아키텍쳐(Ring 구조)
경량화된 운영체제 -Plug and Play(HAL)
마이크로 커널 = 유틸리티 P/G, 자주 사용하는 S/W, 경량화, user mode/kernel mode 분할
응용 P/G, 각종 관리자 —system call→ 마이크로 커널 —interrupt→ HAL
파일 시스템
- FAT 16 = 최대 디스크 2GByte 지원
- FAT 32 = 2GByte 이상, 파티션, 대용량 디스크 지원
- NTFS = 암호화(EFS), 압축, 파티션, 파일 레벨 보안 지원, 클러스터
covert로 FAT에서 NTFS로 파일 변경, FAT가 작은 파일 읽을 때 빠름
프로세스 구조
Message Driven
①이벤트 발생 ②이벤트 식별(키로거)→ 윈도우 시스템 —③이벤트 전송→ 메시지 큐 —④메세지 추출→ winmain —⑤메세지 전송(call Back)→ winproc —⑥메세지 처리→ 화면에 출력
키보드에서 발생시킨 이벤트를 윈도우 시스템에 전송하고 윈도우 시스템에서 메세지 큐에 저장한 후 각 윈도우별 핸들을 식별 후 해당 윈도우를 호출
인증
①winlog on = 로그인 프로세스
②GINA = 계정정보와 암호화된 패스워드(NTML)를 LSA에 전달
③LSA = 계정 검증, 감사 기록
④SAM = 계정 정보가 저장된 해시 값
⑤SRM = 사용자별 고유 SID 부여 및 권한 부여 (500:admin, 501:Guest, 502:사용자)
윈도우 시스템 관련 프로세스
wininit.exe = 윈도우 시작 프로그램
services.exe = 윈도우 서비스 관리
lsm.exe = Local Session Manager
lsass.exe = 로그인 검사, 비밀번호 변경관리, 엑세스 토큰 생성
svchost.exe = 서비스를 관리하기 위한 프로세스
conhost.ece = 키보드, 마우스 입력, 문자 출력, 콘솔 API 등 셀의 기본 기능 수행
로그
책임 추적성, 응용 P/G 로그, 보안 로그, 시스템 로그
계정
Local 계정(Work Group)
-net user, -net user guest, -net user guest Active = Y
Domain 계정 = Domain Controller애서 계정을 받아 실행(Active Directory)
조직분리, 보안 그룹 : 암호화 정책
레지스트리(Registry)
Root Key
- HKEY_CLASSES_ROOT = 확장자 정보 및 프로그램 간 연결 정보
- HKEY_LOCAL_MACHINE = 설치된 H/W, S/W설치 드라이버 설정 정보
- HKEY_USERS = 사용자에 대한 정보
- HKEY_CURRENT_CONFIG = 디스플레이, 프린트 설정 정보
Hive File = 레지스트 정보를 가지고 있는 물리적인 파일
- SYSTEM = 부팅에 필요한 시스템 전역 구성정보
- SOFTWARE = 부팅에 필요없는 전역 구성정보로 소프트웨어 정보
- SECURITY = 시스템 보안정책과 권한 할당 정보로 시스템 계정만 접근 가능
- SAM = 로컬 계정 정보와 그룹정보로 시스템 계정만 접근 가능
- HARDWARE = 하드웨어 디스크립션과 모든 장치 드라이버 매핑 정보
- COMPONENTS = 설치된 컴포넌트와 관련된 정보 관리
- BCD00000000 = 부팅 환경 데이터 관리
※ APT(지능적, 지속적)
절차 = 침투(Incursion) → 탐색(Discovery) → 수집/공격(Capture/Attack) → 유출(Exfiltration)
침투 ①payload = 공격 모듈 ②shell code = 기계어 코드 ③exploit = 취약점을 이용한 공격
- 사회공학적 공격 = 심리, 교육
- watering hole = 신뢰된 사이트
- drive by download = 자동으로 악성코드 감염
- spear phishing = 특정한 대상, 매일
- macro = 운영체제와 관계없이, 누구나 쉽게(Auto Open)
- DDE 취약점 = 프로그램 두개가 통신 {DDEAUTO = cmd.exe}
※ Injector
- SQL Injection = 'or 1=1 #/-- 대응 방안:Dynamic SQL 지양, ORM 사용 지향, Prepared Statement사용, WAF/IDS
- DLL Injection = DLL이라는 독립적인 실행 파일을 삽입, DLL은 main없이 못 돌아가는데 run21.dll a.dll, main → 가짜 main을 만들어서 돌려줌 = 독립적으로 돌아감
- Code Injection = shell code 삽입(Heap Spray) → DEP가 해제되어 있어야 한다
- Xpath Injection = Xpath 쿼리 구성할 떄 발생하는 공격, 조작된 정보를 전송하여 접근
※ 윈도우 포렌식
5대 원칙 = 정당성, 무결성, 재연성, 신속성, 절차의 연속성
도구 = Encase, FTK
✱로드카르 법칙 = 접촉하는 두 개체는 서로 흔적을 주고 받는다는 원칙
✱Pagefile.sys, c:\, Archive, System, Hidden = 윈도우에서 가상메모리 데이터를 보유하고 있는 파일명과 파일속성
포렌식 절차 VS 침해사고 대응 절차(7단계)
포렌식 절차 = 준비 - 획득/이송 - 분석 - 분석서 작성 - 보관
침해사고 대응 절차 = 준비 - 탐지 - 대응 - 대응전략 체계화 - 사고조치 데이터 수집/분석 - 보고서 작성 - 복구 및 해결
※ IoT
- SCADA = 산업제어 시스템을 감시 및 제어하는 시스템 → 취약점 = STUXNET
- MODBUS = 산업용 자동차 장비 감시 및 제어하는 통신 프로토콜
- PLC(Program Logic Controll) = 산업 플랜트의 자동 제어 및 감시, 제어 장치
Mirai = IoT 기기에서 증식하여 DDoS 공격, 크로스 컴파일(다양한 환경=CPU), 리눅스
Can Do It
brb
