1. Traceback
해커의 실제 위치를 역추적하는 기술로, 호스트 기반과 네트워크 기반으로 나뉩니다.
2. Shellshock
Linux GNU Bash에서 발견된 취약점으로, Bash 함수의 끝을 나타내는 {}가 끝났음에도 불구하고 뒤에 코드가 있으면 전부 실행되는 10점 만점의 최고 위험도 취약점입니다. 함수 선언 후 환경 변수에 담고 실행 시
3. Webshell
서버에 업로드된 악성 스크립트로, 공격자가 서버를 원격에서 제어할 수 있게 해주는 도구입니다. 주로 PHP, ASP, JSP 등과 같은 서버 측 스크립트 언어로 작성됩니다.
4. Heartbleed
SSL 확장 모듈인 OpenSSL의 취약점으로, 1.0.1 ~ 1.0.1f 버전까지 취약점이 존재하며, 1.0.1g 버전에서 수정되었습니다.
5. POODLE 취약점
SSL/TLS 협상 시 버전 다운그레이드 공격을 통해 SSL 3.0을 사용하도록 강제한 후 MITM 공격을 이용해 스니핑하는 공격입니다.
6. FREAK 취약점
SSL/TLS 취약점으로 brute-force 공격으로 키를 얻어내는 공격입니다.
7. DRWON 취약점
SSL 2.0 취약점을 이용하여 TLS 연결을 복호화하는 공격입니다.
8. HEIST 취약점
자바스크립트 사이드채널 공격을 통해 암호문의 정확한 크기를 알아내는 공격입니다.
9. Malware
https://velog.io/@agnusdei1207/malware
10. NTP 123/udp
ntp -n -c monlist 192.168.0.1
-c: NTP 서버에 command 입력-n: 숫자 IP로만 출력monlist: NTP에 접속한 클라이언트 IP 목록 조회
11. NTP
시간 동기화 프로토콜로, monlist 취약점이 존재합니다.
12. date
유닉스/리눅스 시스템에서 현재 일시를 확인하는 명령어입니다.
13. ntpdate -q ntp.server.com
NTP 서버에 단순 조회 질의입니다.
14. ntpdate ntp.server.com
NTP 질의 결과를 로컬과 동기화합니다.
15. SSDP Amplification Attack
Simple Service Discovery Protocol로 네트워크 상의 서비스나 정보를 검색하는 프로토콜로, 프린터, 스캐너, IoT, 카메라 등에서 1900/udp를 사용합니다. DDoS 공격에 자주 활용됩니다.
- SYN_FIN: 비정상 패킷 중 하나로, FIN 비트가 있는 경우 허용하는 경우가 있으며 보안 장비를 우회하기 위해 사용됩니다. FIN 로그 역시 로그를 남기지 않는 경우가 많습니다.
16. Snort Threshold
https://linefilt.tistory.com/11
17. Snort Drop
로그를 남기고 차단 메시지를 보내지 않습니다.
18. Snort Reject
로그를 남기고 차단 메시지를 보냅니다. TCP는 TCP reset으로 응답하고, UDP는 ICMP Port Unreachable로 응답합니다.
19. NAC 설치 방식
inline, out of path (mirroring)
20. NAC Inline
트래픽이 보안 장비를 직접적으로 통과하도록 설치합니다. 모든 트래픽에 대해 실시간 차단이 가능하나, 장애 발생 시 내부 네트워크 전체에 영향을 줄 수 있습니다.
21. NAC Out of Path
트래픽이 외부에 위치하여 복제된 트래픽을 받아 처리합니다. 장애 발생에도 가용성에 영향을 주지 않으나, 빠른 차단 대응이 어렵습니다.
22. iptables 규칙
규칙은 위에서 아래로 진행합니다.
23. iptables 예시
iptables -p tcp --dport 1:1023 -j DROP, iptables -p tcp --dport -j ACCEPT
- DROP 규칙이 먼저 존재하므로 두 번째 허용 정책은 무의미합니다. 따라서 순서 변경이 필요합니다.
24. iptables REJECT와 DROP의 차이
ICMP 에러 메시지 응답 여부에 대한 설명은 https://blog.naver.com/wnrjsxo/221391076246에서 확인할 수 있습니다.
25. Ingress, Egress
https://velog.io/@agnusdei1207/ingress-egress-blackhole-null-filtering
26. Tiny Fragment
https://velog.io/@agnusdei1207/Fragmentation-Attack
27. Stateful Inspection (상태 검사 기능)
- IPS 기능 중 하나
- 패킷을 일정 시간 동안 상태 정보를 유지 (세션 연결 유지 및 추적)
- 보안과 성능에 이점
- 세션 테이블에 패킷 정보가 저장되어 관리됩니다.
28. ESM
https://velog.io/@agnusdei1207/ESM-Enterprise-Security-Management -> 기업의 보안관제 통합 솔루션
29. ESM Correlation
동종 및 이기종 간에 로그를 통합하여 연관성을 분석합니다.
30. 보안 장비 점검 사항
- 보안 장비 기본 계정 변경
- 기본 패스워드 변경
- 장비별 권한 설정
- 사용하지 않는 계정 삭제
31. Zero Day 공격 기간
취약점 발견 시점부터 보안 패치가 이루어지기 전까지입니다.
32. DBD 공격
경유지를 거쳐 최종 유포지에서 악성코드가 다운로드됩니다. 예방법은 최신 보안 업데이트를 실시하는 것입니다.
33. 다형성 (Polymorphism)
악성코드 자체의 기능은 변하지 않지만 실행할 때마다 코드의 내용이 변경되도록 하여 시그니처 기반 탐지를 어렵게 합니다.
34. 패킹 (Packing)
실행 파일 크기를 줄이고 내부 코드를 감추기 위해 압축 또는 암호화를 하여 백신의 탐지를 어렵게 합니다.
35. AVT (Advanced Volatile Threats)
Dropper 기반의 malware로 fileless 형태로 존재하여 파일 기반 백신의 탐지에 걸리지 않습니다. Injector처럼 메모리에 상주한 후 자신의 파일을 삭제합니다.
36. find / -mtime -7
7일 이내에 내용이 변경된 파일을 찾습니다.
37. find / -user root -perm -4000
소유자가 root이고 SUID가 설정된 파일을 찾습니다.
38. tcpdump -i eth0 host 192.168.0.1 and host 192.168.0.2
명시된 인터페이스에서 출발 IP 또는 도착 IP가 위에 명시된 IP에 해당된다면 모두 출력합니다.
39. Snort 예시
drop tcp any any -> any any (msg:"SYN/FIN DROP"; flags:SF;)
40. iptables 예시
iptables -A INPUT -p tcp --tcp-flags ALL SYN,FIN -j DROP
- ALL 모든 제어 비트를 관찰하고, 그 중에서 SYN, FIN이 설정되어 있다면 폐기합니다.
41. iptables 예시
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
- SYN과 FIN 패킷만 관찰하고, SYN과 FIN이 설정되어 있다면 폐기합니다.
42. --tcp-flags 관찰 대상
확인 대상입니다.
43. Snort 예시
alert tcp any any -> any any
- 모든 패킷을 검사하면 부하가 걸리기 쉽습니다.
44. Snort 예시
alert tcp any any <> any [443, 465, 563]
- 출발지 또는 목적지 포트가 443, 465, 563인 패킷을 탐지합니다.
45. Snort 예시
`alert tcp any any -> 192.168.0.1 80 (msg
: "hi"; content: "1"; depth:3; content:"2"; distance:20)`
- 최초 3바이트 내에서
1을 탐지하고, 이후 20바이트 떨어진 지점에서2를 탐지합니다. 탐지 메시지는hi로 설정됩니다.
