전체 글70 전송 계층 기반의 주요 공격 유형 * 교재 : 우분투 리눅스 기반의 IDS/IPS 설치와 운영 Port Scan 원격지 호스트를 대상으로 어떤 포트 번호를 사용 중인가를 확인하는 기법 TCP 헤더의 Flag 항목 이용 Nmap 가장 많이 사용하는 포트 스캐너 apt-get install nmap 명령어로 설치 가능 TCP Open 스캔 nmap 127.0.0.1 -p 22 sT : 자기 자신을 대상으로 SSH 서비스 동작 여부를 TCP 3-way Handshaking, 3단계 연결을 통해 확인하겠다는 의미 구분 해당 포트 사용 중 해당 포트 미사용 중 송신자 SYN 플래그 전송 SYN 플래그 전송 수신자 ACK/SYN 플래그 전송 ACK/RST 플래그 전송 송신자 ACK 플래그 전송 (1) 공격자 : TCP Open 스캔을 수행 시, 전.. 2021. 5. 14. 전송 계층의 헤더 기능 * 교재 : 우분투 리눅스 기반의 IDS/IPS 설치와 운영 전송 계층 : UDP, TCP UDP 헤더 UDP 헤더의 크기는 8Byte로 고정 출발지 포트와 목적지 포트 응용 계층에 속하는 프로토콜의 종류가 65536개(2의 16승)인 이유 Length UDP 페이로드와 UDP 헤더를 더한 데이터그램 크기 정보 Checksum 오류검사. 기본적으로 비활성 상태 -> 버퍼링과 단편화 기능이 없기 때문에 단순한 구조 TCP 헤더 TCP 헤더의 크기는 일반적으로 20byte지만 경우에 따라 TCP Options 항목을 이용해 21byte가 된다. (가변적) 출발지 포트와 목적지 포트 16비트 Sequence number, Acknowledgment number 일련 번호, 확인 번호 3-Way Handshka.. 2021. 5. 14. [Memory] GrrCON 2015 #6 필요한 정보 1. 멀웨어가 사용하는 레지스트리 키 : MrRobot (su0-0su.tistory.com/89) 2. 인젝션 된 프로세스 : IEXPLORE.EXE (su0-0su.tistory.com/87) C&C 서버란, 감염된 좀비 PC가 공격자가 원하는 공격을 수행하도록 원격지에서 명령을 내리는 서버를 뜻한다. 예전에 Formbook 악성코드에 대해 살펴본 적이 있는데, Formbook 악성코드는 인젝션한 프로세스를 통해 동작하고, C&C 서버에 정보를 전송한다. -> 인젝션 된 프로세스를 살펴보자 3번 문제를 통해 알게 된 정보로, 인젝션 된 프로세스는 iexplore.exe이다. pstree로 iexplore.exe의 pid를 확인한다. -> 2996 memdump를 사용해 덤프파일을 생성하고.. 2021. 5. 5. [Memory] GrrCON 2015 #5 레지스트리 Key의 이름을 물어본다. 레지스트리는 시스템, 사용자, 프로그램, 서비스, 드라이버 등 PC 운용에 반드시 필요한 정보들을 저장해둔 설정값의 집합이다. 레지스트리는 대부분 하이브라고 불리는 파일 세트에 들어가 있다. Volatility 기능 중 하이브를 알기 위해서는 hivelist 명령어가 필요하다. hivelist : 레지스트리 하이브의 물리 주소, 가상 주소, 경로를 포함한 이름 출력. 이때 나온 가상 주소가 특정 레지스트리에 대한 플러그인을 실행할 때 필요하다. ntuser : 레지스트리의 HKEY_USERS에 해당하는 하이브파일 'C:₩Users₩' 사용자 폴더 에 사용자 계정마다 각각 존재한다. 하지만 파일은 사용자가 로그인되는 동안 시스템에서 사용하기 때문에 ntuser.dat를.. 2021. 5. 5. [numpy] ndarray, 행렬 정렬 * 교재 : 파이썬 머신러닝 완벽 가이드 머신러닝 : 애플리케이션을 수정하지 않고도 데이터를 기반으로 패턴을 학습하고 결과를 예측하는 알고리즘 기법 - 데이터를 기반으로 숨겨진 패턴을 인지, 해결 머신러닝은 다음과 같이 나뉜다. 지도학습 비지도학습 강화학습 지도학습의 대표적인 머신러닝 분류 (Classification) 회귀 (Regression) 추천 시스템 시각/음성 감지/인지 텍스트 분석, NLP 비지도학습의 대표적인 머신러닝 클러스터링 차원 축소 강화학습 머신러닝의 가장 큰 단점은 데이터에 매우 의존적이라는 것이다. -> 가비지 인, 가비지 아웃. 쓰레기가 들어가면 쓰레기가 나온다는 뜻 좋은 품질의 데이터를 갖추지 못한다면 결과도 나쁘다. 딥러닝 프레임워크인 텐서플로우, 케라스, 파이토치 등 파이.. 2021. 5. 5. [Memory] GrrCON 2015 #4 프로세스 인젝션 == Process Hollowing (프로세스 교체 및 실행) : 악성코드가 대상 프로세스의 메모리에서 합법적인 코드를 매핑 해제(비우기)하고 대상 프로세스(예 : svchost.exe)의 메모리 공간을 악성 실행 파일로 덮어쓸 때 발생 의심스러운 프로세스를 찾아보자 pstree 명령어를 통해 트리 구조로 살펴본다. 부모 프로세스 없이 단독으로 돌아가는 프로세스들을 중점으로 분석하는 것이 좋다 악성코드는 정상적인 프로세스(winlongon.exe, services.exe, svchost.exe, explorer.exe, etc)에 몰래 들어가 악의적인 행동을 한다. 그 중 explorer.exe의 하위 프로세스에는 iexplore.exe가 존재한다. 그런데 pstree로 볼 수 있는 구.. 2021. 4. 30. 이전 1 2 3 4 5 6 ··· 12 다음
