정보보안기사&CISSP관련172 [Day 109] 리버스 쉘(Reverse Shell) 침해 사고 시나리오 개요 리버스쉘을 사용하는 이유는 방화벽을 우회하여 쉘을 획득하기 위함 원격에서 서버에 명령어를 실행할 수 있는 쉘 획득방법은 2가지가 있음 1) Bind Shell : 클라이언트/공격자가 타겟 서버에 접속하여 타겟 서버의 쉘을 획득하는 방식 2) Reverse Shell : 역으로 타겟 서버가 클라이언트/공격자로 접속해서 클라이언트가 타겟 서버의 쉘을 획득하는 방식 리버스 쉘(Reverse Shell) 침해 사고 시나리오 1) 공격자는 내부침입에 성공한 후 웹서버 root계정을 무차별대입공격으로 알아냄. 2) 이후 반복적 침입을 위해 일반 사용자계정으로 보이는 root권한 사용자 계정 생성 3) 외부에서 지속적으로 웹서버에 접근할 수 있도록 netcat 프로그램을 이용한 Reverse shell 연결 작.. 2020. 11. 27. [Day 108] iptables (2) - 상태 추적, 확장 모듈(connlimit, limit) 상태 유형 NEW : 최초로 들어온 패킷 상태. 상태추적 테이블에 정보 없고 TCP의 경우 SYN 패킷이 해당됨 ESTABLISHED : 상태추적 테이블에 연결정보를 갖고 있는 상태. 연결된 이후 송수신 패킷은 전부 이 상태 RELATED : 상태추척 테이블에 연관된 연결정보를 가지고 있는 패킷 상태. FTP 프로토콜이 해당. Active mode는 21/tcp로 제어채널 형성 후 20/tcp로 데이터채널 형성하는데 데이터채널로 송수신되는 패킷은 모두 RELATED 상태가 됨 INVALID 상태 : 연결상태를 알 수 없거나 잘못된 헤더정보를 갖고 있어서 어떤 상태에서 해당 안되는 패킷 프로토콜별 상태 유형 TCP 프로토콜 상세 SYN이 보이면 NEW 상태가 됨 SYN+ACK가 보이면 ESTABLISHED.. 2020. 11. 26. [Day 107] iptables (1) 개요 패킷 필터링 기능을 가지고 있는 리눅스 커널에 내장된 툴 Rule 기반의 패킷 필터링 기능 제공 상태 추적(Connection Tracking 또는 Stateful Inspection) 기능 제공 방화벽을 통과하는 모든 패킷에 대한 연결 상태를 트래킹하여 이 정보를 메모리에 기억하고 있다가 기존연결을 가장하여 접근할 경우, 메모리에 저장된 정보와 비교해 적합하면 통과하고, 아니면 거부하는 기능 Stateful Inspection 방화벽은 이스라엘 체크포인트사에서 최초 개발한 방화벽 구조 위조된 패킷을 차단할 수 있어 보안상의 장점을 가지고, 연결된 상태의 패킷은 더 이상 패턴 매칭 검사를 수행하지 않으므로 성능상의 장점을 가짐 용어 Table : iptables가 제공하는 기능을 의미 Chain :.. 2020. 11. 25. [Day 106] snort rule(5) - Flooding 계열 공격 탐지 HTTP GET Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: "HTTP GET Flooding "; content:"GET / HTTP/1."; nocase; threshold:type threshold, track by_src, count 100, seconds 1; sid:1000025;) --> tcp 프로토콜을 이용하고 80번 포트를 목적지로 하고 있음. HTTP 클라이언트로부터 요청 데이터에 포함되는 문자열을 탐지하기 위함 --> 출발지 주소(by_src)기준으로 매 1초 동안 100번째 이벤트마다 alert 수행 TCP SYN Flooding 공격 탐지 alert tcp any any -> 10.10.10.0/24 80 (msg: ".. 2020. 11. 24. 이전 1 ··· 21 22 23 24 25 26 27 ··· 43 다음