 모니터링 - 악성코드는 파일을 생성, 변조, 삭제 등 파일의 변화를 모니터링 하는 것이다. => 만약 모니터링을 통해 많은 파일이 변하는 것을 확인한다면 감염을 의심을 해봐야 한다. 3. 레지스트리 모니터링 - 악성코드는 윈도우 설정을 변경하여 원하는 동작을 수행한다. => 이러한 변경 정보를..

정적 분석이란? - 악성코드로 의심되는 파일을 실행하지 않고 파일 자체의(ex.소스코드) 속성을 분석하는 방식 - 동적분석에 비해 쉽고 빠르게 분석 가능 정적분석 방법 1. 파일 종류 판별 악성코드는 파일 종류를 감추기 위해 다른 확장자를 사용함. => 파일의 종류 별로 자신만의 고유한 시그니처를 가지고 있기 때문에 시그니처를 확인을 통해 파일의 종류를 파악할 수 있다. 2. 파일 구조 파악 exe, sys, dll 등의 확장자를 가진 파일들은 PE 파일 구조를 가지고 있음. => PE 구조 확인을 통해(코드에 관한 정보, 애플리케이션의 유형 등) 파일의 구조를 확인하여 악성코드 감염 여부를 확인해야 함. 3. 패킹(실행 파일 압축) 여부 확인 악성코드를 패킹한 뒤 배포한다 => 도구를 통해 언패킹하여 ..

VirusTotal 정의 - 악성코드 분석 시 활용하는 온라인 분석 사이트 - 바이러스, 웜, 트로이 목마 등 악의적인 소프트웨어를 여러 회사의 안티바이러스 엔진으로 쉽게 찾아낼 수 있게 도와주는 서비스 악성코드 분석 과정 대표적으로 기초 분석 - 정적 분석 - 동적 분석이다. 기초 분석 결과를 토대로 정적 분석과 동적 분석을 진행한다. 기초분석을 할 때 주로 VirusTotal을 이용한다 VirusTotal 특징 - 무료이며, 독립된 서비스이다. - 60~70 여 개의 악성 코드 검사 엔진을 통해 바이러스 검사를 한다. - 바이러스 정의를 실시간으로 자동 업데이트를 한다. - 어떤 바이러스에 걸렸는지 알려준다. - 실시간으로 전세계적인 통계를 만들어 낸다. VirusTotal 사용법 VirusTotal..

보안관제 -다양한 IT자원을 해킹, 바이러스 등과 같은 사이버 공격으로부터 보호하기 위해 24시간 365일 실시간으로 모니터링을 수행. -각종 보안 이벤트 및 시스템 로그 등을 분석하여 발생되는 문제에 대해 기술 및 정책적으로 대응하는 업무 보안관제 3원칙 1. 무중단의 원칙 - 사이버 공격은 시간과 장소에 상관없이 수시로 발생하기 때문에 24시간 365일 중단 없이 수행해야 함. 2. 전문성의 원칙 - IT와 보안에 관련된 전문 지식과 경험, 기술력을 갖춘 보안 관제 인력과 첨단 시설을 갖추어야 함 3. 정보 공유의 원칙 - 특정 공격행위를 막아도 타 기관에서 같은 공격으로 인한 피해가 발생할 수 있으므로 침해사고를 탐지 및 차단하기위해 정보가 공유되어야 한다. -> 관계 법령에 위배되지 않는 범위에서..

악성코드란? - 의도적으로 사용자에게 피해를 주고자 만든 악의적인 프로그램 목적 - 기밀자료 탈취, 개인정보 수집, 신분 절도, 금전적 요구, 공고 노출 및 홍보 등 악성코드 유형 1. 바이러스 ( Virus ) - 다양한 감염경로(다운로드, 네트워크의 공유 폴더 이메일 등)로 컴퓨터에 침입하여 실행 가능한 파일이나 문서 파일 내에 복제되어 기생 - 감염된 파일의 실행이나 오픈 시 -> 바이러스가 활동하여 컴퓨터에 악의적인 피해를 입혀 다른 파일을 못쓰게 만들거나 다른 파일을 복제하여 감염시킴 특징 - 자기와 동일한 것을 복제하여 증식 - 스스로 복제x 예방 - 백신 소프트웨어를 활성화하고 주기적으로 업데이트 - 윈도우 보안 업데이트 - 정품 소프트웨어 사용 - 확실하지 않고 의심가는 이메일 또는 사이트..

정탐 vs 오탐 vs 미탐 보고 (정상 패킷) 보고안함 (비정상 패킷) 오류 (정상 탐지) True Positive (긍정적 사실 - 정탐) False Negatvie(부정적 오류 - 미탐) 오류 아님 (비정상 탐지) False Positive(긍정적 오류 - 오탐) True Negatvie(부정적 사실 - 정탐) 1. 정탐 : 정상적인 탐지 - True Positive (TP) 긍정적 사실 - True Negative (TN) 부정적 사실 - 긍정적 혹은 부정적 둘 다 사실대로 탐지했기 때문에 정탐이다. ex) 일반 메일이 일반 메일함으로 들어오는 것 -> 긍정적 사실 (TP) 스팸 메일이 스팸 메일함으로 가는 것 -> 부정적인 사실 (TN) => TP와 TN 둘 다 일반메일과 스팸 메일을 잘 구분 했..

방화벽(Firwall) 외부 네트워크(악의적인 해커, 공격자 등)로부터 내부 네트워크 혹은 내부자산(PC, 서버, DB 등)을 보호하는 보안장비 IP와 port number를 바탕으로 허용 차단을 결정 방화벽의 주요기능(장점) 1. 접근통제(Access Control) 패킷 필터링을 통해 외부에서 내부 네트워크로의 접근을 제어하는 기능 ※ 패킷 필터링: IP 주소, 포트 등을 검사하여 내부 및 외부 네트워크 간의 접근을 제어하는 과정 2. 인증(Authentication) 메시지 인증: 신뢰할 수 있는 통신 경로(ex: VPN)를 통해 전송되는 메시지의 신뢰성을 보장하는 기능 사용자 인증: 방화벽을 통과하는 트래픽에 대해 사용자가 누구인지를 확인하는 기능. ex) 일회용 비밀번호(OTP), 토큰 기반 인..

프로토콜 컴퓨터와 컴퓨터 사이, 또는 한 장치와 다른 장치 사이에서 데이터를 원활히 주고받기 위하여 약속한 통신 규약 1. 물리계층 = 일반적인 장비 (케이블 등) RS-232 전송을 위한 직렬 인터페이스 유효거리15m X.25는 패킷교환망. X.21은 회선교환망에 대한액세스 표준. 2. 데이터링크 계층 Ethernet 비연결성모드. 전송속도 10Mbps이상LAN구현 방식을 말함. 비동기식 직렬 통신. ARP (Address Resolution Protocol) IP 네트워크상에서 IP주소를 MAC(물리 주소)로 변환하는 프로토콜 RARP (Reverse Address Resolution Protocol) MAC주소를 IP주소로변환하는 역순 주소 결정 프로토콜 HDLC (High-level Data-Li..

더미 허브(Dummy Hub) - 컴퓨터와 컴퓨터를 연결시켜주는일반적인 기능을 하는 허브 - 더미 허브는 허브에 전달되는 데이터를 모든 컴퓨터로 전달함 - 이 때, 허브에 연결된 다른 컴퓨터들은 통신할 수 없고, 데이터 전송이 끝날 때 까지 기다려야 함 ->전체적인 네트워크 속도가 떨어짐 스위칭 허브(Switching Hub) - 허브에 연결된 모든 컴퓨터로 데이터를 전송하는 더미 허브의 단점을 개선한 허브 - 데이터를 연결된 모든 컴퓨터로 전송하지 않고, 순간순간 포트를 스위칭해서 목적지에만 전달 - 각 포트마다 전용 할당이 가능ü연결된 장치 수량에 영향을 받지 아니하며 속도가 떨어지지 않고 사용이 가능한 장치 인텔리전트 허브(Intelligent Hub) - 더미 허브(Dummy Hub)에서 NMS(..