삼전동해커

시스템 1. 이벤트 로그 1)응용프로그램 로그 응용프로그램 관련 로그 저장. 응용프로그램에서 지정한 내용에 따라 저장됨. application.evtx 파일에 저장. 2)시스템 로그 운영체제에서 장치 드라이버 오류, 서비스 오류 관련 로그를 저장. system.evtx 파일에 저장. 3)보안 로그 로그인 성공, 실패, 계정 추가, 삭제, 원격 접속 등의 로그 저장. security.evtx 파일에 저장. 2.버퍼 오버플로우 예방법 1)스택 가드(카나리) 변수와 복귀 주소 사이에 특정한 값을 넣어 함수 실행 후 값의 변경 여부에 따라 버퍼 오버플로우 확인. 2)스택 쉴드 복귀 주소 값을 전역 변수에 저장해 두었다가 함수 실행 후 복귀 주소를 비교하여 버퍼 오버플로우 확인. 3)ASLR 메모리의 주소를 함수..

기업의 정보보안 정책을 반영하여 다수 보안 시스템을 통합한 보안관제 시스템.IDS,IPS,VPN 등 이벤트를 수집하고 분석하여 통합보안 구현. ESM의 주요기능(1) 통합 보안관제 업무정보보안 정책을 등록하고 자산 및 자원을 관리한다.실시간 관제로 침입 탐지.보안로그 및 이벤트에 대한 조회,분석,대응관리를 지원. (2)ESM Agent 관리Agent가 정책을 수행하고 실행. (3)품질 보고서 관리보고서 자동 작성. ESM 구성 요소ESM Agent,Manager,console로 구성. Agent각종 보안 솔루션의 로그를 수집하는 역할.로그를 수집하여 정규표현식으로 변환 후 manager에게 전달. manager로그를 데이터베이스에 저장하고 분석.SSL을 이용해 Agent에게 console로 명령 하달. ..

더블 다이렉트 공격더블 다이렉트 공격은 ICMP 프로토콜을 이용한다.ICMP는 네트워크 상태를 알려주는 메세지 프로토콜이다. 이 프로토콜은 라우터의 주소를 결정하는데 사용되기도 한다.예를 들어 A에서 B로 가는 길을 라우팅해주는데 2개의 라우터를 거치는 길과 3개의 라우터를 거치는 길이 있다. ICMP 메세지를 통해 "3개 보다 2개를 거치는 길이 빠르니 여기로 가라." 라고 알려준다. 더블 다이렉트 공격은 이런 ICMP의 특징을 이용한다. 이 공격이 성공하려면 공격대상의 스마트 기기에 redirect 기능이 활성화되어 있어야한다. 공격자는 공격하고자 하는 기기에 ICMP redirect 패킷을 보낸다. 공격대상은 패킷을 받고 공격자를 라우터로 인식해 자신의 라우팅 주소를 수정해 공격자를 거치게된다. 그..

DRM(Digital Rights Management)디지털 컨텐츠를 안전하게 보호하기 위한 관리 기술로, 불법적인 사용으로 부터 저작자의 이익과 권리를 보호하는 시스템. DRM 요소암호화 : 비대칭키와 대칭키를 이용해 암호화인증 : 정당한 사용자 식별을 위함.watermarking : 원저작권 정보 삽입 및 식별 수행.사용자 repository : 정당한 사용자 및 라이선스 정보 저장. 메타 데이터컨텐츠의 생명 주기 내에서 관리되어야할 데이터 구조 및 정보들.ex)저작권자 정보, 미디어 정보. 시큐어 컨테이너컨텐츠 배포단위로 암호화된 메타 데이터, 식별자, 전자서명으로 구성. watermarking디지털 컨텐츠에 사람이 인지할 수 없는 마크를 삽입해 컨텐츠에 대한 소유권을 추적할 수 있는 기술.정보은닉..

전자 화폐전자 서명이 있는 금액 가치 정보. 전자 화폐 요구 조건불추적성 : 사생활이 보호되고, 익명성이 보장되어야 한다.양도성 : 다른 사람에게 즉시 이전할 수 있어야 한다.분할성 : 가치만큼 자유롭게 분할 사용이 가능해야 한다.독립성 : 다른 매체에 의존해서는 안 된다.이중사용을 방지해야 한다. FDS(Fraud Detection System)전자금융거래에서 사용하는 접속로그,거래정보,단말정보를 활용해 각종 부정 거래 행위를 탐지 및 예방한다. SET(Secure Electronic Transaction)전자상거래에서 지불정보를 안전하게 처리할 수 있도록 규정한 프로토콜. SET 구성요소구매자 : 전자상거래를 수행하는 카드 소유자.판매자 : 웹상의 상품 운영자.SET을 이용해 상품을 제공.PG(Pay..

접근통제 정책의 이해 및 구성요소접근통제란 정당한 사용자는 허락하고 부당한 사용자의 접근은 거부하는 것이다.로그인을 할 때 ID를 확인하는 것을 식별 이라고 하고, 비밀번호의 확인을 인증이라 한다.아이디와 패스워드를 거쳐 인증이 되면 권한을 부여하는 것을 인가라고 한다.로그인 과정에서 사용자는 주체이고, 파일은 객체이다. 주체가 객체에 접근을 통제하는 것을 접근 통제라고 한다. 접근 통제 기술 강제적 접근 통제(Mandatory Access Control) - 주체와 객체의 보안 등급을 비교하여 접근 권한을 부여.(규칙기반 접근통제) - 보안 관리자가 취급 인가를 허용한 객체에만 접근할 수 있다.(중앙 집중형 관리) - 모든 객체에 대한 관리가 용이하고 엄격한 보안을 제공. - 제한적인 사용자 기능과 관..

정보보호 목표1)기밀성 - 정보가 허가되지 않은 사람에게 노출되지 않도록 하고, 노출되었을 때 알아볼 수 없도록 암호화하는 것을 의미. 2)무결성 - 임의에 의해 정보가 변경되지 않았다는 것을 증명하기 위함. 해시함수를 이용해 무결성을 증명할 수 있음. 3)가용성 - 정당한 사용자가 제 때에 정보를 이용할 수 있어야 함. RAID와 같은 백업 방식을 통해 가용성 유지. 정보보호 공격 유형1)변조 - 원래의 데이터를 바꾸어 악성코드를 실행시키거나 다른 사이트로 이동하게함. 2)가로채기 - 네트워크 상의 데이터를 중간에 훔쳐 보는 것. 스니핑과 같은 공격. 3)차단 - 정상적인 서비스를 방해한는 공격. DDoS와 같이 서비스 자원을 고갈시켜 가용성을 보장하지 못하게 한다. 4)위조 - 송신되는 메세지를 변조..

1.윈도우 자동시작 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 위 레지스트리를 이용해 부팅 시 악성코드가 자동실행되도록 설정할 수 있다.svchost.exe 프로세스는 dll 파일을 실행시켜준다. 2.레지스트리 - 레지스트리 정보는 하이브 파일로 기록되어 있고 이는 바이너리 파일이기 때문에 프로그램을 사용하여 확인할 수 있다. - 하이브 파일은 레지스트리의 정보를 저장하고 있다. 3.바이러스 종류 원시형 바이러스 - 프로세스 구조가 간단하고 분석이 쉽다. 암호화 바이러스 - 바이러스를 암호화 시킨다. 은폐형 바이러스 - 기억장치에 있으면서 감염된 파일의 길이가 증가하지 않는 것으로 보이게 한다. - 감염된 부분을 읽으면 ..

1. 접근 통제 방법1)Capability List - 주체(사람)별로 객체를 링크드리스트로 연결하고 권한을 할당하는 구조. - 시스템의 모든 파일을 리스트화 한 후 파일별 접근 권한을 나열한 구조. - 주체별로 파일 리스트가 존재하기 때문에 조회하는데 오랜 시간이 걸린다. 2)Access Control List - 주체(사람)와 객체(파일) 간의 접근 권한을 테이블 형식으로 구성. 행에는 주체, 열에는 객체를 두어, 교차점에는 접근 권한을 두어 제어. - 지속적으로 변하는 환경에서는 부적합. 메트릭스 종류1)ACL - 위와 동일 2)CDAC(내용 의존 접근 통제) - DB에서 많이 사용되고, 접근 제어가 내용에 의해 이루어짐. DB에 사용자 정보를 등록하고, 입력된 정보와 비교해 접근 통제 수행ex)직..

1.이메일로 공격할 수 있는 방법. - active contents : 첨부파일을 열면 악성코드가 실행되어서 바이러스가 확산. VBS,js를 포함함. - shell script : 조작된 메일헤더를 포함한 메일을 발송해 해당 시스템에서 특정 명령이 실행되게 함. 2.SSO에 대해 - 사용자가 여러개의 어플리케이션에 가입하려고 할 때 각각의 어플리케이션마다 로그인을 해야한다. 하지만 SSO를 이용해 IdP(Identity Provider)라고 하는 시스템에 정보를 저장하면 SP(Service Provider)인 어플리케이션에 로그인할 수 있다. SP가 IdP와 데이터 검증과정을 갖는다. - 중앙집중형 접근 관리, PKI를 이용한 kerberos, SESAME를 제공. - SPNEGO : HTTP 요청에 대..