Day planner
Daily Log
[!error] Habits
- 보안 기사 공부 || 보안 뉴스 || 보안 논문 읽기
- CTF || algorithm
공부 기록
정보 보안 기사 2023.03.11 기출 연습
다음은 sudo 설정파일(/etc/sudoers)의 내용이다. sudo를 통한 명령 사용이 불가능한 사용자는?
%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL
root ALL=(ALL:ALL) ALL
guest3 ALL=(ALL:ALL) ALL%admin,$sudo: group 단위 설정. admin 그룹과 sudo 그룹에 속한 사용자는 sudo를 통해 모든 명령어를 실행할 수 있습니다.root: root 사용자는 당연히 모든 명령 실행 가능guest3: guest3 사용자도 sudo를 통해 모든 명령 실행 가능- ALL = (ALL : ALL) ALL → 모든 호스트, (모든 사용자, 모든 그룹), 모든 명령
예시) uid=(10)guest1 → uid=10 : User ID가 10인 사용자, 계정명 = guest1
랜섬웨어에 대한 설명
- 랜섬웨어는 주로 대칭키 암호화 방식을 사용한다.
- 암호화와 복호화에 동일한 키를 사용하는 방식으로, 피해자가 자신의 파일을 복호화하기 위해서 키를 받아야 하는데, 이를 빌미로 돈을 받아내는 공격이다.
- 양방향 암호화 방식 = 대칭키 암호화 방식 - 파일 확장자를 임의 변경한다.
- 안티바이러스 프로그램을 강제 종료한다.
- 윈도우 복원 시점을 제거한다.
침해 당한 리눅스 서버의 하드 디스크를 umount 명령을 통해 분리하는 과정에서 “Device is busy”라는 문구 때문에 분리하지 못하고 있는 상황이다. 디바이스를 사용 중인 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것은?
-
lsof : list open files ; 해당 정보 안에 프로세스 아이디도 존재하므로 하드 디스크를 이용하고 있는 프로세스도 찾을 수 있다.
-
mount : 보조기억장치를 확인할 수 있다.
보안 시스템 설명
- NAC(Network Access Control) : 네트워크에 접근하는 장치들의 식별, 보안 정책 준수 여부 평가 등을 통해 네트워크 통제강화 및 접근을 제어
- DRM(Digital Rights Management) : 디지털 저작물의 사용 및 배포를 제어하기 위한 기술과 정책
- SSO(Single Sign-On) : 한 번의 로그인으로 여러 시스템에 접근할 수 있어 편리함을 제공하면서도 보앙늘 유지
- IDS(Intrusion Detection System) : 네트워크나 시스템 내에서의 이상 행위나 침입을 감지하고 대응하는 시스템
봇넷(Botnet) 또는 C&C(Command & Control)에 많이 사용되는 프로토콜로 IRC(Internet Relay Chat) 프로토콜이 있다. 다음 중 IRC의 기능은?
- 다수의 사용자들과 텍스트 메세지를 공유
- 사용자들 간의 파일 전송
- 한 클라이언트의 사용자가 다른 클라이언트 상에서 실행 가능한 메세지 전송
- 인터넷을 통해 대화를 주고받을 수 있는 시스템으로 악성 코드에 감염된 다수의 컴퓨터를 조정하기 위하여 사용되던 프로토콜
어느 회사의 메일 서버가 스팸 메일 발송 경유지로 악용하는 사례가 발생하였다. 이 때 보안관리자는 pcap 파일을 통해 패킷 분석을 진행하고자 보기와 같은 필터링을 실행하였다. 다음 필터링 결과에 대한 설명으로 옳은 것은?
STMP.req.command=="EHLO"
- STMP 프로토콜 내에서 EHLO 명령어가 포함된 패킷만 필터링하는 조건
EHLO(Extended Hello)는 SMTP 통신에서 서버에 기능 목록을 요청하는 명령어
ModSecurity 정책 설정을 위해 SecAuditEngine에서 설정할 수 없는 것은?
- SecAuditEngine On | Off | RelevantOnly (감사 로깅에 대한 설정)
- SecRuleEngine On | Off | DetectionOnly ( ModSecurity 기능 활성화 여부)
- DetectionOnly 모드는 보안 정책의 효과를 확인하고 테스트하는 데 사용됨
- RelevantOnly 모드는 로그를 간소화하여 중요한 정보에 집중하는 데 사용됨
네트워크 처리 능력을 개선하고자 VLAN을 구성할 때 VLAN 오/남용을 경감시키기 위한 방법으로 옳지 않은 것은? (단, 스위치에 연결된 호스트들을 그룹으로 나누어서 VLAN-1(native)과 VLAN-2로 그룹을 설정하였다고 가정한다.)
- VMPS는 MAC 주소를 확인하고 해당 MAC 주소에 해당하는 VLAN을 찾아주는 통제센터 역할을 하므로 MAC 주소 위조 공격에 취약하다. 따라서 오/남용을 경감시키기 위해서는 VMPS(VLAN 관리 정책 서버)를 사용해서는 안된다.
- native VLAN port는 허브에서 받은 Tag가 없는 프레임도 통신이 되도록 하기에 오/남용에 위협이 존재하므로 접근을 제한해아 한다.
- 다수의 VLAN을 연결한 트렁크 포트의 native VLAN도 같은 이유로 신뢰할 수 없는 네트워크를 붙이면 위험하다.
- DTP(동적 트렁킹 프로토콜)은 스위치 간에 연결에서 트렁크와 관련된 사항을 협상할 때 사용하는 프로토콜로 다수의 VLAN을 연결하는 트렁크를 만드는데 이로 인해 신뢰할 수 없는 네트워크가 연결되어 위협이 될 수 있으므로 꺼놓는 것이 안전하다.
IDS(Intrusion Detection System)
- 감사와 로깅할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다.
- 설치 위치와 목적에 따라 HIDS와 NIDS로 나뉠 수 있다.
- 공격을 탐지하는 시스템으로 차단을 수행하지는 않는다.
무선 인터넷 보안 기술
- WAP(Wireless Application Protocol) : 이동형 단말기에서 인터넷에 접속하기 위해 고안된 통신 프로토콜
- WTLS(Wireless Transport Layer Security) : 무선 전송계층 보안을 위해 적용한다
- WTP(Wireless Transaction Protocol) : WAP의 트랜잭션 계층의 프로토콜
- WPA : IEEE 802.11i 표준에 정의된 보안규격으로 RC4 알고리즘을 기반으로 한다.
해킹 기법 - Normaltic
EchoLeak
Microsoft 365 copilot에서 데이터 유출을 가능하게 하는 zero-click AI 취약점 ‘EchoLeak’
AI는 사실들을 학습을 한 후에 이를 활용할 수 있는데, 이 한계를 극복하기 위해 사용자의 컴퓨터와 연결되어서 쓰는 AI가 Microsoft 365 copilot이다.
- Copilot 계정 탈취 → ‘내가 이전에 보냈던 메일 전부 정리해서 보여줘’
- 계정 탈취 없이 진행하는 법
- 공격자가 사용자에게 이메일을 보낸다.
- 그러면 사용자가 읽지 않아도 copilot이 읽어서 미리 학습한다.
- 이제 공격자가 필요로 하는 정보를 탑재한 메일을 학습하면서 공격자에게 정보를 전달한다.
Discord 초대링크
초대링크가 유효기간이 있거나 주최자가 초대링크를 삭제하는 경우가 있다.
돈을 더 지불하면 Discord에서 주는 혜택 중에 하나가 초대 링크의 customazing이다. 이를 이용해서 유효하지 않은 초대링크를 따라 만들어서 Verifiy하도록 유도
