curation by zrungee curation by zrungee

# 상표 상표(trademark) 서비스 마크(service mark) 저작권(copyright) # NIACAP : 미국 국가 보안 시스템을 인증하기 위한 최소 국가 표준 NIACAP의 4가지 절차 : 정의(Definition), 검증(Verification), 유효성(Validation), 사후 인증(Post Accreditation) NIACAP 인증의 세가지 유형 : 사이트, 유형, 시스템 # TCSEC : 컴퓨터보안제어 효율성을 평가하기 위한 미국 국방부(DoD) 표준 # 전자서명법 유럽연합 : 서명자와 고유하게 연결되어야 함, 데이터의 후속변경을 감지할 수 있어야 함, 서명자를 식별할 수 있어야 함. 서명자의 단독 통제 하에 유지되어야 함 미국 : 전자적으로 수신하기 위해서는 수신자의 동의가 ..

루트킷 원리 Windows 환경에서의 루트킷은 DOS 스텔스 바이러스에서부터 유래되었다. 스텔스(Stealth) 방식의 바이러스는 프로세스와 프로세스 사이에 자신을 은닉하는 방법으로써, 일반적인 프로세스 확인(ex:작업관리자)로는 탐지되지 않는다.루트킷의 은닉하는 특성 때문에 공격자가 침입 후 재진입 할 목적으로 생성하는 백도어로써 존재하기도 한다. Windows OS에서는 운영체제를 구동하기 위한 핵심코드를 커널 레벨에 둠으로써, 일반적인 응용프로그램과 분리하였다. Ring0의 커널모드, Ring3의 유저모드로 구성되어 있다. 루트킷은 커널레벨에서의 API 호출과정을 이용하여 프로세스를 은닉하는 경우가 있다. 커널모드에서는 유저모드보다 높은 권한을 필요로 하기 때문에 커널모드에서의 루트킷은 CPU나 메..

1. DNS(Domain Name Service)란 DNS는 우리가 원하는 웹사이트에 접속하도록 텍스트로 된 URL을 IP주소와 매칭한다. 웹사이트에 접속할 때, 텍스트 형태의 주소(URL)을 숫자로 이루어진 주소(IP)와 매칭하여 기 쉽게 제공하는 '도메인 네임 서비스'이기 때문이다. DNS가 없다면 우리는 웹브라우저 URL 입력란에 'www.naver.com' 대신 ‘202.179.177.21:80'로 입력해야 할 것이다. [그림 1.1 도메인 URL 없이 네이버에 접속한 모습] 2. URL로 웹사이트를 접속하기 위해 우리의 PC는 어떤 동작을 할까 먼저 기존에 접속한 이력이 있는지 ①PC의 DNS Cache Table을 확인한다. DNS Cache Table은 한 번 접속한 웹사이트에서 받아온 DN..

침해사고가 발생하면분석 조사관은 crontab을 통해 서버의 스케줄링을 확인한다. crontab은Unix에서 사용되는 'cron'이라는 소프트웨어에서 규정해놓은 테이블 명칭이다.주기적으로 (월/일/시/분/초 단위) 운영자가 설정해놓은 명령어를 실행시키는 스케줄러인 셈이다. 이 기능은 동일한 업무를 자동화하는 편리함을 갖춘 반면, 공격자에게도 좋은 도구가 된다.예를 들면, 대량의 정보를 한꺼번에 수집하여 공격자에게 전송하면 관리자의 모니터링 대상이 될 수 있으므로 소량의 데이터를 주기적으로 공격자에게 전송하거나, 백도어 프로세스를 생성하는 등에 활용된다. 마치 주기적으로 실행되는 작업인 양, 관리자가 눈치채지 못하게 스케줄(crontab)에 등록하는 것이다. 테스트 환경 : Ubuntu 14.04.5 LT..

1.3. 루트킷 - 프로세스 은닉에 이용되는 기술 (1) IAT 후킹(유저레벨) 프로그램을 실행하게 되면, 하드디스크에 저장된 프로그램과 관련된 프로세스가 메모리에 적재된다.이 때 실행하는 프로그램은 PE(Portable Executive, 실행파일포맷) 구조로 되어있는데, 루트킷이 은닉하기 위한 기술 중 IAT Hooking에서는 프로그램 내부에 존재하는 PE구조에서도, IAT(Import Address Table)을 후킹하는 방식이다.이는 운영체제를 직접 후킹하는 것이 아니므로, 유저모드에서만 동작하는 후킹이다. 가. 실행파일 구조 WORD e_magic ; 시그니처(MZ)LONG e_lfanew ; PE HEADER 시작점 PE SignaturePE00 (5045) IMAGE..

ETRI개발 게임봇 판정기술 관련 기사 http://www.weeklytoday.com/news/articleView.html?idxno=26932 온라인 게임에서의 게임봇 대응 기술 동향 http://img.kisti.re.kr/originalView/originalView.jsp # 게임봇의 정의 핵, 봇(오토), 매트로 : 정상적인 게임플레이 방해 1) 서버 공격 프로그램 - 서버 관리자권한 획득하여 게임소스 탈취하여 분석 - 별도의 서비스 가능한 서버 제작 - 디도스 - 패킷 리플라이 공격하여 가용성 침해, 서버 다운 - 게임사 웹사이트에서 쿼리입력(SQL injection)으로 관리권한 획득 뒤, 유저 개인정보 탈취 2) 클라이언트 공격 프로그램 : 스피드핵, 데미지핵, 매크로, 메모리, 파일,..

#include // 1. WinMain() 함수int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){// 2. 윈도우 구조체 설정WNDCLASSEX wcex={};wcex.cbSize=sizeof(WNDCLASSEX);wcex.style=CS_HREDRAW | CS_VREDRAW;wcex.lpfnWndProc = WndProc;wcex.hInstance = hInstance;wcex.hbrBackground(HBRUSH)(COLOR_WINDOW+1);wcex.lpszClassName="win01"; // 3. 윈도우 구조체 OS에 등록RegisterClassEx(&wcex); // 4..

이번 포스팅에서 언급할 악성코드 탐지방법론은 일차적으로 백신에서 탐지하지 못하였는데 의심되는 악성코드가 어딘가에 있을 것이라 생각 될 때. 내 PC를 좀 더 깔끔한 환경에서 사용하고 싶을 때. 악성코드의 기본적인 특성을 바탕으로 수동으로 탐지하는 방법에 대해 기술할 것이다. 1. 프로세스 확인 가장 먼저 확인해야 할 것은 현재 실행되고 있는 프로세스 목록을 확인하는 것이다.현재 사용하고 있는 응용프로그램과 관련이 없는 프로세스를 판별하고, 비정상적인 프로세스를 의심해 나가는 것을 시작으로 한다. Windows 작업관리자 이외에, 원하는 정보를 한눈에 파악하기 쉬운 몇가지 툴을 아래와 같이 정리해보았다. 1) Procexp (Sysinternals) Microsoft에서 제공하는 Sysinternals T..