보안관제 및 침해사고 대응(19.5.2)

Apache Struts2란?

 

JAVE EE 웹 어플리케이션 개발 오픈소스 프레임워크

 

취약점공격 : 서버에 http 리퀘스트 요청을 할때 OGNL표현식이라는것이 있고 그것을 이용해 공격하는것

 

CISCO IOS란

 

CISCO에서 개발한 대부분의 라우터와 스위치에 사용되는 OS(CISCO는 네트워크 장비회사)

 

이 OS에 마스터 - 슬레이브 가 있고 텔넷으로 송신할때 CISCO_KITS로 보내는데

 

슬레이브에서 보낸 문자열을 경계 검사가없어서 위험하고 처리 하고 버퍼 오버플로우 공격으로 권한 획득 가능

 

scanf를 썼어야됬는데 scan만 써서? 발생한 취약점이라고하는데 잘 모르겠음 

 

Apache Structs2 취약점 공격 시나리오

 

아파치 스트럭트2를 설치후 처음있는 화면 - 잘못된 OGNL 표현식으로 cmd를 하면? 자카트라에서 실행을 시킨다고함

 

리퀘스트 보낼때 리퀘스트 헤더에다가 미리 페이로드를 만들어놓고 그냥 간단한 cmd 명령어만 실행

 

vb스크립트로 올리는데 이걸로 올리는이유는 언어셋때문에 웹실에 바로올리면 문자가 깨트려짐 

 

머라고하는건지 도대체가 이해가 안간다... 

 

오픈소스 퀘이사 랩을 가지고 감염을 시키면 키로거등 거의 완전하게 해킹됨

 

CISCO IOS 취약점 공격 시나리오

 

공유기가 자동으로 인터넷 DNS 서버를 바꿔서 드라이파이 다운로드로 

 

IOS가 메모리 주소를 가지고있고 그것이 인증이되면 0 안되면 1로 두는 영역이있는데

 

그 부분을 1로 다 덮어버리는고 해커가 메모리를 조작하는것? 이라고 하는데 무슨말인지 모르겠음

 

이렇게 해서 피싱사이트를 들어가게해서 랜섬웨어에 감염되게 할수 있음

 

smv프로토콜 (네트워크 폴더) 로 감염이 되어버림 (동영상 내용)

 

요새는 메일을 통해서 감염이 되고있다고 함

 

대응방안

 

아파치를 최신방향으로 쓰거나 CISCO IOS는 텔넷 프로토콜을 비활성화 시키고 ssh프로토콜 만 사용하게 하거나 관리자

특정 아이피만 접근? 아니면 업데이트를 한다는데 무슨말인지 잘 모르겠음 

 

IDS 이해 및 실습

 

IDS란 Intrusion Detection System 으로 탐지 대상 시스템에 인가 받지 않은 행위와 비정상적인 행동을 탐지하는 시스템

 

크게 호스트 기반 IDS와 네트워크 기반 IDS로 나뉨

 

Suricata 는 멀티스레드, 플러그인다양화 미국 OISF이라는 단체에서 미국정보 기관에서 사용할 인터넷 보안시스템을 개

 

발을 목적으로 만들어진 Open Source ID? 라고 하지만 뭔말인지 잘모르겠음 오픈소스라고함

 

suricata 설치는 google에 suricata install 을 하고 최상단 문서를 보면 도움이 많이 된다고함

 

★★ document를 잘보는게 중요하다고 함 ★★

 

Dependancies 를 잘보고

 

리눅스에서는 apt같은 윈도우에서 프로그램추가제거같은것 

 

 

suricata 다운로드하기 

 

ctrl + alt + t = 터미널키기

 

suricata 홈페이지 들어가서 다운로드 다운로드시 save클릭후 확인

 

ls 목록보기

 

cd Downloads/

 

tar xzvf suricata-4.1.4.tar.gz

 

다 되면은

 

cd suri + tab + Enter 

 

저장소 바꾸기

 

1.sudo vi /etc/apt/sources.list

shift+: 치고

 

2. %s/us.archive.ubuntu.com/ftp.daum.net/g

입력후

shift+: 치고

wq

입력하면 저장소가 us에서 daum으로 바꿔짐

 

sudo apt update 업데이트 

 

suricata install 문서에서 

 

recommanded 항목 복사하고

 

sudo 입력후  shift + insert 가 붙혀넣기

 

화면 설정

 

설정 + 디스플레이 + 해상도 키우기

 

./configure =>확인하는것

 

github 를 이용해서 포트폴리오 만들어야됨

 

보안쪽으로 간다고한다면 bob가서 취업연계하거나 박사과정해서 연구소들어오거나 스펙 쌓아서 금융보안원

 

그리고 인포섹,안랩,하오비? 이런회사들은 비추함 왜냐면 보안만한다면 돈을 못벌음 되도록 보안만하는 업체 비추

 

크래딧잡가서 확인해보면 내친구 연봉은 얼마나 되나? 대충 어느정도확인가능

 

----------------------------------

 

Tip) ls | more 치면 스페이스 누를때마다 넘어가게됨

 

./ < 현재 디렉토리 ./suricata 실행하면 실행됨

 

/usr/bin >> 그냥 쓸수있는 명령어들이 이쪽으로 들어가게 되는데 make install을 하게되면 이쪽으로 suricata파일들이 

 

들어가게됨 근데 권한때문에 error 그래서 sudo make install

 

cd /etc/ld.so.conf.d/ 이 경로에 캐시를 가지게 되는데

 

sudo ldconfig < 캐시를 만들어주는 명령어

 

근데 이게 다 뭐하는건지 암것도 모르겠음

 

sudo make install-full 하게 되면은 패턴매칭? 이러나 룰인가 뭐시기를 가져온다는데

 

config파일을 보면은 ?? (하다가 교수가 막혀버림...)

 

하나를 빼먹었는데 아까 설정을 잘못해서 설정파일이 잘못들어감 

 

sudo apt install vim을 하면 설치가된다는데 뭐가 설치되는지는 몰름

 

이렇게 하고 무언가를 하였는데 그게 재일 중요했던걸로 아는데 다음날 할줄알고 그냥 넘겼는데 다음날 하지않았고

 

여하튼 suricata 를 사용하여 뭔가 보안관련된것을 했던것같음