kevin의 정보보안 블로그 kevin의 정보보안 블로그

1. MITRE ATT&CK 모델 개념과 구성 요소MITRE ATT&CK은 실제로 관찰된 공격자의 그룹들의 정보를 기반으로 만들어진 전술/기술 내용을 담은 지식베이스모델은 크게 엔터프라이즈, 모바일, ICS 3개로 구분엔터프라이즈 매트릭스의 경우 윈도우, 맥OS, 리눅스, 클라우드 카테고리로 구분 2. MITRE ATT&CK 모델의 TTP 매트릭스MITRE ATT&CK 모델은 TTP(Tatics, Techniques, Procedures) 개념을 기반으로 매트릭스 형태로 표현  여기서 Matrix 상단의 Tatic 들은 순서대로 나열된 것이 아님전체 공격 시나리오의 단계별 목표를 위해 선택적으로 사용 3. 그 외 정보 3.1 BAS(Breach & Attack Simulation)네트워크의 사이버 방어를..

1. 실습이론을 기반으로 실습을 진행한다. 4.1 시나리오 #1프로세스 이상 경로 확인을 진행한다.  여기서 -i 옵션은 대소문자를 구분하지 않는다는 의미이며, -v 옵션의 경우 사용자가 지정한 문자열을 제외하겠다는 의미이다. 그렇기에 위 명령을 해석할 시 dlllist.txt 파일에서 command line 부분을 대소문자 구분 없이 추출하고 추출된 command line 부분에서 대소문자 구분 없이 windows, program files, systemroot 경로를 가지고 있는 것들을 제외시키고 출력시키라는 의미이다. 출력된 결과를 토대로 확인해봤을 때 출력된 프로세스들은 모두 정상 적인 빌트인 프로세스 파일로 확인된다. 여기서 위 빌트인 프로세스들이 출력된 이유는 해당 프로세스들은 보통 Syste..

1. 개요침해사고가 발생한 시스템은 정상 시스템 대비 여러가지 이상 징후를 가지고 있다. 이러한 이상 징후 식별 방법은 아래와 같다. 1. 프로세스의 이상 징후 식별- 경로 및 이름 분석- 리니지 분석- 명령라인 파라미터 분석- 이미지 버전 정보 분석 2. 제어 지속 지점의 이상징후 식별- 시작 프로그램- 테스크 스케줄- 레지스트리 자동실행 포인트- LoL 바이너리 실행 여부 분석 3. 메모리 분석을 통한 Process Injection 징후 식별- 커널 메모리 영역의 VAD 자료구조 분석- Process Injection 기법 확인 4. 파워시스템 분석을 통한 이상 징후 식별- 타임라인 기반 분석- 시간 조작 여부 확인- NTFS ADS 사용 여부 확인- 악성코드 은닉 여부 확인 이러한 이상 징후 식별..

상태추적 방식(Stateful Inspection)이란기존의 방화벽에서는 IP 차단 시 Inbound 및 Outbound 정책 모두 생성해 차단을 진행하여야 했다.하지만 시간이 흘러 방화벽에 진화함에 따라 상태추적 방식(Stateful Inspection) 기능을 가진 방화벽이 등장했다. 여기서 상태추적 방식(Stateful Inspection)이란:기존 방화벽의 패킷 필터링 기능에 Session 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하고, 순서에 위배되는 패킷들은 모두 차단한다.UDP 또한 추적이 가능하다.동작 방식:연결을 위해 패킷이 방화벽으로 들어온다.방화벽은 해당 패킷을 세션 테이블에 기록해두고 내부 정책과 비교 후 허용된 정책일 경우 안으로 들여보낸다.요청을 받은 서버가 해당..

프록시란 서버와 클라이언트 사이에서 대리로 통신을 수행해주는 것을 프록시라 한다. 예를 들어 철수, 영희, 가희가 있다. 철수는 가희에게 말을 걸고 싶지만 딱히 친분이 없다. 하지만 영희는 철수, 가희 모두와 친하다. 그렇기에 철수는 영희에게 가희의 취미가 뭐야? 라고 물어보고 영희는 가희에게 해당 질문을 통해 답을 얻고 철수에게 전해준다. 이 일련의 과정이 프록시가 하는 일과 같다. 1. 철수(클라이언트)가 영희(프록시)에게 "가희에게 취미가 뭔지 질문해줘"라고 요청 2. 영희(프록시)가 가희(서버)에게 "너 취미가 뭐야"라고 질의 3. 가희(서버)가 "나는 달리기가 취미야"라고 답변 영희(프록시)에게 전달 4. 영희(프록시)는 "가희는 달리기가 취미래"라고 철수(클라이언트)에게 전달 프록시 서버 위에..

IP란 IP란 호스트(네트워크 + 컴퓨터)에 부여되는 고유한 주소이다. IP는 IPv4와 IPv6가 존재하며 IPv6의 경우 네트워크 장비들의 수가 급증함에 따라 IPv4 주소체계의 주소 고갈을 해결하기 위해 개발되었다. 하지만 IPv6 장비로 모두 교체하는데에는 천문학적인 자금이 필요하기에 IPv4 주소체계를 계속 사용중이다. IP는 일반적으로 192.168.111.223 과 같이 마침표로 구분된 4개의 숫자가 있고 10진수 형식으로 표현된다. 이를 2진수로 변환할 시 11000000.10101000.01101111.11011111(192.168.111.223) 처럼 1비트씩 32개 = 32 bit, 8 bit = 1 byte 이기에 4 byte로 표현된다 할 수 있다. IP주소 구성 IP는 네트워크 ..

Layer와 Layered 구조IT에서 설계란 목표(시스템)를 이루는 요소가 뭔지 정의 후 그 요소들 간의 관계를 규정하는 것을 설계라 함의존관계가 직렬적으로 성립할때 Layered 구조로 표현존립이 의존적Network관계Networking상호작용User mode와 Kernel mode인터페이스커널의 구성 요소를 유저 모드 어플리케이션 프로세스가 접근할 수 있도록 커널에서 길을 열어줌파일의 형태로 되어 있음TCP/IP를 추상화 시킨 인터페이스 파일은 파일이라 불리지 않고 소켓이라 불림 소켓소켓을 열고 닫았다 할때의 그 주체는 프로세스임어떤 프로세스가 어떤 소켓, 즉 파일을 열었다라는 뜻OSI 7계층의 L5 이상부터는 유저 모드 애플리케이션에 해당OSI 7계층의 L3 이상부터는 커널 모드에 해당L3~L7까..