본문 바로가기

보안

(9)
ATT&CK for Enterprise 소개 (feat. Cyber Kill Chain) ATT&CK for Enterprise는 기업의 네트워크 내에서 공격자가 침입시도를 할 때 발생하는 행위들을 설명하기 위한 공격 모델링 프레임워크이다. 이 모델은 공격자의 행동을 구체적으로 설명하기 위해 사용될 수 있다. 또한 방어자의 지식을 향상시키고, 사이버 위협 발생시 공격자들이 내부 네트워크에서 타겟에 접근하고 공격을 실행하는데 사용하는 전술, 기술, 절차(TTPs : Tatics, Techniques, Procedures)를 상세히 기술함으로써 네트워크 방어 우선순위를 정하는 데 도움이 된다. ATT&CK for Enterprise는 MITRE의 연구를 통해 수집된 사이버 공격에 대한 정보와 침투 테스트와 레드팀 구성과 같은 여러 분야의 정보를 통합하여 공격자들이 네트워크 침입시 나타나는 특징들..
NIST CSF(Cyber Security Framework) 개요 NIST Cyber Security Framework 일반적으로 NIST 사이버보안 프레임워크(CSF)라고 불리는 중요 인프라 시스템의 사이버보안 부문 강화를 위한 프레임워크는 민간 조직들이 사이버 사고를 예방, 탐지 및 대응할 수 있는 능력을 평가하고 향상시킬 수 있게 해준다. 버전 1.1은 미국 국립표준기술원(NIST)이 2018년 4월 발간한 것으로 여러 산업군에서 빠르게 사용되고 있다. NIST CSF는 사이버보안 활동을 지도하고, 사이버보안을 조직의 위험 관리 프로세스의 일부로 관리한다. 많은 조직들이 사이버 보안 위험을 관리하기 위해 이 프레임워크를 도입하고 있다. 2019년 SANS OT/ICS 사이버보안 조사에 따르면 NIST CSF는 현재 가장많이 사용되고 있는 프레임워크다. The 3 ..
원격 / 재택근무 시 보안담당자가 해야 할 일 코로나19로 인해 많은 기업들이 현재도 재택근무를 실시하고 있다. 그동안 망 분리 정책으로 원격 접속이 어려웠던 금융권까지도 비조치의견서를 통해 재택근무가 허용되었다. 비조치의견서에 따르면 업무연속성을 위해 재택근무를 위한 원격접속을 허용하였다. 다만 전자금융감독규정 시행세칙 제2조의 3항에 나온 "망분리 대체통제 정책"을 준수하도록 했다. 이는 업계에서 흔히 말하는 "별표 7"에 해당하는 내용으로 내부망, 외부망, 메일 시스템, 단말기 보안 강화와 원격 접속 통제 수립 네가지로 크게 구분되어 있다. 이 중 원격접속 통제 수립에 나온 내용은 재택근무를 실시하는 비금융사 담당자들도 참고할 만한 내용이다. 다른 세가지 보안 강화도 지키면 더욱 좋겠지만 비용 / 솔루션 / 구축기간등의 어려움이 있을 것이다. ..
파이썬 & Nmap 으로 Anonymous FTP 찾기 모의해킹에서 의외로 자주 지적되는 항목 중에 하나는 비밀번호가 설정되지 않은 FTP 서비스의 사용이다. 검사를 위해서는 보통 nmap으로 21번 포트를 검사해서 open으로 나오는 IP로 접속해보는 것과, nmap에서 제공하는 nse 스크립트를 사용해 점검하는 방법이 있다. 내부 IP 대역을 FTP 클라이언트 프로그램으로 전부 접속해보는 방법도 있지만 공수 대비 결과가 별로다. 짧은 기간 안에 많은 항목과 부분들을 점검해야 하는 모의해킹에서 위 방법은 효율이 떨어진다. 간혹 가다가 내부 보안 정책으로 nmap 파일이 실행이 안 되는 경우가 있는데 점검은 해야 되는 경우가 있다. 이럴 경우 담당자에게 말해서 임시로 예외처리를 받고 점검을 진행하기도 한다. 하지만 간혹 가다가 실행 파일은 막혀 있지만 외부 ..
Hackerschool 워게임 Level2 해커스쿨 워게임 Level2 문제입니다. 역시 이번에도 putty를 사용하여 서버에 접속을 합니다. 저번에 level1으로 접속을 해서 문제를 풀어 level2의 비밀번호를 획득했기 때문에 level2로 접속을 하면 해당 디렉토리로 이동을 하게 됩니다. level2의 디렉토리로 접속이 된것을 볼 수 있습니다. ls 명령어를 사용하니 역시 문제풀이의 단서가 될 hint 파일이 보입니다 cat 을 이용해서 hint의 내용을 살펴 보겠습니다. 텍스트 파일 편집 중 쉘의 명령을 실행 시킬수 있다고 합니다. 아마 텍스트 편집기에서 쉘 명령어를 입력 시킴으로써 권한 상승을 노려보라는 뜻인것 같았습니다. 쉘변경 명령어는 저번에 이미 알았으니 level2의 권한으로 열람이 가능한 level3 계정 소유의 텍스트 파..
Hackerschool 워게임 Level1 방학을 맞이하여 개강때까지 해커스쿨에서 제공하는 워게임을 하나씩 풀어보려고 합니다. 아마 7월중에는 인턴을 하니까 주중에는 업데이트가 뜸할거 같구요 주말을 활용해서 할 것 같습니다. 오늘은 첫번째로 Level1 문제를 풀어보는 시간을 가져 보도록 하겠습니다. 먼저 해커스쿨에서 제공하는 계정과 패스워드를 가지고 접속을 하면 아래와 같은 화면이 나타납니다. 처음에는 뭘 해야될지 막막하지만 ls 명령어를 사용하여 해당 경로에 어떤 파일들이 있는지 먼저 알아보도록 하겠습니다. 그러면 Hint라는 파일이 보일텐데 cat 명령어를 사용하여 힌트를 한번 읽어 보도록 합니다. level2 권한에 setuid가 걸린 파일을 찾아야 한다고 입력이 되어 있네요 find 명령어를 사용하여 해당 조건에 맞는 파일을 찾아 보..
리눅스의 암호저장 방법(passwd & shadow) 방학동안 복학 후 거의 하지 못했던 보안 공부를 처음부터 다시 시작하고 있습니다. 일단 교재의 경우 정보보호3형제 책을 사용하고 있습니다. 오랜만에 VM ware를 설치하고 리눅스를 써보니까 재미가 있습니다.역시 자기가 하고 싶은걸 공부할 때 제일 재미있고 밤새는것도 힘들지 않고 그런것 같습니다. 리눅스에서는 윈도우에서와 마찬가지로 각각의 사용자를 만들 수 있고 암호를 설정 할 수 있습니다. 그렇다면 우리가 리눅스를 사용하기 위해서 설정한 이런 암호들이 어딘가에 저장되어 있어야 로그인을 할때마다 해당 암호를 확인하고 일치 여부를 판명해서 로그인을 허기하거나 거부하는 로직이 필요하다는 것은 쉽게 생각해 볼 수 있는 사실입니다. 리눅스의 경우 /etc/passwd 란 위치에 각 유저와 암호정보들을 기본적으..
HDCON2010 - 1번 문제 풀이  문제풀이 서버에 접속을 하면 다음과 같은 사진이 있다. 요즘 바코드 대신 쓰이는 QR Code가 눈에 바로 들어와서 구글에 QRCODE DECODE 로 검색을 하여 이미지로 제출한 QRcode를 해석해주는 웹사이트를 찾아 내었다.  그림파일을 저장한후 위의 사이트에서 그림파일을 제출하면 다음과 같이 QRCode 이미지가 디코딩되어 나온다 QR Code 문제는 조금 의외였다. 2차원 바코드가 문제에 나와서 처음엔 이해가 안갔지만, 알고보니 스마트폰 어플리케이션으로 요즘 QRCode 인식 어플이 많이 있는데 이를 악용하여, 이미지속에 악성코드를 숨겨놓아 실행시키는 방법이 있다고 넌지시 알려준다. 무서운 세상이다.