Dior2ky의 it's IT

정보보안 관련 업무, 기업, 자격증 정보보안 업무 분류 *정보보안 제품 연구 및 개발(R&D) 시스템 보안(백신), 네트워크 보안(방화벽) 콘텐츠/정보유출 방지 보안(DB 보안) 암호/인증(OTP) 보안관리(포렌식), 기타제품 *정보보안 서비스 보안 컨설팅(정보보호관리체계, 안전진단) 유지보수(판매 후 유료서비스) 보안관제(원격 및 파견) 교육 및 훈련(kisa 아카데미) 인증서비스(정보보호관리체계, 정보보호시스템) 운영 및 관리(전담부서) 정보보안 관련 기관 국가기관 : 정책-법-제도 마련 대통령비서실, 국가안보실, 국가사이버안전전략회의 국가정보원(국가사이버안전센터), 국방부(사이버/기무사령부), 과학기술정보통신부, 안전행정부, 방통위, 금융위 및 중앙/지방행정기관.... 전문기관 : 정책 집행 한국인..

프로토스타 프로토스타는 시스템 해킹에 대해 단계별로 문제를 만들어 놓은 것으로 단계적으로 공부하기에 좋다. 이번에는 스택 오버플로우에 관한 문제들을 풀어보도록 한다. stack0 stack0의 코드이다. #include #include #include int main(int argc, char **argv) { volatile int modified; char buffer[64]; modified = 0; gets(buffer); if(modified != 0) { printf("you have changed the 'modified' variable\n"); } else { printf("Try again?\n"); } } 코드 내용을 보면 입력을 받을 때 64개를 넘어 modified가 int값이므로..

리눅스 GDB 리눅스 운영체제 환경에서의 시스템 해킹을 실습하도록 한다. 운영체제는 칼리리눅스를 사용했다. 32비트 환경 실행 라이브러리를 설치해준다. sudo apt-get install lib32z1 다음은 칼리 리눅스의 ASLR을 해제해준다. echo 0 | sudo tee /proc/sys/kernel/randomize_va_space 이번 실습은 liveoverflow의 파일을 이용하여 진행한다. wget https://github.com/LiveOverflow/liveoverflow_youtube/raw/master/0x05_simple_crackme_intro_assembler/license_1 chmod 755 ./license_1 리눅스 GDB를 설치해준다. sudo apt install..

스택 오버플로우 이번 글은 스택 오버플로우에 대한 설명은 아니고 간단한 스택 오버플로우 실습을 해보려고 한다. 이 실습을 위해 windows xp를 vmware에 설치하였다. 먼저 간단한 프로그램을 실습하도록 한다. Basic_BoF.exe 프로그램을 만들었다. 일반적으로 프로그램에서 사용되는 변수공간 아래 EBP 공간 4바이트 ret 4바이트가 존재한다. 이 프로그램은 사용자의 입력을 받는데 buffer의 크기가 char[100]이다. 100바이트를 입력받고 8개의 입력값이 더 들어오면 ebp에 4개 ret 값이 마지막 4개로 덮어쓰여지게 된다. A 100개와 B 4개 C 4개를 입력한 결과이다. 오류창의 Offset을 보면 리턴 값으로 43434343 즉, CCCC가 입력된 것을 알 수있다. 다음엔 ..

취약점 점검 도구 Nessus Nessus를 활용하여 취약점을 점검하고 대응 방안도 찾아보도록 한다. 실습 진행은 Nessus를 사용하고 metasploitable v2의 취약점을 점검하도록 한다. 가장 먼저 칼리 리눅스와 metasploitable v2를 vmware에 설치해준다. 설치 과정은 생략한다. metasploitable의 id pw는 msfadmin/ msfadmin이다. 칼리리눅스가 32비트인지 64비트인지를 확인해준다. uname -r 다음 명령어를 사용하면 확인할 수 있다. https://www.tenable.com/products/nessus 다운로드를 위해 register를 하고 인증코드를 이메일로 받은 후 다운로드를 진행한다. 이전에 확인한 칼리 리눅스의 비트수에 맞추어 다운로드를..

웹 애플리케이션 취약점 CVE-2017-5638 CVE-2017-5638 은 jakarta Multipart parser를 기반으로 한 파일 업로드를 할 때 HTTP Request 헤더의 Content-Type을 변조하여 원격 코드 실행이 가능한 취약점이다. 해당 취약점은 Apache Struts 2.3.5~2.3.31, 2.5~ 2.5.10 버전에서 일어난다. 실습을 진행하기 위해 환경을 구성하도록 한다. 칼리리눅스를 vmware에 설치해주고 실행해준다. 이전 칼리 리눅스는 root, toor로 로그인을 했지만 2020년부터의 칼리리눅스는 ID: kali PW: kali 를 이용해 로그인한다. 다음은 도커를 설치해준다. apt update를 먼저 해준다. sudo apt update 다음은 도커를 설치..

ios 모바일 포렌식 모바일 기기의 주요 데이터는 다음과 같다. -휴대폰 기록 전화번호부, 문자메시지(SMS, MMS), 송수신 통화기록 -응용 프로그램 기록 문서작업(작성, 열람, 전송), 웹브라우저(주요 접속 사이트, 접속 기록, 검색 기록), 이메일(송, 수신 상대, 메일 내용, 전송시간) 자동 로그인 정보, 대화 내역, 사진/동영상(촬영 시각, 장소, GPS) 이러한 데이터를 수집하는 방법을 알아본다. 아이폰에서의 데이터 수집 방법은 크게 2가지이다. 탈옥이라 불리는 Jailbreaking 방법과 iTunes 백업 기능을 이용한 방법이다. Jailbreaking 방법은 IOS 4.0 이후로 파일 데이터가 암호화 되어 데이터 복원이 불가하다. 이 방법은 논리적 접근을 통해 파일 취득만 가능하다. i..

기초 정적 분석 안티 바이러스 프로그램 기초 정적 분석을 시작하면서 가장 좋은 시작 단계는 안티 바이러스 프로그램을 통해 살펴보는 것이다. 이러한 안티 바이러스 프로그램들은 여러 기법들을 사용하는데 파일 시그니처, 행위와 패턴 매칭 분석을 주로 사용하는 시그니처 기법과 경험적 기법이라 불리는 Heuristic 기법이 있다. 시그니처 기법은 악성코드 제작자가 코드를 변조하여 프로그램 시그니처가 바뀌면 바이러스 스캐너를 우회할 수 있다는 단점이 있고 경험적 기법은 알려지지 않은 악성코드를 성공적으로 식별하지만 새롭고 독특한 악성코드는 이 기법을 우회 할 수 있다. 분석을 시작하면 이러한 여러 안티 바이러스 프로그램들에 악성 코드를 실행시켜 결과를 확인하는 것이다. 대표적인 웹 사이트는 바이러스토탈 (http..

악성코드 유형 악성코드는 다양한 종류가 있다. 이 종류를 구분하는데는 악성코드가 시도하는 행위를 통해 분류하게 된다. 그럼 종류를 나열해보도록 한다. 백도어(backdoor) : 백도어는 직역하면 뒷문 이라고 할 수 있는데 공격자가 컴퓨터에 언제든 접속 할 수 있도록 만들어진 악성코드라고 할 수 있다. 일반적으로 컴퓨터에 패스워드와 같은 인증을 통해 접근하게 되는데 이러한 백도어를 이용하게 되면 인증 없이 접속해 로컬 시스템에서 명령어를 실행할 수 있게 된다. 봇넷(botnet) : 백도어와 마찬가지로 시스템에 접속할 수 있다는 것이 같지만 공격자는 봇넷에 감염된 시스템을 제어할 수 있는 명령 제어 서버를 둔다. 이 명령 제어 서버는 봇넷에 감염된 하나의 시스템을 제어하는 것이 아니라 동시에 여러대의 감..

악성코드 분석 기법 악성코드를 분석하는 경우 일반적으로 악성코드는 사람이 읽기 어려운 형태로 존재하고 있다. 이 악성코드를 파악하기 위해서 다양한 도구와 기법을 활용하여 적은 양의 정보를 부분적으로 알아내게 된다. 이렇게 적은 양의 정보를 조금씩 조금씩 알아내어 전체적인 그림을 그리게 되는데 이를 위해 다양한 도구들이 필요하게 된다. 악성코드 분석에는 두가지 기초적인 접근방식이 있다. 정적분석과 동적분석으로 나누어진다. 정적분석은 악성코드를 실행하지 않고 분석하는 방법이며 동적분석은 악성코드를 실행하면서 분석하는 것을 말한다. 나아가 두 기법을 각각 기초 또는 고급으로 분류하여 총 4가지로 분석 기법을 나눌 수 있다. 기초 정적 분석 기초 정적 분석은 악성코드의 실제 명령어를 확인하지 않고 실행파일을 조..