처음 만나는 클라우드 보안

이번 포스팅에선 Argus에 대해 알아보고 관련 로그를 통해 감염된 PC를 찾아본다. Argus란? : 대표적인 오픈소스 IDS 중 하나로서 네트워크 보안 모니터링 도구 및 세션 기반 데이터 로깅에 사용된다. 세팅: Argus IDS의 본체는 네트워크 중간에 배치, Argus 콘솔은 사무실에 배치 => Argus IDS Client 설치 1. Argus로그 분석 기초 ra (read argus data)를 이용한 데이터 읽기 => 누가 공격자인지 알아내기 위함 $ ra -r file1 file2 $ ra -r s file1 -s(옵션) 주요 필드명 stime: 시작시간 ltime: 종료시간 sbytes: src ->dst (아웃바운드;유출) dbytes: dst ->src (인바운드;유입) saddr: ..

이번 포스팅에선 리눅스 환경에서 활용되는 로그분석 기본개념에 대해 알아본다. 로그분석은 왜 리눅스인가? 다양한 무료 오픈소스 파이프라인(|)을 통한 분석 툴 조합 용이 쉘 스크립트를 활용한 자동화 분석 가능 윈도우에선 불가한 10G 이상의 대용량 로그도 분석 가능 1. 정규표현식 정규식은 특정 규칙을 가진 문자열의 패턴을 표시하는 언어를 뜻한다. 정규표현식 중에선 PCRE (Perl Compatible Regular Expression) 펄 호환 정규표현식이 대표적이며, 다른 표현식과 표현이 거의 비슷하다. 주로 문자열의 검색과 치환을 지원하기 위해 사용된다. -Wikipedia - 메타문자 정규 표현식에서 사용하는 기호 메타문자 [이름] 설명 예시 ^ [캐럿] 문자열의 시작 '^abc' : abc로 시..

이번 포스팅에선 로그를 분석하여 보안 위협 탐지를 수행한다. 1. awk문을 활용한 로그분석 1) awk문이란? : 파일 속 레코드에 포함된 값을 데이터화해 분석함을 목적으로 하는 프로그램이다. awk명령어의 여러 옵션들로 파일 속 데이터를 분류한 다음 패턴 매칭 여부나 조작 및 연산 등의 기능을 수행하고 그 결과를 출력한다. 이름은 디자인한 사람들의 이니셜을 따왔기 때문에 기능과 연관은 없다. 2) 기본 사용법 $ echo 11 22 33 44 | awk '{print $4, $3, $2, $1}' // echo로 임시 메모리에 저장, 컬럼의 순서를 바꾸어 출력한다. $ cat auth.log | awk '{print$5}' //5번째 칼럼 출력 $ cat auth.log | awk '{print$5}..

이번 포스팅에선 메두사에 대해 알아보고 이를 활용한 공격방법을 실습해본다. 메두사(Medusa)란? : *무차별 대입 공격에 사용되는 툴로써 가능한 많은 원격 인증을 허용받을 수 있도록 고안된 프로그램 -kali.org - 옵션 $ sudo medusa --help -h: host name -u: user name -p: password file (Dictionary) -M: 실행 모듈 선택 ex)ssh, ftp, telnet 등 - Dictionary 수정 $cd /usr/share/john // vi편집기로 주석처리(#) 지우기 vim $dd => 한 줄 삭제 / $. => 이전 명령어 반복 - Medusa실행 $ sudo medusa -h 192.168.5.130 -u winner -P passwo..

이번 포스팅에선 사전 공격에 대해 알아보고 DVWA의 타깃 계정에 대한 암호를 알아낸다. 사전 공격(Dictionary Attack)이란? : 사전 대입 공격이라고도 불리며, 암호를 알아내기 위해 사전의 단어를 순차적으로 입력하는 공격 기법을 말한다. - 테스트 입력 후 패킷 확보 : 공격대상 서버인 DVWA에 우선 테스트 계정을 입력한다. Burp Suite를 실행하여 해당 패킷을 수집한다. - 사전 업로드 후 공격 시작 : 해당 암호 입력 패킷을 Intruder에 입력, 준비된 사전(Dictionary)을 업로드하여 공격을 시작한다. - 계정 정보 확인 : Burp Suite의 응답 길이를 통해 ‘charley’가 패스워드임을 알 수 있다. - 로그(log) 확인 : 사전의 암호 값을 계속해서 대입하..

CSRF (Cross Site Request Forgery)란? : 사용자의 의도와 무관한 공격자의 의도대로 특정 웹페이지가 동작하도록 수정, 삭제하는 공격 방법을 말한다. ex) 사용자의 방문만으로 자동 댓글 또는 좋아요, 비밀번호 변경, 회원 탈퇴, 회원 승급 요청 등 CSRF 실습 (in DVWA) - 공격목표: 사용자의 비밀번호 변경하기 - 소스코드 확인 - 코드수정 46~52 복사 후 별도로 저장 46번 줄 #에 URL 주소 'http://192.168.5.130/dvwa/vulnerabilities/csrf/' 붙여 넣기 47번 줄, 49번 줄 new뒤로 value="" 삽입 49번줄 password=> text - 공격의도 : 경품 당첨을 가장하여 사용자 클릭 시 비밀번호가 'korea'로 ..

이번 포스팅에선 웹서버를 구축, 그 위에 웹방화벽 설치한다. 웹 방화벽 (Web Application Firewall, WAF) 이란? : 일반적인 네트워크 방화벽(Firewall)과 달리 웹 애플리케이션 보안에 특화된 보안 솔루션을 말한다. 웹 애플리케이션 또는 서버와 가까운 LAN(Local Area Network)에 설치되어(HW 장비일 경우) 네트워크 속도에 큰 영향을 주지 않는다. 7 계층(L7)에서의 패턴, 요청 개수, 이상행위 등을 판단하여 패킷을 허용 또는 차단하는 기능을 수행한다. 서버 구축방법 *2Tier기반의 **동적 웹사이트를 아래와 같이 구축한다. 웹서버로 Apache2, 웹방화벽으로 Modsecurity가 공통으로 적용되며, 두가지 웹어플리케이션 (Gnuboard, PHP소스코드..

침입탐지 시스템(IDS)이란? : 시스템과 네트워크 작업을 분석하여 악의성 있는 작업을 찾아내는 장치를 말한다. 가장 많이 사용되는 유형으로 호스트 기반(host-based)과 네트워크 기반(network-based) IDS가 있다. 침입탐지 시스템(IDS) 주요 기능 1. 오용 탐지(Misuse) : 공격 또는 악성코드의 패턴을 모아놓은 Signature DB를 기반으로 탐지한다. ex) 'or 1=1 # 등과 같은 SQL 인젝션 패턴 수집 DB = Signature DB - 패킷이 들어오면 데이터 부분과 패턴들을 비교해본다 (Patern Matching) - 패턴 일치 시 관리자에게 Alarm을 보낸다. - 오탐이 거의 없음, 미탐(공격 탐지를 못함)은 있을 수 있다. - 패턴을 많이 모아놓았기 때문..

1. Smart View Tracker Smart View Tracker 실행 > All Records : 방화벽에 의해 차단된 상세 내용을 분석한다. Smart Defence: 패킷의 정보를 보고 접근 허용 또는 거부를 판단하는 방식을 뜻한다. Rules: 24번째 규칙에 의해 차단되었다. Information: TCP header가 corrupt (헤더 조작) SSH를 통한 Brute force나 Dictionary공격 가능성이 높다. ex) 패킷이 1분에 100개 요청됨 => 자동화 스크립트일 가능성이 높음 => Smart Defense 차단 Echo Request를 윈도에서 보내면 32byte, 리눅스에서는 보내면 64byte, 따라서 65byte가 넘으면 비정상적임 참고) Ping of Deat..

OSI 7 계층별 캡슐화 :각 계층에선 데이터를 전송할 때 필요한 정보(헤더)를 붙여 다음 계층에 보낸다. 이처럼 헤더를 붙여나가는 것을 캡슐화(Encapsulation)이라고 한다. 데이터 송신: 상위 계층 (7 계층) => 하위 계층 (1계층) / 데이터의 캡슐화 데이터 수신: 하위 계층 (1계층) => 상위 계층 (7계층) / 데이터의 역 캡슐화 OSI 계층 주요기능 데이터 단위 TCP/IP 계층 7L 응용 계층 Application 사용자와의 직접적인 서비스 수행 메시지 데이터 응용계층 6L 표현 계층 Presentation 데이터 암복호화 및 압축을 통해 파일의 형식 결정 (GIF, JPG) 5L 세션 계층 Session 양반간 데이터 전송을 위한 순서 및 통신세션 구성, 포트 번호를 기반으로 ..