본문 바로가기

Learning

08.5_Snort Architecture & Snort Rules SNORT 대표적으로 사용되는 룰 기반의 IDS http://www.snort.org snort는 내가 정한 룰대로 탐지 활동을 하는 것이다. iptables와 비슷하다고 생각해도 된다. 이 룰(Rule)은 'Rule Header' 와 'Rule Option'으로 구성되어 있다. Snort(SNiffer and mORE) 1998년 마틴 로쉬가 오픈 소스로 개발 스그니쳐 기반 네트워크 침입 탐지 시스템 작동 방식: Sniffer Mode, Packet Logging Mode, NIDS Mode, IPS Mode 스니퍼(Sniffer) : 네트워크 패킷 수집 패킷 디코더(Packet Decoder) : 전처리기와 탐지 엔진이 파싱 할 수 있도록 정규화 전처리기(Preprocessor) : 특정 행위가 발견.. 더보기
08.4_PCRE(Perl Compatible Regular Expression) PCRE(Perl Compatible Regular Expression) Snort Rules -> pcre 지시자 (Kali Linux - IDS) root@kali:/etc/snort/rules # find . -type f -name "*.rules" -exec fgrep -l pcre {} \; ./exploit.rules ./community-web-php.rules ./community-misc.rules ./oracle.rules ./community-imap.rules ./pop2.rules ./community-oracle.rules ./web-misc.rules ./community-bot.rules ./virus.rules ./web-php.rules ....(중략).... alert.. 더보기
08.3_ufsnet 사용한 DDoS Attack 시뮬레이션 [실습] ufsnet 사용한 DDoS Attack 시뮬레이션 ■ 사용 시스템 - KaliLinux ■ 사용 프로그램 - ufonet UFONET 동작원리 UFONET GUI 툴 Description UFONet is a free software tool designed to test DDoS attacks against a target using 'Open Redirect' vectors on third party web applications like botnet. See this links for more info: - CWE-601:Open Redirect: http://cwe.mitre.org/data/definitions/601.html - OWASP:URL Redirector Abuse: ht.. 더보기
08.2_LOIC(Low Orbit lon Cannon) 툴을 사용한 DoS Attack(2017.03.15수정) [실습] LOIC(Low Orbit Ion Cannon) 툴을 사용한 DoS Attack 실습 저궤도 이온포(Low Orbit Ion Cannon) 네트워크 스트레스 테스트 툴이다. 이 소프트웨어는 많은 공공기관을 포함한 여러 웹사이트에 분산 서비스 공격을 편하게 사용할 수 있게 도와주며, anonymous에 의해 사용되면서 유명하게 되었다. 이전 다운로드 사이트에는 /bin/파일이 사이트자체에서 누락되었던 것 같다. 아래 사이트에서 설치한다. # apt-get update # apt-get -y install git git-core # apt-get -y install mono-dmcs mono-mcs monodevelop mono-runtime liblog4net-cil-dev # mkdir /loi.. 더보기
08.2_LOIC(Low Orbit lon Cannon) 툴을 사용한 DoS Attack [실습] LOIC(Low Orbit Ion Cannon) 툴을 사용한 DoS Attack 실습 저궤도 이온포(Low Orbit Ion Cannon) 네트워크 스트레스 테스트 툴이다. 이 소프트웨어는 많은 공공기관을 포함한 여러 웹사이트에 분산 서비스 공격을 편하게 사용할 수 있게 도와주며, anonymous에 의해 사용되면서 유명하게 되었다. Window 2008에서 실습했음. ( dotnetframework -> LOIC ) (KaliLinux) # apt-get update # apt-get -y install git git-core# apt-cache search mono | grep --color '^mono' mono-dmcs, mono-mcs, mono-devel, monodevelop # a.. 더보기
08.1_DoS_DDoS_SNORT DoS(Denial of Service) & DDoS(Distributed DoS) ■ 보안 이슈 관련 단어 DoS/DDoS, DB Attack, APT Attack, SPAM MAIL, WEB Hacking, Wireless Hacking + Big Data Security + IoT Security ■ 실습 환경 DoS/DDoS ---> Firewall ---> IPS/IDS ---> WAF ---> WEB Server(SELinux) ■ KaliLinux Tools(Attacker) IDS : snort (# apt-get install snort) IPS : suricata (# apt-get install suricata) 1. DoS & DDoS 개요 DoS(Denial of Service) .. 더보기
02_로그파일의 내용 중 자신의 로그인한 기록을 지우는 방법 /var/log/wtmp (data file) -> last CMD /var/run/utmp (data file) -> who CMD # cd /var/log # mv wtmp wtmp.old # last # mv wtmp.old wtmp # last (Hacker) Text Log Format # cd /var/log # ls -l secure > secure.time # vi secure .... 적당한 라인 삭제 .... # cat secure.time # touch -t secure (Hacker) Data Log Format structure # man utmp # man wtmp # vi Script.sh +++++++++++++++++++++++++++++++++++++++++++++++++.. 더보기
02_로그보안_03_URL_리눅스로그지우기 http://kopil.tistory.com/m/post/10 ================================== 공격 해서 site 권한 -> user01 -> root # who (utmp) # last (wtmp) https://w2.eff.org/Net_culture/Hackers/hacking.faq =================================================== -> 위 URL 문서 내용 중 아래 부분을 참고 ----------------------------------------------------- 11. How do I erase my presence from the system logs? Edit /etc/utmp, /usr/adm/wtmp an.. 더보기
02_로그보안 02_로그 분석 (리눅스침해사고) 로그 분석 INDEX 정보수집 1.싱글 유저모드 2./var/log/messages 3./var/log/secure 4./var/log/wtmp 5./root/.bash_history 사용자의 서버 활동 사항을 추적 보고서 -> 시간에 기반한 보고서가 만들어져야 한다. (MAC 분석 작업) 주제 (침해사고 발생) - 오늘 중요한 파일 (/etc/passwd)이 삭제 되었다. (ㄱ) 오늘 파일이 지워졌다. (ㄴ) 중요한 파일(/etc/passwd)이 지워졌다. (1) 확인작업을 위한 로그인 시도 -> 로그인이 되지 않음 (2) 싱글유저 모드로 진입 /etc/passwd 파일 직접생성 후 root 패스워드 설정 후 reboot (삭제된파일 복구) (3) root계정으로 정상 로그인 후 history 목록 확.. 더보기
02_로그보안 01_Log Server Guide Log Server Guide 목적 : 로그 기록 체계, 로그 기록 분석, 로그 서버 구축 01. 리눅스 로그 개요 로그 기록 용도 사용자 및 서버의 활동 기록 시스템 공격에 대한 흔적 기록 서버 장애에 대한 흔적 기록 로그 기록을 통한 성능 카운트 -> 옛날 로그 기록은 거의 필요가 없다 -> 따라서, 오래된 로그 기록들의 관리 정책을 잘 세워야 한다. (주의) 로그 기록을 이해하지 못하는 관리자에게는 아무런 쓸모가 없는 파일에 불과하다. 따라서 로그 기록을 분석하는 방법도 중요하다. 로그 기록이 사용되는 실무적인 예 사용자 활동량이 많은 서버(접속해서 사용하는 사용자들) 서버 관리자가 자신이 맡고 잇는 서버에 접속하고 난후 작업 순서 1. 서버 관리자 접속 2. 서버 점검 포인트 첫번째, 현재 사용량.. 더보기
Permission Change # cat change_perm.sh =========================================================================== #!/bin/bash # # INPUT : perm1.list #------------------------------------ # /etc/cron.deny 644 # /etc/at.deny 640 #------------------------------------ # # OUTPUT: perm3.list #------------------------------------ # /etc/cron.deny 644 rw-r--r-- # /etc/at.deny 640 rw-r---- #-----------------------------.. 더보기
01_리눅스 보안 점검_ 자동_스크립트 #!/bin/bash . /root/bin/print.sh echo "######################################################################" echo " 리눅스 패스워드 정책 점검 - 사용규칙 분석결과 " ### 항목명 ### echo " 1. 패스워드 사용규칙 적용" ### 위험도 ### echo " 위험도 : 상" ### 기준설명 ### echo " [진단결과]" echo "######################################################################" cat /dev/null 2>&1 if [ $? -eq 0 ] ; then print_good "적합한 패스워드 정책을 사용 중입니다. [GOOD.. 더보기
리눅스침해사고분석보고서_로그분석 로그 분석 INDEX 정보수집 1.싱글 유저모드 2./var/log/messages 3./var/log/secure 4./var/log/wtmp 5./root/.bash_history 사용자의 서버 활동 사항을 추적 보고서 -> 시간에 기반한 보고서가 만들어져야 한다. (MAC 분석 작업) 주제 (침해사고 발생) - 오늘 중요한 파일 (/etc/passwd)이 삭제 되었다. (ㄱ) 오늘 파일이 지워졌다. (ㄴ) 중요한 파일(/etc/passwd)이 지워졌다. (1) 확인작업을 위한 로그인 시도 -> 로그인이 되지 않음 (2) 싱글유저 모드로 진입 /etc/passwd 파일 직접생성 후 root 패스워드 설정 후 reboot (삭제된파일 복구) (3) root계정으로 정상 로그인 후 history 목록 확.. 더보기
2017년 트렌드마이크로 보안 예측 보고서 2017년 트렌드마이크로 보안 예측 보고서http://www.trendmicro.co.kr/kr/security-intelligence/research-and-analysis/predictions2017/index.html 2017년의 위협 환경에 대해 예측하는 사람들은 이미 익숙한 불법의 시대가 열릴 것이라 말할 것입니다. 2016년에 대한 우리의 예측은 현실이 되었으며 노련한 공격자들이 더 광범위한 공격 기회를 모색할 수 있도록 허용하는 계기를 만들어주었습니다. 2016년에는 온라인 금품갈취 사례가 폭발적으로 증가하였고 스마트기기 오작동으로 인한 손실이 야기되었으며 데이터 보안 책임자(DPO)에 대한 필요성도 높아졌고 데이터 유출 사고가 매우 빈번하게 일어났습니다. 2017년에는 새로운 문제가 대두될.. 더보기
2017년 보안 전망 15가지 017년에 어떤 일이 일어날지 예측하느라 마법의 수정 구슬을 들여보는 시기가 됐다. 물론 6개월~1년은 고사하고, 한달 뒤에 일어날 일조차 확실히 전망할 수 있는 사람은 단 한 명도 없다. 그렇다고 시도조차 해서는 안 된다는 의미는 아니다. 또 이런 시도를 막을 수도 없다. 앞서 대비하려면 앞으로 일어날 일을 예측해야 하기 때문이다. 특히 사이버 보안은 이런 활동이 중요하다. 이에 수많은 벤더와 애널리스트들로부터 2017년 일어날 수 있는 일을 알아봤다. 이 과정에 가장 많이 언급된 전망 15가지를 소개한다. 원문보기: http://www.itworld.co.kr/slideshow/102628#csidx3844a9ff44d41fbaea5cdb668f5c46d 사물인터넷(IoT) 해킹 포트녹스(Portno.. 더보기
시만텍, 2017년 10대 보안 전망 발표 시만텍, 2017년 10대 보안 전망 발표 시만텍(www.symantec.com)은 2017년 10대 보안 전망(Security in 2017 and Beyond: Symantec’s Predictions for the Year Ahead)’을 발표했다. 사이버 범죄자들이 기업 데이터의 접근을 목적으로 공격방식을 끊임없이 발전시키면서 매년 보안 업계는 새로운 유형의 보안 위협에 직면하고 있다. 클라우드, IoT, 커넥티드 카 등 새로운 IT 기술의 등장과 확산에 따라 시만텍은 2017년에도 보안 위협이 더욱 심화될 것으로 예상했다. 클라우드 확산으로 보안은 새로운 전환점 웨어러블, 가상현실, IoT 기기와 같은 새로운 기술들을 사내 네트워크에서 도입하고, 이와 함께 기업들은 클라우드 애플리케이션과 솔루션.. 더보기
해킹해드립니다 "공격 1회 50만원, 좀비PC 300원 " '해킹 의뢰 1건에 50만원, 스마트폰 해킹 10만원, 국내 좀비PC 1대당 300원.` 해킹을 대행한다는 불법 서비스가 활개치고 있다. 이용자는 마치 인터넷 쇼핑몰에서 물건을 사듯 해킹 대행 서비스를 구매한다. 주요 포털 카페와 블로그 등 비공개 게시판이나 유튜브 등에 불법 해킹 서비스를 공지하며 가격을 제안하는 글이 급증했다. 한 보안 전문가는 “2015년 랜섬웨어 유포 증가 이후 국내에서도 불법 해킹 서비스가 늘었다”면서 “익명성을 보장하는 비트코인이 불법 해킹 서비스에 날개를 달아 준 셈”이라고 분석했다. 해킹 대행 서비스는 비즈니스 모델로 자리 잡았다. 사이버 범죄자는 해킹 공격 도구를 팔거나 대행 서비스를 상품으로 구성했다. 분산서비스거부(DDoS) 공격, 데이터베이스(DB)와 웹사이트 해킹 .. 더보기
사드배치 보복.. 中·北發 해킹공격, 국가사이버위기 3단계 `주의`로 상향 정부가 사이버위기 경보를 `관심`에서 `주의`로 올렸다. 미래부는 9일 오후 6시부로 사이버 위기 경보를 3단계인 주의로 상향했다. 사이버 위기 경보단계는 `정상→관심→주의→경계→심각`으로 구분된다. 주의는 일부 네트워크와 정보시스템에 장애가 발생했을 때 발령한다. 다수 기관으로 확산할 가능성이 높아 국가 정보시스템 전반에 보안태세 강화를 요구한다. 각급 기관은 보안관제센터 근무 보강 등 비상근무 태세를 유지한다. 사드 배치로 중국 해커가 롯데를 비롯해 국내 인터넷 사이트 변조 공격이 급증했다. 중국 해커는 서버 취약점을 이용해 국내 웹페이지를 무차별 변조하고 있다. 북한발 사이버 공격도 감지됐다. 국내 대형 시중 은행을 표적한 침해 사고가 탐지되는 등 3·20사이버 테러 발생 4주년을 앞두고 위기가 고.. 더보기
칼리 리눅스(우분투계열 포함) resolv.conf 삭제 , 초기화 문제 여러가지 방법을 해 보았지만, 재부팅시 /etc/resolv.conf 내용이 삭제되는건 막을 수 없었다. 이유는 그렇다 DHCP설정시 make resolv.conf 즉 새롭게 nameserver를 초기화 해주는 동작이다. /etc/network/interface 에서 static 하게 설정을 하였더라도 위 저 동작은 꺼지지 않았다. 그리하여 찾아낸 방법이 # find / -name dhclient-script 2>/dev/null /sbin/dhclient-script # vi /sbin/dhclient-script no nu 343번 정도에 가면 make_resolv_conf 라는 문구가 있다. 이 부분을 주석처리한다. DHCP를 통해 IP를 자동으로 할당 받을 때 dhclient-script에 의해 .. 더보기
DVWA 01. 리눅스에 DVWA 설치하기 DVWA(Damn Vulnerable Web Application)은 취약한 웹 어플리케이션으로 웹 모의해킹을 학습/연구 목적으로 개발된 환경이다. 목적 - 웹 사이트의 취약점을 알고 웹해킹을 이해 환경 - Apache + PHP + MySQL 시작하기 - Kali Linux 를 이용한 Apache 웹 서버와 MySQL DB구축 PHP에 대한 전반적인 이해 - 웹 페이지는 크게 두 분류로 나눌수 있습니다. 첫 번째는 프론트 앤드(front-end) 개발 즉, 디자인입니다. 클라이언트에게 직접적으로 노출되는 부분들입니다. 주로 CSS, HTML같은 언어가 있고 - 두 번째는 백 앤드(back-end)입니다. 클라이언트에게 보여지진 않지만 웹의 동작과 기능을 담당하는 언어입니다. 예를들면 로그인,검색,회원가.. 더보기