교육 및 자격증/KISA : 정보보호제품군 썸네일형 리스트형 워터링홀 공격 시나리오(cve-2016-0189) 워터링홀이란? : 사자가 물 웅덩이에서 먹이를 기다리는 것과 같이 공격 대상이 자주 방문하는 사이트를 해킹한 뒤 희생자가 접속하면 공격하는 기법이다. 워터링 홀 공격 요소 - 웹에서 동작하는 다양한 엔진들의 취약점을 이용 XSS 취약점(게시판, 댓글 작성, 악성 페이지로 리다이렉트..) 인터넷 브라우저 취약점(스크립트 엔진의 취약점) Server Side Template Injection(SSTI) 공격자가 서버 측의 기본 템플릿 구문을 이용하여 악성 페이로드를 삽입한 후 서버 측에 실행되면서 생기는 취약점 cve-2016-0189 : VBScript엔진이 소스코드를 처리하는 과정에 메모리를 손상시켜 임의의 코드를 실행시키는 취약점 미션소개 사용자 단말에서 악성행위가 발생한다는 보고를 받음 침해사고를 파.. 더보기 악성코드 감염 시나리오(Ethernalblue) Ethernalblue : 미 국가안보국 해킹 도구로 윈도우 환경에서 파일공유, 원격 윈도우 서비스 접근, 프린트 공유 등을 목적으로 하는 SMB 프로토콜의 원격 코드 실행 취약점을 이용 미션 소개 내부망에서 침해사고가 발생했으며 내부 침투에는 Eternalblue 공격이 특정되었다. 공격 패턴 특징 : '00 00 00 00 00 00 00 10'값을 전송 구성도 보안장비 - UTM, WAF 관리 - AdminConsole 업무 - User1, user2 DMZ - 파일서버, 웹 서버 시나리오 1. 악성코드 첨부 메일 발송 2. 악성코드 다운로드 3. 실행 4. 리버스 쉘 5. Ethernal blue 공격 공격자의 메일 주소는? [메일 서버에서 확인] 악성코드 감염 악성코드가 통신한 IP는? 작업관리.. 더보기 인프라 구축 시나리오 미션 소개 정보보호제품을 활용하여 아래 요건을 만족하는 인프라 구축하기 - 제시된 구성하기 위한 UTM 설정 및 정책 적용 - 제시된 구성하기 위한 WAF 설정 및 정책 적용 외부 -> DMZ로 접근 가능(WAF 통해서) 외부 -> 업무로 접근 불가능 DMZ -> 외부로 접근 불가능 DMZ -> 업무로 접근 불가능 업무 ->DMZ 접근 가능 업무 -> 외부 접근 가능 관리 -> ANY 접근 불가능(UTM, WAF만 가능) ANY -> 관리 불가능 UTM IPS 기능 차단 동작 하도록 설정 웹서버는 WAF를 거치도록 설정 [UTM] 시스템 > 인터페이스 설정(eth0,eth1, eth2, eth3) + 시스템 점검 도구에서 ping test하기 라우팅 설정 > 정적 라우팅 추가 : 외부망으로 나가는 경우 .. 더보기 SQL 인젝션, command 인젝션 WAF 정책 설정 SQL 인젝션 - 특수문자(', ;, ) 등을 근거로 탐지 [AdminConsole] 공격자 pc로 인젝션 공격 후 WAF에서 로그 검색 - 도메인별 정책 > sql 인젝션에서 차단으로 적용 Command injection - exec(), 시스템 명령어(ls, rm..) 등을 근거로 탐지 [AdminConsole] 공격자 pc에서 url에 시스템 명령어를 작성하고 요청한 후 WAF에서 탐지 로그 검색 탐지룰 제작 정책설정 > 도메인별 정책 > 사용자 정의 탐지 > 룰추가 패턴 추가 = ls|cat|ifconfig|chmod) ; & 탐지 확인 더보기 hfs rejetto 공격 탐지 및 차단(cve-1014-6287) 구성도 외부 - 공격자, public-PC DMZ - WAF, 웹서버, 파일서버 보안 장비 - UTM, AdminConsole 업무 pc - user1,user2 - 공격자가 UTM을 우회하여 파일서버에 접근 HFS(Http File Server) : 파일을 게시하고 공유하도록 설계된 자유 웹서버다. 내부에서 원격 명령 실행이 가능하다. 검색 부분에 [localhost:80/?search-%00{.exec|cmd.}를 입력 시 발생] [공격자 pc] 접속하여 파일서버 열기 > 공격자 pc 브라우저에서 파일 서버에 접속 검색 url에 exe뒤 원하는 명령어를 실행하면 파일서버에서 해당 명령이 실행된다. IPS 룰셋을 추가하여 공격자의 공격을 탐지 및 차단 [AdminConsole] IPS > 보호대상 추가.. 더보기 보안장비 정책 변조 시나리오 자원 접속 정보 보안장비 - UTM 관리 - AdminConsole 업무pc - user1, user2 DMZ - Web Server 미션 소개 - 2022년 6월 29일 오후 3시 이후에 보안장비 정책이 변경된 것 같다는 보고를 받았다. - 침해사고를 파악하고 보안장비를 활용하여 적절한 조치를 취하라 시나리오 1. [UTM] public-pc의 adminconsole 접근 허용 (시간 때문에 임시로 외부 pc에서 작업하도록 허용한 경우 하지만 이미 public pc가 감염되어 있는 상태) 2. 감염된 public-pc를 통한 adminconsole 접근 3. UTM 정책변경 4. WAF 정책 삭제 5. 웹서버 취약점 exploit 6. 지속적 접근을 위한 백도어 삽입 -> log4shell 공격 사용.. 더보기 [1]웹 해킹 시나리오 구성도 UTM WAF Adminconsole 업무 PC2대 DMZ(File Server, Web Server) 시나리오 1. 웹 취약점을 이용한 웹쉘 업로드 2. 피싱 사이트 링크 삽입 3. 희생자가 사이트 접근 4. 피싱 사이트로 리다이렉트 1. 공격자가 사용한 피싱 도메인은? user01 진입 - 웹 기록 보면 다른 피싱 사이트로 접근한 것을 확인 kisa.co.kn cmd - nslookup 명령으로 다른 접근 주소 확인 ip가 다름 2. WAF 차단 정책 설정 adminConsole에 접속 WAF에서 로그 분석 -> 위에서 분석했던 ip를 보면 웹 취약점 탐지됨 정책 설정에서 차단모드 적용 후 도메인 정책에서 default에 차단으로 적용 3. 공격자 IP 차단 MF2 접속 > 방화벽 정책 성정 .. 더보기 KISA : 정보보호제품군 실습 중급 - 실전형 사이버훈련장 정보보호제품군 실습 훈련(중급) 더보기 이전 1 2 다음