2025-07-03-Thursday

오유찬·2025년 7월 11일
daily

daily

목록 보기
12/30

Day planner

  • HTB || 보안 기사 공부 || 기타 ✅ 2025-07-03
  • 보안 뉴스 || 보안 논문 읽기 ✅ 2025-07-03
  • 면접 준비 ✅ 2025-07-04

Daily Log

랜섬웨어 조직을 향한 파라과이 정부의 대처

# EXCLUSIVE: Paraguay Says It Won’t Pay Ransomware Group For Stolen Citizenship Data
# Paraguay Launches Cybersecurity Plan On the Heels of Major Hacks

협상은 없을 것이고 대응 방안을 마련할 것이라고 했으나 이미 시민 정보는 다크웹에 올라갔고, 심지어 대통령의 X 계정마저 해킹당했다. 정부 기관들도 공격을 받고 있는 와중에 어떻게 대응할 지 정말 궁금하다. 작년에 비해 시민들을 대상으로 하는 공격이 3000% 증가했다고 하는데, 개인정보가 전부 유출된 와중에 어떻게 할까? PII를 새로 만들어서 전부 다시 줘야하나? 이미 있는 걸 사용하면 그대로 파라과이 전체 자산이 공공재가 될 것 같은데
이미 몇 몇 국가들은 재산 빼돌리고 있지 않을까?

뚫린 원인은 한 정부 공무원의 PC가 ‘Redline Infostealer’라는 악성코드에 감염된 후, 기관 내부의 계정 정보를 해커한테 전달된 것이다. 그 후, 해커는 DB에 접근해 정보를 대량으로 탈취해냈다.

공부 기록

컴종설을 할 때, 작성했던 메모들이 있어서 올려본다.

각 기능별 테스트 케이스 작성

- 필수 보안 사항 ( ex: html escape)

- 각 기능 별 보안 요구사항 (ex: login 횟수 제한)
- 테스트 시나리오에서 테스트 케이스를 어떻게 적용할 지 
- ex : html escape를 적용 방법 - 특수문자만 처리(html entity) || Html 태크로 해석하지 않고 텍스트로 처리(textcontent)
- yaml + python script : 이렇게 하려면 따로 localhost라도 창이 띄울 수 있는 상태여야 한다. 작동하는 코드만 검증 가능
- 작동 전에는 단위테스트로 검증(api, db는 존재하는 코드를 바탕으로 흉내내기)

- symbolic execution / fuzzing (코드 레벨 탐색)
- payload 어떻게 할 지 - port swigger 나 payallload(https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master) 적용

정적분석기는 가능성을 판단

단위테스트는 실제로 공격 payload를 넣어보고 뚫리는지 검증 가능

mock 서버는 서버의 실제 동작을 기반으로 한 보안 로직 검증(CSRF,cors 정책, rate limiting, throttling)

단위테스트로도 위 요소들을 검증할 수 있지 않냐 싶겠지만 csrf toekn의 유무는 검증할 수 있지만 실제로 csrf token이 없을 때, 요청이 수락되는지 거부되는지 확인이 어렵다.


Q : 보안적인 요소들을 추가하지 않은 상태로 프롬프트를 작성해서 만들고 테스트 케이스로 이를 점검한다고 했을 때, 어떻게 코드에 보안 요소를 적용할 것인가?
간단한 게시판 서비스를 만들고 싶은데 코드로 짜줘. 로그인 기능은 필요없고 게시글에 대한 기록은 일회성이라서 

10분 간 유지되는 게시글, 익명 서비스

10분 후에는 사라지는 글

정보 보안 기사 기출 - 시스템 보안

윈도우 보안

NTFS의 파일 시스템

  • NFTS의 클러스터 크기는 512byte, 1KB, 2KB, 4KB까지 사용자 지정이 가능
  • 일반적으로 파일 크기 및 볼륨은 최대 16EB까지 지원
  • 로컬 파일시스템 보안을 제공하며, 네트워크를 통해 액세스하는 사용자에게도 적용
  • NTFS는 개별 폴더와 파일에 사용권한을 설정할 수 있고, 각 파일과 폴더의 해당 계정만 접근하여 읽을 수 있게 암호화할 수 있다. 폴더를 암호화하면 폴더 내 파일도 모두 암호화되며, 암호화된 폴더나 파일은 복사나 이동을 해도 암호화 속성을 잃지 않는다.또한, 감사(Auth) 기능도 제공
  • 이벤트 뷰어는 이벤트 로그 파일(AppEvent.Evt, SecEvent.Evt, SysEvent.Evt)을 확인하는 데 사용한다.
  • NTFS는 파일, 디렉터리 및 메타 정보까지 파일 형태로 관리한다. NTFS의 MFT(Master File Table) Entry에는 파일의 메타 정보(위치, 시간 정보, 크기, 파일 이름 등)을 저장한다.

FAT의 파일시스템

  • FAT는 NTFS에 비해 호환성이 좋아 리눅스나 다른 운영체제에 정보를 옮길 때 유용하다.
  • NTFS는 FAT에 비해 보안, 압축, 암호화와 같은 새로운 기능이 추가되었다.
  • 파일 암호화 기능 없다.

윈도우 부팅 순서
1. POST(Power On Self Test) : 하드웨어 자체가 스스로의 시스템에 문제가 없는지 기본적인 사항을 체크하는 과정이다. BIOS(Basic Input/Output System)에 의해 실행된다.
2. CMOS(Complementary Metal-Oxide Semiconductor) :BIOS는 CMOS 셋업에 저장한 정보를 바탕으로 기본적인 설정사항을 읽는다.
3. MBR(Master Boot Record) : MBR에 부팅 매체에 대한 기본적인 파일 시스템 정보가 들어있다. MBR 정보는 운영체제가 부팅된 뒤에 편집할 수 있는 것이 아니다.
4. NTLDR : 하드디스크의 부팅 파티션에 있는 프로그램으로 윈도우 2000이 부팅될 수 있도록 간단한 파일시스템을 실행하며, boot.ini 파일의 내용을 읽어 가능한 부팅 옵션을 보여준다.
5. NTDETECT.com : NTDETECT는 NTLDR로부터 제어권을 위임받아 시스템에 설치된 비디오 보드, 하드 드라이브와 같은 하드웨어를 검사한다.
6. NTOSKRNL.exe : Hardware Abstraction Layer(HAL.DLL)를 로드한다.

윈도우 Users 그룹 권한

  • 워크스테이션을 종료할 수 있지만, 서버는 종료할 수 없다.
  • 로컬 그룹을 만들 수 있지만, 자신이 만든 그룹만 관리할 수 있다.
  • 그룹의 구성원은 다른 Users 그룹에서 실행할 수 있는 프로그램은 설치할 수 없다.
  • Users 그룹의 구성원은 자신의 모든 데이터 파일(%userprofile%) 및 레지스트리에서 자신의 부분(HKEY_CURRENT_USER)을 완전하게 제어할 수 있다.

윈도우 시스템에서 사용자 로그인 인증

  • 로컬 인증에서 ID와 PW를 입력하면 LSA 서브시스템이 인증 정보를 받아 NTLM 모듈에 ID,PW를 넘겨준다. 그리고 이를 다시 SAM이 받아 확인하고 로그인을 허용한다.
  • LSA : 모든 계정의 로그인에 대한 검증을 하고, 시스템 자원 및 파일 등에 대한 접근권한을 검사한다.
  • SAM(Security Account Manager) : 사용자와 그룹 계정 패스워드 관리 및 LSA 인증을 제공한다.

윈도우 NTFS의 파일 및 디렉터리에 대한 보안규칙
1. NTFS 접근 권한은 누적된다.
2. 파일에 대한 접근 권한이 디렉터리에 대한 접근 권한에 우선한다.
3. 허용보다 거부가 우선이다.

Null Session 취약점을 가지는 윈도우에서 기본적으로 공유되는 폴더

  • Null Session Share 제거 : Regedit 명령 실행 후 레지스트리에서 설정
  • IPC$의 Null Session Share 취약점을 이용하여 사용자 계정과 암호 없이 시스템에 접속한 뒤 해당 시스템의 사용자 계정 정보, 보안 정책, 네트워크 공유 현황 등을 불법 수직할 수 있다. 공유를 해지해도 부팅 후 재설정되므로 근본적으로 제거하려면 레지스트리를 수정해야 한다.

유닉스/리눅스 서버 보안

서버의 파일 시스템에 대한 시간 속성

  • atime : 마지막 접근 시간
  • mtime : 마지막 변경(motification) 시간
  • ctime : 마지막 파일 속성 변경(status Change); 마지막으로 파일의 소유자, 그룹, 퍼미션 등이 변경된 시간

명령어

find / -user root -type f ₩ -perm -06000 ₩ -exec ls -al {};
  • -perm [-]mode : -가 없으면 정확히 mode 권한과 일치하는 파일, -가 있으면 mode 권한을 포함하는 파일을 검색한다.
  • -perm 4000이면 setuid만 설정되어 있는 파일을 검색하고 -4000이면 setuid를 포함하는 파일을 검색한다.
  • -perm -06000 ₩은 setuid나 setgid가 설정된 파일을 검색하는 명령어다.

리눅스에서 제공하는 Cron 기능

  • cron 데몬 프로세스는 UNIX 시스템에서 정기적인 작업을 지정시간에 처리하기 위해 사용된다.
  • 분 시 일 월 요일 작업 - 40 08 ** ** ** /user/logreport.sh : 매일 오전 8시 40분에 실행되도록 하는 contab 설정

Unix 시스템에서 실행중인 ps 별 전반적인 모니터링이 가능한 명령어

  • top : 커널을 통하여 관리되는 프로세스들의 정보를 알 수 있는 명령어

  • df : 현재 사용 중인 파일시스템들의 디스크 사용량 알려주는 명령어

  • iostat : CPU 및 디스크 입출력 통계에 대한 기본정보를 보여주는 명령어

umask가 022로 설정되어 있을 때, 디렉토리와 텍스트 파일을 생성했을 때, 자동적으로 생성되는 접근권한으로 옳은 것은?

  • UNIX 시스템에서 각각 파일과 디렉토리를 생성할 때, 일반 파일의 경우 접근권한으로 666을, 디렉터리의 경우 접근 권한으로 777을 디폴트 값으로 취한다.
  • 따라서 umask가 022로 설정되어 있으면, 디렉터리는 755, 텍스트 파일은 644로 접근권한이 설정된다.
profile
오유찬
열심히 하면 재밌다
이전 포스트

2025-07-02-Wednesday

다음 포스트

2025-07-06-Sunday

0개의 댓글