보안관제 실무 중간고사 시험정리 100%

텍스트 파일 또한 첨부한다.

20160414-보안실무.txt

정리한것중에서 거의다 나왔다.

RAT, 봇, http get flooding, ddos와cdos 차이점, 보안관제 단계, 모니터링하는거, dns구축 등등..

내가 아마 트로잔이랑 RAT이랑 동작원리를 헷갈려서 거꾸로 적었을 것이다ㅋㅋ 망했네

나온거는 빨간색으로 표시를 해두었으니 참고하면 좋다.

DNS 설정

타겟 ync.ac.kr

대피소IP 200.200.200.200, 210.200.200.200

www 별칭은 임의 설정 (별칭은 상관이 없음)

dns 설정전

www in a 1.1.1.1

dns 설정후

www in ns a.www.ync.ac.kr

www in ns b.www.ync.ac.kr

a.www.ync.ac.kr in A 200.200.200.200

b.www.ync.ac.kr in A 210.200.200.200

DDOS 와 CDOS 차이점

DDOS는 여러 대의 공격자를 분산적으로 배치하여 동시에 서비스 거부 공격을 수행하여 수많은 접속 시도를 만들어 시스템 자원을 부족하게 만든다.

CDOS는 타겟이 좀비PC로 여러개의 패킷을 보내는 방식.

	DDOS	CDOS
공격 방향	좀비 → 타겟	타겟 → 좀비
1:1비율 공격량	1	50
좀비 사용량	100%	30%

HTTP GET FLOODING

- 특정 웹페이지를 반복적으로 요청함으로 써 웹 서버와 데이터베이스 서버의 CPU 및 연결 자원의 고갈을 유발시키는 공격

공격 발생 후

- netstat 명령을 통하면 다수의 TCP 세션 상태 확인

- 상태코드 414 로그가 다량 발생

- 단시간 내 동일한 IP로부터 여러 건의 로그 발생

대응방안

- L4 라우터에서 트래픽 임계치 설정

- L7 라우터에서 요청 횟수 임계치 설정

- 예비 서버에 URL Redirection 적용

CC ATTACK

- 공격자가 HTTP 헤더의 User-agent 필드의 Cache-Control 옵션에

  'no-cache, no-store, must-revalidate, max-age=0'를 설정하여 공격대상 서버의 URL을 호출하여

  웹 서버의 부하를 가중시키는 공격

공격 발생 후

- 로그를 확인하면 동일하거나 존재하지 않는 URL이 다수의 IP에서 다량 발생

- CC 공격에 해당하는 HTTP Request 문자열 패킷 발생

대응 방안

- L4 라우터에서 트래픽 임계치 설정

- L7 라우터에서 HTTP 헤더에서 CC 공격 패턴을 포함하는 경우 차단

- IPS/IDS에서 CC 공격 패턴 차단 규칙 설정

SLOWLORIS ATTACK

- 아파치 웹 서버를 대상으로 하는 공격, 정상적인 연결을 맺고 미완성된 HTTP 헤더를 전송하여

  완성된 HTTP 헤더를 위해 연결을 유지한 채 대기하게 되는데 이와 같은 다수의 연결로 인하여

  새로운 요청을 받아들일 수 없게된다.

공격 발생 후

- 로그를 확인하면 동일하거나 존재하지 않는 URL이 다수의 IP에서 다량 발생

- HTTP Request 메시지를 분석하면 "0d0a(\r\n)"으로 종료

대응 방안

- L$ 라우터에서 트래픽 임계치 설정

- 유닉스/리눅스에서 iptables 명령어를 이용하여 차단

- IPS/IDS에서 슬로우로리스 패턴 차단

- 수신 Timeout 값을 낮게 조절, mod-antiloris 설치, snort rule 적용

SLOW HTTP POST ATTACK (RUDY)

- HTTP POST 메시지 헤더의 Content-Length 필드 값을 크게 설정하여 데이터를 넓은 간격 시간에 적은 크기로 분할하여 전송

  POST 데이터 수신을 위해 연결을 계속 유지하는 대기 상태가 되며 다수의 연결로 인해 웹 서버의 부하가 가중된다.

공격 발생 후

- CPU 과부하 상태 확인

- netstat 명령을 통하면 다수의 TCP 세션 상태 확인

- 패킷을 캡처하여 Content-Length 필드 값과 전송 데이터 확인

대응방안

- 서비스별 트래픽 대역폭 제한, 사용하지 않는 서비스 차단

- L7 라우터에서 요청 횟수 임계치 설정

- 예비 서버에 URL Redirection 적용

- 웹서버의 Connection Timeout, Keepalivetimeout, RequestReadTimeout 설정

- 각 form 마다 request 최대 크기 설정

위협단계: 정상-관심-주의(16년도현재)-경계-심각

보안관제 3대원칙: 무중단, 정보공유, 전문성

보안관제의 기준: 지켜야할 자산의 가치와 유형도등의 규모

보안관제 업무프로세스 예방-탐지-분석-대응-보고

정보보호의 원칙: 기밀성, 무결성, 가용성

정보통신기반시설에 대해(기반시설 이름) -- 그림으로 외우면 더 좋음.

- 국가안보실과 연결된 국가 사이버 안전센터 (국가정보원)

- 국방부 (합동참모본부)

- 미래창조과학부 (인터넷침해대응센터)

- 중앙행정기관 (부문보안관제센터)

사이버와 관련된 법률들

정보통신기반 보호법, 전자서명법, 개인정보보호법,

정보통신망 이용촉진 및 정보보호 등에 관한 법률,

국가사이버 안정관리규정(대통령 훈령)

취약한 포트

NetBIOS : TCP/135, UDP/137, 138, TCP/139

MS SQL : TCP/1433, 1434

MS RPC : TCP/135

터미널서비스 : 3839

윈도우 원격 : TCP,UDP/3389

Kiris 모니터링: 악성코드, 웹해킹, 단순침입(스캐닝), 서비스 거부, 경유지 악용

Trojan

- adw 감염, 임의 다운로드 시 , 제휴프로그램 설치등과 함께 설치 [1차탐지-백신]

- 프로그램 업데이트 시 주기적인 외부통신으로 새로운 프로그램 다운로드 시 감염되는 것 [2차탐지]

- 다운로드 URL이 변경되어 악성코드 다운로드 및 실행 

악성봇

- 스스로 실행되지 못하고 해커의 명령(C&C)에 의해 원격에서 제어 또는 실행이 가능한 프로그램 또는 코드

봇계열 (IRCBot, AgoBot)

IRCBot

IRC 서버와 채널 형성[1차탐지]

- IRC 서버 접속 - 파일 다운로드 

- 공격 명령(MSRPC, NetBIOS 연결시도) [2차탐지]

- 타 PC 공격 및 전파 수행(TCP/135, 139, 445) [3차탐지]

AgoBot(2002년)

- 윈도우NT계열 비밀번호 없거나 취약, 공유폴더 IPS$(TCP/445) null session을 맺은 후 전파

  널 세션이란 윈도우가 설치된 네트워크의 다른 원격 컴퓨터에 ID/PW를 null로 해서 접속할 수 있게 해주는 것

- 윈도우즈 취약점, 백도어 포트

감염시 증상

- 특정 채널 형성, 방장 명령, 레지스트리 추가, 게임 시디키 수집, 특정 IP공격, 사용자 PC정보 유출

- PC CPU 점유율 100%, RPC 서비스 방해, 특정 FTP 사이트 접속

Blaster 웜(2003년)

- TCP/135 스캔(MSRPC) [1차탐지]

- 취약한 시스템 탐지 및 공격 시도

- 대상시스템 셸 획득, TFTP(단순 프로토콜) 서버 설치

- 대상시스템에 공격파일(msblast.exe) 전송 및 백도어 설치(TCP/4444) [2차탐지]

- 공격 대상 선정 TCP/135 스캔(MSRPC) [3차탐지]

Mydoom 웜(2004년)

- P2P, 메일로 공격파일 확산, 웜은 메일제목등을 암호화하여 내부에 저장

- 백도어 포트는 TCP/80, 1080, 3128, 3127 등

- 특정사이트를 공격한다.

RAT(cyberGate)

- 한글프로그램 문서파일 취약점

- 애드웨어 설치프로그램 사칭하여 악성코드 배포, 다운로드 사이트 접속하여 악성코드 다운로드

- hosts 파일 변경, 파일 생성 및 레지스트리 변경(자동실행 및 원격제어)

감염시 증상

- 키로깅 : 다양한 메신저, IE, FTP관련 비밀번호 유출

- 바탕화면 스크린샷, 웹캠뷰어, 오디오 정보저장, 원격지 파일 다운 및 실행

참고사이트

http://xianshuodna.blogspot.kr/2013/10/blog-post_2869.html

http://www.boannews.com/scenario/example02.pdf

https://note30.wordpress.com/2012/10/20/xp-%EB%AA%A8%EC%9D%98%ED%95%B4%ED%82%B9-%EC%8B%A4%EC%8A%B5/

https://en.wikipedia.org/wiki/Remote_Desktop_Protocol