시스템/웹/포렌식 보안 썸네일형 리스트형 커널기반 루트킷 탐지 가이드 I.개요 공격자는 보통 시스템 침입에 성공한 뒤에 자신의 흔적을 남기지 않고 그리고 손쉽게 다시 시스템에 접근할 수 있도록 백도어 및 트로이잔 프로그램을 만들어 설치한다. 백도어의 주요 목적은 다음과 같다. - 관리자가 패스워드 교체, 보안패치 등의 보안조치를 한 뒤에도 다시 시스템에 들어올 수 있도록 한다. - 시스템 로그파일이나 모니터링 명령에서 탐지되지 않도록 한다. - 최단시간에 손쉽게 시스템에 접속할 수 있도록 한다. 하지만 공격기술이 일반화된 것처럼 보안기술도 수준이 높아져 루트킷(rootkit)과 같은 사용자 모드에서 실행되는 일반적인 백도어/트로이잔 프로그램은 관리자들이 쉽게 탐지할 수 있다. 이에 공격자는 자신의 흔적을 보다 완벽히 감추기 위해서 커널 기반의 루트킷을 사용하기에 이르렀다... 더보기 악성코드 및 취약점 정보 제공 Site 악성코드 정보 제공 - http://support.clean-mx.de/clean-mx/viruses.php - http://www.malwareurl.com/ - http://www.malwaredomainlist.com/ 악성코드 분석 결과공유 - http://www.threatexpert.com/ - http://contagiominidump.blogspot.com.es/2013/06/backdoorandroidosobada.html?m=1 - http://malwaremustdie.blogspot.jp/ - http://offensivecomputing.net/ The Exploit Database http://www.exploit-db.com/ VirusWatch http://lists.clea.. 더보기 솔라리스 시스템 보안설정 1. 암호 없는 계정을 가진 사용자 검색 적어도 솔라리스 8에서는 암호 없이 시스템을 사용하는 사용자에 대한 걱정은 하지 않아도 좋다. 암호 없는 계정을 만들 수는 있어도 그것을 사용할 수 있는 일은 전혀 없으니. (텔넷상에서는 물론, 콘솔에서도 암호 없이는 로그인을 할 수 없다. 즉, 새로운 암호를 입력해야만 로그인이 가능하다) 그러나 만일, 시스템 관리자가 실수로 새 계정을 만든 후에, 암호를 집어넣지 않았다면 누구든 그 계정으로 일단 접속하기만 하면 접속자 스스로 암호를 만들어 사용할 수 있다. 일반 사용자의 계정이라도 문제가 되겠지만 그것이 권한 있는 관리자계정일 경우에는 중대한 문제가 야기된다. 행여 내 시스템 내에 그러한 계정은 없는가 살펴보자. # logins -p 이렇게 하면 암호 없이 등.. 더보기 Apache 보안 설정 # 불필요한 파일 관리 홈페이지 서버에 테스트 파일과 같은 불필요한 파일을 삭제하고 홈페이지 서비스와 관련 없는 디렉토리(백업디렉토리 등)는 일반사용자가 접근이 불가능하도록 적절한 권한(디렉토리 또는 파일 접근권한)을 설정한다 # 최소한의 사용자 계정 사용 아파치 운영 시 위험을 최소화하기 위해서 최소한의 권한을 가진 사용자 아이디와 그룹으로 생성하는 것이 안전하다. 첫 번째로 이 사용자는 로그인을 할 수 없도록 운영체제의 계정을 다음과 같이 설정한다. 두 번째로 아파치 설정에서는 nobody 권한으로 실행하도록 다음과 같이 설정한다. 위의 설정으로 아파치 구동 프로세스는 한 개의 root 권한의 프로세스와 나머지는 nobody 권한으로 프로세스가 실행된다.. # 디렉토리 Indexes 설정 제거 웹 브.. 더보기 Oracle 취약점 가이드 Oracle 취약점 가이드 1. 최소 설치 진행 오라클 데이터베이스를 처음 설치 할 때, 꼭 필요한 요소만 설치하여야 한다. 무엇이 꼭 필요한 요소인지 확실치 않다면, 일반적인 구성으로 설치한다. 2. 디폴트 사용자 아이디 확인 및 패스워드변경 오라클 데이터베이스를 설치하면 다수의 디폴트 사용자 아이디가 생긴다. 이때 오라클의 사용자 관리도구 (DBCA : Database Client Administration Tool)가 이러한 디폴트 사용자 아이디를 자동으로 잠그고 기간만료 시키는데 예외가 되는 사용자 아이디들이 있다. 상기 디폴트 사용자 아이디들을 잠그고 기간 만료하지 않은 디폴트 사용자 계정 (SYS, SYSTEM, SCOTT, DBSNMP, OUTLN, 그리고 3개의 JSERV 사용자 계정)들의.. 더보기 네트워크 침해사고 분석 가이드 네트워크 분석은 이 정도면 충분 하다고 볼 수 있습니다. ********** 비정상 네트워크 확인 ********** 1. 비정상 네트워크 연결 확인 1) 목적 - 대상 시스템에서 네트워크를 통하여 열려 있는 서비스를 확인하고 불필요한 서비스가 동작 중인지의 여부를 확인한다. 2) 점검 방법 ① [시작] →[실행] →cmd 입력 후 엔터 ② cmd창에서 netstat 실행 C:\>netstat -na ③ -na 옵션을 통해서 열려있거나 연결된 TCP/UDP 포트 확인 가능 ④ cmd창에서 netstat -na | findstr LISTENING 실행하여 Listen하고 있는 TCP 포트 확인 C:\>netstat -na | findstr LISTENING ⑤ cmd창에서 netstat -na | find.. 더보기 웹 프록시 툴을 이용한 취약점 점검 일부 기능에 대한 설명 입니다. 응용할 수 있는 부분은 굉장히 많겠죠! 1. 취약성 웹 프록시 도구는 최근 해킹 공격에 가장 활발히 사용되고 있는 도구로 클라이언트가 요청한 HTTP Resquest, Response 정보를 중간에서 도구를 통해 가로채 필터링을 우회하거나 서버에 전송되는 데이터를 조작해 허가 되지 않는 곳에 정보를 움쳐보거나 쓰기 등이 가능합니다 2. 피해 형태 허가 되지 않는 곳에 정보를 움쳐보거나 쓰기 등에서 그치지 않고 권한을 상승 시켜 최고 권한으 로 웹 사이트의 전 권한을 획득 할 수 있습니다 3. 점검 방법 가. 권한이 없는 게시판 글쓰기 l 게시판에는 공지사항, 자유게시판 등 여러가지가 존재하지만 각기 기능에 따라 권한이 분류되어 일반 사용자는 공지사항 게시판에서 내용은 확.. 더보기 LINUX 계정 관리 보안 가이드 기본이 중요합니다.. 1. root 권한 관리 시스템 관리자는 root계정을 포함하여 모든 계정의 의심가는 디렉토리 및 파일을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제거하는 것이 보안상 필요함 - root 권한을 가진 다른 일반 계정이 있는지 점검함. - root와 UID가 중복이 되어있으면 관리자 권한을 다른 사용자가 사용할 수 있으며, 사용자 간 UID 중복 시에 사용자 감사 추적이 어렵고, 사용자 권한이 중복됨. - root를 제외한 일반 계정의 UID가 '0'이면 삭제 또는 적절한 UID 를 부여(100이상의 번호로 변경)하고 root그룹에 속한 일반 계정은 적절한 권한의 그룹에 등록하도록 함. - 시스템 계정(daemon, bin, adm, uucp, nuuc.. 더보기 파일 시그니처 출처!: http://forensic-proof.com/ 좋은자료가 정말 많은 곳 입니다. Header Signature (Hex) File Type Description xx xx xx xx AF 11 FLI Graphics – Autodesk Animator xx xx xx xx AF 12 FLC Graphics - Autodesk 3D Studio xx xx 2D 6C 68 35 2D - 1 h 5 - LZH Archive – LHA Compressed Archive File 00 PIF PIC YTR Windows – Program Information File Graphics – IBM Storyboard Bitmap File IRIS OCR Data File 00 00 00 02 MAC Gra.. 더보기 Forensic USB 흔적조사(Win7) Profile Windows 7 USB Keys/Thumbdrives 1. Write Down Vendor, Product, Version Registry Location: SYSTEM\CurrentControlSet\Enum\USBSTOR Key: Vendor, Product , Version 2. Write Down Serial Numbers Registry Location: SYSTEM\CurrentControlSet\Enum\USBSTOR Key: Serial Number 3. Determine Vendor‐ID (VID) and Product‐(PID) Registry Location: SYSTEM\CurrentControlSet\Enum\USB ->Perform search for S/N Ke.. 더보기 이전 1 2 3 다음
