bob 11th 지원대상자가 이수해야 할 사전 교육에 대한 학습 일지입니다.
1. 해킹의 개념
개요
해킹의 정의
- 컴퓨터나 네트워크의 취약점을 이용하여 불법적으로 접근하거나 시스템에 유해한 영향을 끼치는 행위. 또한 파괴적이고 범죄적인 행위를 포함.(ex. 1988년 모리스웜)
- Hacking 과 Craking VS. White Hacking
- 1990년 인터넷 대중화 이후 가속화
해킹의 원리
- 허가 받지 않은 제 3자가 불법적으로 접근할 수 있는 취약점이 존재할 수 있음
- 시스템 오류에 의한 취약점(Buffer overflow 등)
- 보안 취약점
프로세스
과거
- 기본정보수집
- 스캐닝
- 정보목록화
- 시스템공격
- 사용자계정탈취
- 권한상승
- 공격1차목표달성
- 공격의 진화
현재
- Unknown Attack
- Known Attack
- Zeroday Exploit
- Oneday Exploit
- APT공격(Advanced Persistand Threat): 특정 대상을 목표로 지속적인 공격을 진행
- 정보수집
- 칩입
- C2 통신
- 확산
- 데이터 접근
- 데이터 유출 or 파괴
- Cyber Kill Chain
- 사이버 공격을 방어하기 위한 적극적인 방어 전략이며 여러 공격 단계들 중 일부를 무력화 또는 지연시켜 공격의 효율성을 낮추고 피해를 최소화
- 정찰 (IPS, F/W, DLP)
- 무기화 및 전달 (Sandbox)
- 악용과 설치 (AV, IPS, EPP)
- 명령과 제어 (EPP)
- 행동 및 탈출
- 사이버 공격을 방어하기 위한 적극적인 방어 전략이며 여러 공격 단계들 중 일부를 무력화 또는 지연시켜 공격의 효율성을 낮추고 피해를 최소화
기본 정보수집
기본 정보수집의 의미
- 모든 공격과정의 기본이 되는 단계
- 표적 시스템 및 이를 포함한 네트워크 정보까지 수집
범위
- 구동 서비스 정보
- 네트워크 구성 정보
- 보안장비 운영 유무
- 담당자 정보
※ 사회 공학적 기법(Social Engineering): 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 이용
대표적인 방법
- 웹사이트 탐색
- Whois(Whois.kisa.or.kr): 네임서버 주소 및 IP 주소
- 기본 명령어 (ex. nslookup 등)
스캐닝
개요
- 표적이 되는 대상 시스템 및 네트워크 정보를 도구를 이용해 탐색
- 공격을 위한 사전 준비작업
종류
- 호스트 스캐닝
- ICMP (ex. Ping)
- 포트 스캐닝
- TCP: SYN(Full), 스텔스 스캐닝 (ex. Nmap)
- UDP
※ 결과를 받아야하니 공격자도 위치가 노출됨. 그래서 경유지를 이용함.
- War driving
- 건물 주변이나 외부 공원등을 자동차로 배회하면서 무선 네트워크 트래픽을 가로채는 것
ICMP
- Internet Control Message Protocol
- 인터넷상의 호스트들에게 오류메세지나 제어 메제시를 송신하도록 하여 전송상의 에러나 예상치 못한 환경에 대한 정보를 제공할 목적으로 만들어진 프로토콜
- 종류
- Echo Request(type 8) + Echo Reply(type 0)
- Time Stamp Request(type 13) + Time Stamp Reply(type 14)
- Information Request(type 15) + Information Reply(type 16)
- ICMP Address Mask Request(type 17) + ICMP Address Mask Reply(type 18)
TCP 스캐닝
- SYN 스캐닝: 3-way handshaking
SYN의 대답이 SYN으로 돌아오면 열린 포트, RST 돌아오면 닫힌 포트
- 스탤스 스캐닝
TCP half-open 스캔
서버의 SYN+ACK 응답에 RST로 대답하여 스캐닝 탐지 툴을 우회(ex. IDS, IPS)FIN,NULL,XMAS 스캔
UDP 스캐닝
- Connection-less Oriented
