정보보안기사&CISSP관련172 [Day 113] 워터링 홀(Watering Hole) 침해 사고 시나리오 워터링 홀(Watering Hole) 공격 기법 공격대상이 자주 방문하는 웹사이트에 악성코드를 심어놓고 공격대상이 접근하면 악성코드에 감염되는 방식 공격 시나리오 예시 1) 공격자는 타겟이 자주 가는 사이트에 타겟 IP대역으로 접근하는 사용자에 대해 악성코드 유포지로 리다이렉트하는 악성 스크립트 삽입 2) 희생자는 악성코드에 감염되고, 공격자는 백도어(리버스 쉘)을 통해 포트 스캐너, SSH클라이언트, 키로거 등 추가 공격도구 다운로드 3) 추가 공격도구로 내부 스캔하여 내부 사이트 관리자 계정 탈취 4) SSH클라이언트 프로그램을 이용하여 SSH 원격 포트 포워딩을 통해 외부에서 방화벽을 우회하여 내부 사이트 접속 성공 5) 지속적 침입을 위해 악성코드(백도어)를 시작 프로그램에 등록 2020. 12. 1. [Day 112] tripwire(트립와이어) 파일시스템 무결성(Integrity) 점검 파일시스템의 상태 추적 및 허가받지 않은 변경 여부를 주기적으로 점검하여 의심스러운 변화가 감지되면 이를 검사하고 복구하는 과정 tripwire 유닉스/리눅스 환경에서 무결성 점검하는 대표적인 도구 중요한 디렉터리와 파일에 대한 정보를 담은 DB를 생성하고, 트립와이어를 실행할 때 새로 생성된 DB정보와 비교하여 차이점을 보고함 tripwire 동작방식 최초 설정파일에 등록된 파일 및 디렉터리의 해시값을 생성하여 DB에 저장 스케쥴링에 따라 주기적으로 트립와이어가 동작하면서 기존 DB에 저장된 해시값과 현재 해시값을 비교 후 차이점 보고 2020. 11. 30. [Day 111] 스택 버퍼 오버플로우(Stack Buffer Overflow) 공격 대응 방안 스택(Stack) 함수 처리를 위해 지역변수 및 매개변수가 위치하는 메모리 영역 스택 버퍼 오버플로우 공격(Stack Buffer Overflow Attack) 스택 영역에 할당된 버퍼 크기를 초과하는 양의 데이터(실행 가능 코드)를 입력하여 복귀 주소(RET, Return Address)를 변경하고 공격자가 원하는 임의의 코드를 실행함 특히 root 소유의 SUID 설정 프로그램에 버퍼 오버플로우가 발생하면 root 권한으로 악성 프로그램 실행 가능 스택 버퍼 오버플로우 대응방안 1. 스택가드(Stack Guard) 프로그램의 복귀주소(RET)와 변수 사이에 특정값(Canary Word)을 저장해두었다가 그 값이 변경되면 오버플로우로 가정하여 프로그램 중단 2. 스택쉴드(Stack Shield) 함수 .. 2020. 11. 29. [Day 110] 업무연속성계획(BCP, Business Contingency Plan) BCP (Business Contingency Plan) 개요 사업 연속성을 유지하기 위한 사업지속성계획과 절차 장애 시 핵심시스템의 가용성과 신뢰성 회복 목적 BCP 단계 1) 프로젝트 범위 및 설정/기획 2) 사업영향평가(BIA, Business Impact Assessment) : 신속한 복구를 위해 업무 중단 시의 손실 영향도 파악 3) 복구전략개발 : BIA에서 수집된 정보 기반으로 전략 수립 4) 복구계획수립 : 사업을 지속하기 위한 실제 복구계획의 수립 및 문서화 5) 프로젝트 수행 테스트 및 유지보수 2020. 11. 28. 이전 1 ··· 20 21 22 23 24 25 26 ··· 43 다음