암호화 통신 공격의 이해 SSL MITM 공격의 이해- SSL MITM 공격 원리  > 공격자는 중간에서 스푸핑 작업을 통해 HTTPS 요청을 기다림  > 이 때 HTTPS 요청이 생기면 공격자의 가짜 인증서를 클라이언트에 전달  > 피해와 공격자 사이에서는 공격자의 인증서로 통신  > 공격자와 서버는 실제 서버의 인증서로 통신SSL Strip 공격의 이해- SSL Strip 공격 원리  > 공격자가 ARP Spoofing 공격 후 피해자가 접속 시까지 기다림  > 방화벽 정책을 설정하여 80번 포트로 들어오는 것을 임의의 포트로 포워딩  > 공격자가 SSL Strip 기법으로 SSL 통신을 하지 않도록 만듦  > 피해자가 서버 접속 시 https가 아닌 http로 접속하게 됨  > 공격자는 패킷을 캡쳐..

SSL과 TLS의 이해SSL(Secure Socket Layer)은 인터넷 상에서의 보안 통신을 얘기하며, 전자서명 기술을 기반으로 한 암호화 프로토콜을 이용한다. - SSL이란 Secure Socket Layer의 약어로 인터넷에서 데이터를 안전하게 전송하기 위한 인터넷 통신 규약 프로토콜- 클라이언트가 서버에 접속하면 HTTPS 포트로 Redirect- 클아이언트는 HTTPS 포트인 443번으로 연결- Security Socket Layer의 약자 / TLS : Transport Layer Security  > 1.0, 2.0, 3.0으로 구성되어 있으며 TLS 버전으로 변경되면서 TLS 1.0 ~ 1.3 버전까지 공개  > CA(Certifiacte Authority)라 불리는 인증 기관으로부터 서..

BPS 유형의 DoS 공격 이해 UDP Flood 공격이란?- UDP를 이용한 비연결형 DDoS 공격의 일종- 대량의 UDP를 발생하여 정상적인 서비스를 하지 못하도록 가용성 침해를 일으키는 공격- UDP 패킷을 받은 시스템은 포트를 사용하는 어플리케이션이 없다는 것을 확인한 후 ICMP Destination Unreachable 패킷을 출발지로 보내는 작업을 수행- 대부분 공격자가 UDP 패킷의 출발지 주소를 임의로 생성하여 보내 공격자로 패킷이 전달되지 않음- 현재 대부분의 OS에서 ICMP 응답비율을 제한함으로 UDP Flood 공격의 위험을 경감  PPS 유형의 DoS 공격 이해- PPS(Packet Per Seconds) 공격은 패킷을 다량으로 보내어 서버의 자원 고갈을 목적으로 하는 공격PPS..

DoS - Denial of Service의 줄임말- 서비스를 일시적 또는 무기적으로 중단시키는 공격 유형을 통틀어 뜻함- 시스템의 과부하나 시스템 오류를 일으켜 일부 또는 모든 합법적 요청이 정상 동작하지 않도록 수행- 대표적인 공격 예시 : Ping of Death 공격 DDoS- 여러 시스템이 대상 시스템의 대역폭이나 리소스를 초과하여 서비스를 거부하는 방법- 보통 시스템에 넘쳐나는 트래픽으로 시스템을 손상시킴- 시스템의 결합이 아니더라도 가용성 침해 공격이 가능- DoS와 DDoS를 동일선상에서 비교하는 것이 아닌 DoS 중 하나의 형태로 생각해야함- 대표적 공격 예시 : SYN Flooding 공격* 금전적인 이유로 DoS 공격의 횟수는 시대가 변함에 따라 다양한 디바이스로 확대되고 있으며, 공..

ARP 스푸핑을 이용한 MITM 공격 ARP 스푸핑?- 근거리 네트워크(LAN) 환경에서 발생하는 중간자 공격에 사용되는 기술로 활용- IP에서 MAC 주소로 변환하는 과정에서 발생하는 ARP Reply 패킷을 속여 공격하는 방식 ARP 스푸핑을 이용한 MITM 공격 원리- 두 단말 간의 통신을 정상 통신으로 속여 자신에게 향하게 만들어 통신하도록 하는 기술- 두 단말 간의 정상적 통신을 하는 것으로 알고 있지만 실제로는 공격자를 통해 패킷을 전달- 공격자는 두 단말 간의 통신 내용을 스니핑(Sniffing) 또는 스푸핑(Spoofing)하여 전달 가능ARP 스푸핑 공격 과정- 공격자(IP:X.X.X.40)은 B사용자 PC에게 연결하고자 하는 A사용자 IP에 자신의 MAC 주소를 포함하는 ARP repl..

근거리 네트워크 위협 근거리 네트워크 공격 종류LAN 범위 내에서 수행될 수 있는 공격에 한정하여 OSI 7 Layer 중 2계층에서 이루어지는 공격을 의미  ARP를 이용한 MITM 공격- Man in the Middle 의 약자로 중간자 공격이라 불림- 통신하는 두 단말 사이에 중간자가 침입하여 양단의 통신을 도청하거나 조작- 중간자 공격을 막기 위해 TLS/SSL 프로토콜을 이용한 공개 키 기반 인증을 사용- 2계층에서 주로 활용하는 공격으로는 ARP 스푸핑을 연계한 공격이 존재  STP(Spanning Tree Protocol) 공격- STP는 스위치 네트워크 환경에서 사용되는 프로토콜- 루핑(정상적인 연결을 수행하지 못하고 통신이 쳇바퀴처럼 도는 현상) 공격을 방지하는 프로토콜- STP를 이용하..

스캐닝이란? 특정 시스템 또는 인프라에서 어떤 단말 또는 서비스가 존재하는지 확인하기 위한 단계침투를 하기 위한 사전 단계로서 주로 활용ATT&CK 메트릭스에서 Discovery 전략 단계로 구분네트워크를 기반한 정보 수집이기 때문에 정보 내용이 선명하지 않음단말의 전원 꺼짐, 네트워크 요청과 응답으로부터 오는 정보의 부족으로 인해 100% 정확한 정보 수집은 어려움 1. 공격자 관점에서의 스캐닝공격의 범위를 산정공격 대상을 식별사용할 공격 도구 또는 취약점을 사전에 파악하여 준비하는 단계 2. 방어자 관점에서의 스캐닝진단의 기능취약점 진단, 모의해킹 등의 기술적 진단 업무 중에서 업무를 수행하기 전에 자산이나 취약점 진단 대상을 파악하기 위한 단계진단 업무 수행 전 도구의 준비 등을 수행하기 위한 단계..

Wireshark를 이용한 공격 분석패킷 수집 기법- 패킷 수집 방법으로는 Hub, Switch, TAP 등의 방법이 가장 대표적으로 사용- 각 수집 방법에 따른 장단점 발생 HUB 방식> 모든 네트워크 트래픽을 공유하게 되며 Half-Duplex 방식> 일반적으로 10 Mbps 장비들이 가장 많으며 간혹 100 Mbps 지원 장비도 있음> 콜리전이 발생하게 되며 사용 시 재전송이 증가할 수 있음 Switch 방식> 네트워크 장비에서 지원이 가능해야 됨 ex) 구형 시스코의 경우 TX, RX 합쳐서 2개 지원 가능> 벤더에 따른 명령어가 다름 ( 일반적으로 미러링 또는 SPAN이라고 함)> Full-Duplex 지원이 가능하며 이에 따른 트래픽 초과가 발생할 수 있음 TAP(Test-Access-Port..

ATT&CK와 TTPsTTPs 방법론여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함 특정 악성코드 변종 예시특정 공격 패턴공격자가 사용하는 인프라피해자 공격 대상TTPs 방법론(MITRE)- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시- ATT&CK : Adversarial Tactics, Techniques, and Common Knowledge의 약자 전략(Tactics)Initial Access- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는 공격..