2020. 07. 09침해사고(2)

시스템 점검 도구(특징)

닉토(nikto): 공개용 웹 취약점 점검 도구

네서스(nessus): 취약점 점검 도구

트립와이어(Tripwire): 무결성 점검 도구

chkrookit: 루트킷(Rootkit)점검 도구

리눅스 파일 속성 설정

chattr 명령을 써서 속성을 변경한다.

lsattr [파일명]

i 속성: 읽기 전용 모드로 바뀌며 파일 삭제가 되지않는다.

a 속성: append만 가능하다.(리다이렉션으로 >>, >)

A 속성: Access Time을 변경하지 않는다.

리버스 쉘(백도어)

nc사용(netcat)

DBD(Drive By Download)침해 사고

공격자는 홈페이지를 해킹한 후 사용자 PC의 취약점을 익스플로잇하는 악성 스크립트와 악성코드를 은닉시키고 취약한 PC환경의 사용자가 홈페이지에 접속할 경우 자신의 의도와는 무관하게 악성코드가 다우놀드 되어 설치되는 공격기법을 말한다.

난독화 이해하기

- 프로그램 코드를 읽기 어렵게 만드는 기술

- 역공학을 통해 분석하기 어렵게 변조하는 기술

 1. 분할 난독화

 2. 10진수 난독화

 3. 16진수 난독화

 4. 기타 난독화(XOR, BASE64)

APT(Advanced Persistent Threat)

-       특정 대상을 겨냥해 다양한 공격 기법을 이용하여 장기간 지속적으로 공격하는 것을 의미한다.

-       제로데이 공격과 같이 기존에 알려지지 않았던 취약점을 이용한 공격

사이버 킬 체인(Cyber Kill Chain) 

APT방어에 대한 기준을 정립하고 어떻게 대항할지를 구상하고 이를 침입타격 순환체계로 불렀다.

1.     정찰

2.     무기화

3.     유포

4.     악용

5.     설치

6.     명령 및 제어

7.     목적 달성

SSH포트 포워딩

1. 로컬 포트 포워딩

SSH -L "로컬 리스닝 포트":"포워딩할 호스트 주소[IP:PORT]" "SSH서버 주소"

 ex)SSH -L 4321:10.10.10.10:80 10.10.10.10

2. 리모트 포트 포워딩

SSH -R "원격 리스닝 포트":"포워딩할 호스트 주소[IP:PORT]" "SSH서버 주소"

 ex)SSH -R 4321:10.10.10.10:80 10.10.10.20

NTFS파일 시스템(구조)

MBR

VBR

MFT

DATA영역

VBR BK

VBR

MFT

DATA영역

VBR BK

마스터 파일 테이블(MFT:Master File Table)
MFT엔트리의 집합으로 구성되어 있다.

RSA어쩌구 ~ FREAK공격

SSL취약점 - POODLE공격

NTP분산 서비스 거부 취약점

monlist를 이용해 과도한 패킷을 전송