전면적 HTTPS
Fully HTTPS : 웹 사이트의 모든 페이지에 SSL 인증서를 적용하는 것.
Not Fully HTTPS : 웹 사이트의 모든 페이지에 SSL 인증서를 적용하지 않는 것.
APT과 SSL 가시성 장비 연관성
APT : Advanced Persistent Threat, 지능형 지속 공격.
APT 공격에서 가장 흔히 사용되는 방식은 Drive by download 방식이며, Watering Hole 유형의 기법을 통해 감염된 사이트에 방문과 동시에 악성코드를 다운로드 하도록 하는 방식을 많이 사용한다.
인용 White Paper : https://www.monitorapp.com/assets/datasheet/kr/AISVA_WHITEPAPER_KR_181030.pdf
스니핑과 스푸핑의 차이?
스니핑은 패킷을 훔쳐보는 것, 스푸핑은 공격자가 정상적인 호스트의 IP주소에 연결해 네트워크 트래픽을 중간에서 가로채는 공격이다. 이때 중간자 공격도 수행된다.
- DoS 공격에 ARP 스푸핑을 사용해 공격할 수 있다.
인용 블로그 : https://soldier5683.tistory.com/18
워터링 홀
당신은 사막 한가운데에서 물을 취하기 위해 물웅덩이(Watering Hole)을 찾아간다. 물 웅덩이 뿐 아니라 포식자도 당신을 기다린다...
해커가 지정한 타겟이 자주 사용하는 웹 사이트를 해킹해 악성코드를 심어 컴퓨터나 네트워크를 감염시키는 공격방식으로, 개인보다는 특정 기업, 조직을 대상으로 이루어진다.
산업스파이 활동 목적 외 보안 솔루션 도입이 활발한 대기업보다는 상대적으로 취약한 중소기업을 타겟으로 워터링 홀 공격이 이루어진다.
해킹 그룹 라자루스또한 워터링 홀 방법을 사용해 솔루션 개발업체의 소스코드를 탈취해 취약점 코드를 개발한 정황도 존재한다.
참고 기사2 : https://m.boannews.com/html/detail.html?idx=122424&kind=5
참고 기사 : https://m.boannews.com/html/detail.html?idx=122424&kind=5
ARP 스푸핑 탐지 방법
ARP 스푸핑도 스니핑 활동의 일부이기 때문에 네트워크 어댑터가 Promiscous mode인지 확인해 공격 시스템에서 탐지할 수 있다.
ARP, IP, DNS 스푸핑이 존재한다.
라자루스의 사법부 해킹
최근 3월달에 사법부 전산망이 북한 해커조직 “라자루스”에 의해 주민등록 초본을 포함해 26건의 문서가 유출되었다. 유출 내용이 확인되지 않은 나머지 335GB 자료의 유출 명세는 확인되지 않았다고 함.
“라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 일부 비밀번호가 'P@ssw0rd', '123qwe' 등 추측이 쉬운 문자열로 구성돼 있는 데다 일부 계정은 길게는 6년 넘게 비밀번호를 바꾸지 않아 외부 공격에 더 취약할 수밖에 없었던 것으로 파악됐다.”
SSTI 취약점
SSTI 취약점 대응방안
사용자가 템플릿 조작할 수 없게 한다.
만약 동적 템플릿이 필요하다면 사용자가 템플릿을 조작하도록 허용해야 한다.
- 코드 안전성 검사
- 입력값 검증
- 샌드박싱
코드 안전성 검사
Sanitization, 코드 안전성 검사는 사용자 입력으로부터 템플릿을 생성하지 않도록 템플릿 제공 파라미터로 사용자 입력을 처리하도록 구성하는 방식이다.
ex) Flask render_template 함수
사용자 입력값을 기반으로 생성된 템플릿을 샌드박싱 처리해 공격 코드가 실제로 영향을 끼칠 수 없도록 제한한다.
입력값 검증
{,},[,] 과 같은 특수문자 자체를 받지 못하도록 Escape 처리 로직을 적용하여 대응이 가능.
XXS, SQL Injection 대응 방법과 동일하다.
샌드박싱
사용자 입력 값 기반으로 템플릿 생성 및 랜더링 해야 하는 경우 사용자 입력으로 Template 처리 할 수 밖에 없다.
이 경우, Template Sandboxing 하여 공격 코드가 실제로 영향을 끼칠 수 없도록 제한하는 방법으로 대응이 가능하다.
입력값 검증과 샌드박스의 차이
샌드박스는 실행 환경을 격리해 앱, 코드가 다른 시스템 자원에 접근 또는 위험한 동작을 수행하는 것을 방지하는 것을 의미한다.
