FNI FNI

공격 흔적을 찾는 방법 - 운영체제 메모리에 올라와있는 정보나 네트워크 통신 정보들은 시간이 지나면 사라지는 휘발성 정보이다. (RAM, temp 폴더의 데이터 등) - 세션 정보 수집 : 세션은 통신을 할 때 수많이 생성되기 때문에, 컴퓨터는 연결이 종료되면 세션 정보를 저장해두지 않고 사라지게 한다. 그러나 키로깅 프로그램이나 백도어 프로그램은 피해 시스템 정보 수집을 위하여, 시스템 간에 연결된 통신인 세션 정보를 수집하여야 한다. - 세션 정보를 수집하기 위해서는 'netstat.exe' 명령어를 사용한다. 비정상 세션을 추출하거나 PID를 통해 의심스러운 프로세스를 점검할 수 있다. 다만, 과거의 기록은 볼 수 없고 현재의 상황만 표시된다. - 실시간 외부 모니터링 프로그램은 TCPView로 확..

넷바이오스란? - 넷바이오스(Network Basic Input/Output System)이란 OSI 세션 계층에 관련된 서비스들을 제공하여 개개인 컴퓨터의 애플리케이션들이 근거리 통신망을 통해 통신할 수 있게 하는 것이다. - IBM PC 네트워크 LAN 기술을 이용한 통신 소프트웨어용 API로, 1983년 Systek Inc에 의해 개발되었다. - 이름 서비스, 데이터그램 분배 서비스, 세션 서비스를 제공한다. - 넷바이오스명은 컴퓨터 이름 15byte와 플래그 1byte로 구성되어있다. 이 16byte의 이름으로 컴퓨터를 식별한다. 내 컴퓨터에서는 넷바이오스를 공유하고 있는 중인지 확인하는 법 - mmc에서 파일->스냅인 추가/제거->컴퓨터 관리에서 로컬 컴퓨터를 지정해주면 컴퓨터 관리->시스템 도..

우선 방화벽이란? - 방화벽이란 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 가장 기본적인 네트워크 보안 시스템이다. - 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성한다. - 즉, 외부 네트워크로부터 내부 네트워크 및 내부 자산 (PC, DB, 서버 등)을 보호하는 보안 장비이다. - 방화벽의 주요 기능으로는 접근 통제(패킷 필터링), 인증, 감사 및 로깅, 프록시, NAT 등이 있다. NAT(Network Address Translation) - NAT이란 네트워크 주소 변환의 약자이다. - 컴퓨터 네트워킹에서 쓰이는 용어로, IP 패킷의 TCP/UDP 포트 숫자와 소스 및 목적지의 IP 주소 등을 재기록하면서 ..

침입 탐지란 - 기본적으로 단순한 침입 차단보다 침입 탐지가 더 어렵다. IPS는 IDS의 기능들을 물려받은 것이다. - 침입 탐지(IDS)는 호스트 기반 IDS, 네트워크 기반 IDS, 분산(하이브리드) IDS와 같은 세 가지 논리적 요소로 구성되어있다. - 분석 방법은 이상 탐지와 오용 탐지가 있다. 그러나 실무에서는 여러 공격 패턴에 대응하기 위해 두 가지 방법을 모두 혼용하여 사용한다. 이상 탐지 - 오랜 기간 수집된 합법적인 사용자들의 행동 패턴 데이터를 분석한다. 이를 갖고 통계학적인 테스트를 이용해 판단하는 방식이다. - 정상적인 행동으로부터 수집된 데이터를 분석하여 정상적인 행동을 정의하고 정상적인 행위에서 벗어났는지를 비교하고 탐지한다. - 보통 통계, 지식기반, 기계 학습 등을 이용하여..

현대의 암호화 방식과 지문 인식 - 옛날의 기기 암호화 방식(잠금 방식)으로는 PIN 번호 입력, 비밀번호 입력, 패턴 인식 등 사람이 직접 암호를 입력하는 방식이 대부분이었다. - 그러나 최근에는 기술이 발달함에 따라 지문인식, 얼굴인식, 홍체인식 등 생체 인식 방식의 수요가 늘어나고 있다. - 최근 스마트폰에는 플래그십이나 보급형을 가리지 않고 지문인식 센서가 탑재되는 추세이다. 화면 잠금을 해제하거나 각종 결제 프로세스의 인증 수단으로 보안성과 편리성이 상당히 높기 때문이다. 지문의 보안성 - 지문이란 사람의 손가락 끝 피부에 있는 땀샘의 입구가 융선에 따라 만들어지는 모양이다. - 사람의 지문은 기본적으로 모두 다르고, 평생 변하지 않는다는 성질이 있다. 어떤 두 사람의 지문이 우연히 똑같을 확률..

윈도우 디펜더(마이크로소프트 디펜더) - Windows에는 윈도우 디펜더라는 보안 시스템이 기본적으로 내장되어있다. - 기본적으로는 Windows가 실행되면 자동으로 작동되지만, 설정의 Windows 보안 탭에서 세부사항들을 끄고 켤 수 있다. - 주로 바이러스 방어 기능을 수행하며, 주요 기능으로는 실시간 보호, 클라우드 전송 보호, 자동 샘플 전송, 변조 보호, 제어된 폴더 액세스 등이 있다. 랜섬웨어 방어 기능 - 윈도우10 RS3 버전부터는 윈도우 디펜더에 랜섬웨어 방지 기능이 추가되었다. - 알려지지 않은 응용 프로그램의 무단 변경으로부터 장치의 파일, 폴더 및 메모리 영역을 보호하는 제어된 폴더 액세스 기능, 랜섬웨어 공격이 발생할 경우 OneDrive와 연결된 계정의 파일을 복구하는 랜섬웨어..

대칭 암호화 기법 (Symmetric Encryption) - 전통적인 암호화 기법. 싱글키 암호화 기법이라고도 불리운다. - 1970년대 후반, 공개키 암호화 기법 등장 이전에 사용되던 유일한 암호화 기법이며, 줄리어스 시저 시대부터 현대까지도 사용되어왔다. 대칭키 암호화 구조의 다섯 가지 요소 1. 평문 : 암호화하고자 하는 원래 메시지나 데이터. 2. 암호화 알고리즘 : 평문에 대해 다양한 치환 작업과 변환 작업을 수행. 3. 비밀키 : 암호화 알고리즘에 입력되며, 알고리즘에 의해 수행되는 정확한 치환과 변형들은 이 키에 달려있다. 4. 암호문 : 평문과 비밀키에 따라 달라지는, 생성된 암호화 된 메시지. 5. 복호화 알고리즘 : 암호화 알고리즘과 같지만 정반대로 진행된다. 암호문과 비밀키를 이용해..

1. FIN, X-MAS, NULL 스캔 방식에 대하여 TCP (FIN/X-MAS/NULL) Scan이란, TCP 헤더를 조작하여 특수한 패킷을 만들어 보낸 후, 그에 대한 응답으로 포트의 활성화 여부를 판단하는 스캔 방식이다. 세션을 완전히 연결하지 않기 때문에 로그가 남지 않는다. FIN Scan : TCP 헤더 내에 FIN 플래그를 설정하여 전송하는 방식. X-MAS Scan : TCP 헤더 내에 플래그 값을 모두 설정하거나 일부 값을 설정하여 전송하는 방식. NULL Scan : TCP 헤더 내에 플래그 값을 설정하지 않고 전송하는 방식 2. Tool 소개 SNORT : 대표적인 IDS 오픈소스. 네트워크를 통한 침투를 탐지하는 데에 사용. 네트워크 상에서 실시간으로 흐르는 트래픽을 분석하여 패킷..