Security103 APT 공격이 뭐지? “최신 IE도 APT 공격에 노출” IE가 인터넷 익스플로러(Internet Explorer)인 것 까지는 알겠는데, APT 공격은 뭐지? 아파트를 공격하는 건가?? 아니 얼마 전에 발생한 `3.20 사이버테러'도 APT공격이라고 하니 그건 아닌 것 같은데...... 여전히 정보보안 기사 속에는 모르는 말들 투성이입니다. 최근에 정보보안 기사를 보면 ‘APT 공격’이라는 말을 자주 볼 수 있는데요. 오늘은 정보 보안 기사 속 용어들을 쉽게 설명해드리는 그 2번째 시간으로 APT공격에 대해서 알아보도록 하겠습니다. (그전에 악성코드와 키로커, 피싱과 스미싱에 대해서 알고 싶으시다면 기사 속 정보보안 용어해설 1편!을 확인해 보세요~) APT 공격이란? APT는 Advanced Persistent Threa.. 2014. 4. 8. 침입탐지시스템(IDS)의 분류방식과 종류 □ 침입탐지 시스템 (IDS)의 정의 ○ 컴퓨터/네트워크에서 발생하는 이벤트들을 모니터링(Monitoring)하고, 침입 발생 여부를 탐지(Detection)하고, 대응(Response)하는 자동화된 시스템 □ 주요기능 ○ 네트워크의 실시간 감시 ○ 네트워크의 전용선과 생산성 향상 및 남용방지 ○ 정책에 의한 특정 서비스의 차단 및 로그 ○ 침입 시도 재연 기능 ○ 침입 분석 및 네트워크 사용 분석레포트 제공 ○ 실시간 로그인 및 경고 □ 침입 탐지시스템의 분류 1. Information Source 기준 분류 ○ 호스트 기반 IDS - 데이터 소스 . OS 감사자료(audit trail) . 시스템 로그 (시스템에 직접 설치하여 탐지) - 장점 . 네트워크 기반 IDS 에서는 탐지 불가능한 침입 탐지 .. 2014. 4. 8. Suricata - preparing 10Gbps network cards for IDPS and file extraction OS used/tested for this tutorial - Debian Wheezy and/or Ubuntu LTS 12.0.4 With 3.2.0 and 3.5.0 kernel level respectively with Suricata 2.0dev at the moment of this writing. This article consists of the following major 3 sections: Network card drivers and tuning Kernel specific tunning Suricata.yaml configuration (file extraction specific) Network and system tools: apt-get install ethtool bwm-ng .. 2014. 3. 31. Building an IDS : installing snorby, suricata and barnyard2 Reference 1:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Snorby_and_Barnyard2_set_up_guide Reference 2: http://www.aldeid.com/wiki/Suricata/Setting-up-rules Reference 3: https://www.corelan.be/index.php/2011/02/27/cheat-sheet-installing-snorby-2-2-with-apache2-and-suricata-with-barnyard2-on-ubuntu-10-x/ Reference 4: https://github.com/Snorby/snorby/issues/102#issueco.. 2014. 3. 31. Suricata IPS CentOS 6.4 설치 방법 git 을 이용한 설치 https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_64_Installation_(with_unix_socket_geoip_profiling_and_MD5_features) inline IPS 설정 https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux Barnyard2 설치 시 필수 패키지 : mysqlclient16, mysqlclient16-devel ./configure --with-mysql-libraries=/usr/lib64/mysql/ Barnyard2 연동 sensor man.. 2014. 3. 31. barnyard2 test based on ubuntu 13.04 cd /usr/local/snort/rules 테스트용 rules 파일 생성 sudo vim local.rules 맨밑줄에 alert tcp any any -> any any (msg:"test"; sid:1000000) # tcp 를 통해 모든 ip의 모든 port 를 통해, 모든 ip의 모든port 를 향해 패킷이 들어오면 msg 를 남겨라 1. barnyard2, snort 실행 1) snort sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0 -D 감시할 NIC에 따라 eth0 이든 eth1 이든 eth0 이 아닌경우 barnyard2 에서도 설정을 동일하게 맞춰줘야함 2) barn.. 2014. 3. 31. barnyard2 데몬 만들기 리눅스에는 데몬이라는게 있어서 데몬 모드로 실행을 하면 백그라운드에서 돌아가는 듯 하다. 그래서 이 데몬을 만들어서 부팅시 시작하게 만들어주면 서버가 구동됨과 동시에 서비스를 시작하게 만들 수 있다. [ Snort 데몬 만들기 ] ln -s /usr/local/bin/snort /usr/sbin/snort cp /usr/local/snort-2.9.1/rpm/snortd /etc/init.d cp /usr/local/snort-2.9.1/rpm/snort.sysconfig /etc/sysconfig/snort cd /etc/rc3.d ln -s ../init.d/snortd S99snortd cd ../rc0.d ln -s ../init.d/snortd K99snortd cd /etc/rc5.d ln -.. 2014. 3. 31. barnyard2 syslog 설정 1. barnyard2 syslog 설정 Snort에서 Output을 담당하고 있는 모듈인 barnyard에서는 syslog로의 출력도 지원한다. /etc/snort/barnyard2.conf 파일에서 syslog output 부분에 다음과 같이 설정해줍니다. output alert_syslog: xxx.xxx.xxx.xxx, LOG_AUTH LOG_ALERT 앞의 주소는 로그를 보낼 원격지 주소이고 뒷 부분은 어떤 종류의 로그를 보낼지를 정의합니다. 2. rsyslog 설정 /etc/rsyslog.conf 파일에서 rsyslog를 설정할 수 있습니다. # Provides UDP syslog reception 부분에서 udp포트를 정의하는데 기본으로 514로 정의되어있으므로 아래 두 줄의 주석만 해제해주.. 2014. 3. 31. Snort 2.9.1 설치 방법 금일 컴퓨터통신 연구실의 컴퓨터에 IDS를 설치하였다. 프로그램을 설치할 운영체제는 CentOS 5.7 이다. 그리고 설치할 프로그램은 Snort 2.9.1 버전이다. 운영체제를 설치할 때는 불필요한 패키지는 모두 제거하고 최소 모드로 설치를 하였다. 먼저 Snort를 설치하기에 앞서 VMware Tool 을 설치한다. 다음은 몇 가지 필요한 프로그램을 설치하여야 한다. 지금부터 소스코드를 컴파일 할 것이기 때문에 컴파일러가 필요하다. yum -y install cc, gcc, gcc-c++ 다음은 wget을 이용하여 아래 파일을 다운로드 받는다. 1. libnet http://www.seronline.de/download/libnet-1.0.2a.tar.gz 2. libdnet http://libdne.. 2014. 3. 31. barnyard2 설치 #####snort.conf 설정변경########################## 두줄추가 (output부분) #unified output unified2: filename snort.log, limit 128 ########barnyard2 설치(64bit기준)######################################## cd /root/ barnyard2.tar.gz복사 tar zxvf barnyard2-1.8.tar.gz cd barnyard2-1.8 ./configure --with-mysql-libraries=/usr/lib64/mysql/ make make install cp etc/barnyard2.conf /etc/snort/ mkdir /var/log/barnyard2 chm.. 2014. 3. 31. Snort 설정 구성표 및 Telnet 패킷 검출 기본적인 Snort 설정 구성표 • mkdir /etc/snort • mkdir /var/log/snort • cd /etc/snort • tar zxvf /home/bubba/snortrules-snapshot-2910.tar.gz -C /etc/snort • cp etc/* /etc/snort • groupadd snort • useradd -g snort snort • chown snort:snort /var/log/snort • touch /var/log/snort/alert • chown snort:snort /var/log/snort/alert • chmod 600 /var/log/snort/alert • mkdir /usr/local/lib/snort_dynamicrules • cp /etc.. 2014. 3. 31. Snort를 이용한 Brute Force 공격 탐지 시나리오 Snort를 이용한 SSH 접근 검출 시나리오 개요 Snort를 이용해서 관리자 외에 SSH Server에 접근하려는 패킷을 검출해보도록 하자. 시나리오 사용 툴 FreeSSHd Putty Snort 시나리오 망 구성도 IP 구성도 IDS_CentOS : 192.168.10.30 WIN_XP_SSH : 192.168.10.20 BackTrack : 192.168.20.20 Administrator : 172.168.10.10 SW1 : 172.168.10.1 SW2 : 192.168.20.1 SW3 : 192.168.10.1 Serial : 10.10.10.0 대역대 사용 시나리오 순서 설명 WIN_XP_SSH를 SSH를 이용하여 관리하려는 관리자가 존재한다. 이 관리자는 IDS를 설치 한 후 .. 2014. 3. 31. Snort를 이용한 Port Scanning & Reverse Shell 탐지 시나리오 Snort를 이용한 Nmap Port Scanning 탐지 시나리오 사용 툴 Snort Nmap Hping2 시나리오 망 구성도 시나리오 개념 BackTrack(공격자)에서 WIN_XP를 Port Scanning을 통해 활성화 되 있는 포트를 찾아 취약점을 공략하려 한다. 이때 관리자는 Snort의 탐지 룰을 추가하여 자신 이외에 다른 사용자가 XP에 포트 스캐닝을 하는 것을 탐지하려고 한다. 이에 따라 룰을 추가하여 보자. 시나리오 순서 설명 Hping을 이용해서 각 플래그옵션을 이용한 공격으로 발생되는 패킷 확인 SYN 패킷 위를 살펴보면 공격자(172.168.10.10)에서 지속적으로 1004번 포트로 SYN Packet을 전송하는 것을 볼 수 있다. ACK 패킷 위를 살펴보면 공격자(17.. 2014. 3. 31. Snort를 이용한 DOS 형태의 공격 탐지 시나리오 Snort를 이용한 Ping of Death탐지 시나리오 사용 툴 hping3 Wireshark Snort 시나리오 망 구성도 시나리오 개념 BackTrack을 이용하여 Ping of Death를 수행 한 후 이를 탐지하는 Snort Rule을 구성해보자. 시나리오 순서 개념 1. BackTrack을 이용한 Ping of Death 공격 수행 #hping3 --icmp [타켓's ip] -d [Data Size] --flood 위의 그림처럼 hping3 툴을 이용하여 데이터가 65000 Byte인 ICMP Packet을 지속적을 보내보도록 하자. 이어서 WIN_XP로 돌아가 결과를 살펴보도록 하자. 2. WIN_XP에서 공격 결과 살펴보기 위처럼 XP에는 IP 속성을 가진 패킷이 계속적을 전달되.. 2014. 3. 31. Barnyard2 설치 Banryard의 개념 barnyard는 Snort가 기본적으로 갖고 있는 출력 기능을 대신 해주는 도구로서 Snort의 효율성을 향상 시켜 준다. snort의 새로운 unified2 파일 형식용으로 특별히 만들어 진 것으로 현재는 Barnyard2-1.9가 최신이며, 계속해서 사용자들의 피드백으로 업데이트 되고 있다. Barnyard 설치 과정 service mysqld start => 먼저 Barnyard는 DB를 사용하므로 MYsql을 실행시켜 준다. mysql로 접속을 한 후 설정을 해주도록 한다. SET PASSWORD FOR root@localhost=PASSWORD('본인이 설정할 비밀번호'); create database snort; => snort라는 사용자 DB를 생성 grant ALL.. 2014. 3. 31. Barnyard 설치 & 설정 barnyard는 Snort가 기본적으로 갖고 있는 출력 기능을 Snort 대신 해주는 도구이다. Snort의 목적은 탐지하는 기능이다. 그렇기 때문에 출력하는 기능을 외주를 준다고 생각하면 된다. 그렇게 되면 Snort는 패킷을 탐지하고 분석하는 기능만을 중점적으로 하기 때문에 좀 더 효율적인 운영이 가능하다. 그래서 snort.conf 파일에서 수정한 output database 부분은 주석처리를 하고 barnyard에서 database 부분을 설정해서 사용하는 것이다. barnyard도 압출 풀고 설치하는 과정은 똑같지만, mysql이 들어가는게 다른 부분이다. ./configure --with-mysql && make && make install 그리고 /usr/local/barnyard2-1.9.. 2014. 3. 31. ‘행위 분석 우회 기법’ 사용하는 악성코드까지 잡는다! 많은 APT 대응 솔루션 벤더들이 신종 악성코드(unknown malware) 탐지를 위해 시그니처 리스(signature-less) 기술을 강조하고 있다. 이들 벤더들이 사용하고 있는 기술은 가상 머신(Virtual machine)이나 샌드박스(sandbox) 기반의 ‘행위 분석 기술’이다. 하지만 ‘샌드박스 기반의 행위 분석 기술’에 의존해서 신종 악성코드를 탐지하는 것은 더 이상 효과적이지 않을 것으로 예상된다. 최근 공격자들은 자동화된 행위 분석 시스템을 우회하기 위해 새로운 방식을 사용하는 악성코드 제작에 주력하고 있기 때문에 악성코드는 획기적으로 강력해지고 있다. 이 글에서는 샌드박스 기반의 행위 분석 기술의 한계가 무엇인지를 알아본다. 그리고 이를 대체할 수 있는 안랩 트러스와처(AhnLab.. 2014. 3. 28. 다음 세대 V3, AhnLab Next V3 – 파일 분석 보고서 1. 개요 Next V3의 새로운 기능인 파일 분석 보고서의 기능에 대하여 알아봅니다. V3의 보고서 기능은 두 가지 종류가 있는데, 네트워크 관련 보고서는 짧게나마 네트워크 기반 탐지에서 다루었습니다. 강화된 보고서 기능은 사용자 편의성을 더 높게 해주는 효과가 있었으며, 보다 더 정밀하게 검사할 수 있게 되었습니다. 2. 파일 분석 보고서의 접근 실제 프로그램 내 대부분의 프로그램 이름이나 경로, 호스트 주소는 더블클릭이나 클릭할 경우 파일 분석 보고서를 사용할 수 있습니다. 전부 다 설명할 수는 없겠지만, 크게 몇 가지만 나누자면, 2-1. 프로그램 내의 접근 네트워크 방역과 클라우드 평판 모두 동일하게, 더블클릭 형식으로 접근할 수 있습니다. 2-2. 윈도우 확장 접근 윈도우 확장 쉘에서 파일 분.. 2014. 3. 27. 이전 1 2 3 4 5 6 다음