Column

리버스 쉘(Reverse Shell) 목표 시스템의 취약점을 이용하여 쉘 세션을 시작한 다음 피해자의 컴퓨터에 액세스합니다. 목표는 원격 컴퓨터에 연결하고 공격자가 원격으로 액세스할 수 있도록 대상 시스템 쉘의 입력 및 출력 연결을 리다이렉션 하는 것입니다. 특정 피해 시스템에서 자신의 권한(cmd)을 사용하여 공격자 시스템에 연결하여 찾아가는 방식입니다. 리버스 연결을 하는 이유는 정보보호 제품의 네트워크 연결 구조 때문입니다. 외부에서

0. Overview PLURA는 다음을 대상으로 로그를 생성/수집/분석하여 이상징후를 제공하는 통합 보안 이벤트 관리 (SIEM) 서비스입니다. 운영체제: 이벤트로그, syslog, auditlog 웹서버: 액세스 로그 (요청본문 & 응답본문 포함) 응용프로그램: 모든 종류의 TEXT 파일 네트워크제품:  syslog 정보보호제품: syslog   본 게시글은 Kubernetes 환경에서 PLURA를 이용하여 Container에서 생성되는 Application Log, Syslog, 그리고Web Log의 수집 및 분석하는 방법을 안내합니다. 1.

해킹 공격을 받으면 거의 대부분 로그 분석을 합니다.   로그 분석으로 어떻게 해킹 당했는지, 어떤 데이터가 유출되었는지 알 수 있다고 생각하기 때문이겠죠.   하지만 로그는 저절로 생성되지 않습니다.   감사정책 설정이라는 사용자의 작업이 반드시 선행되어야 합니다. 웹의 요청본문과 응답본문을 로그로 남기기 위하여는 보다 더 특별한 작업을 해야 합니다.   지금 바로 프루라(PLURA) 만나 보세요.  

키워드 : 크리덴셜 스터핑 공격,  무차별 대입하는 공격, 요청 본문 분석, 메타 정보 분석, 클라우드 SaaS 보안 서비스, Credential Stuffing "본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다." Q1. 크리덴셜 스터핑 공격을 설명해 주세요. 크리덴셜 스터핑(Credential Stuffing) 공격은 대량의 ID와 Password 목록을 이용하여 온라인 계정에 대한 비밀번호를 무차별

키워드 : 침입차단시스템, 네트워크보안, 암호화 패킷 분석, 호스트보안, IPS(Intrusion Prevention System), NDR(Network Detection and Response), EDR(Endpoint Detection and Response) "본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다." Q1. IPS 와 NDR의 차이점에 대하여 설명해 주세요. IPS와 NDR은 모두 네트워크 보안 기술이지만, 다음과 같은 차이점이 있습니다: 정의: IPS(Intrusion Prevention

키워드 : 마이터 어택, 고급감사정책, 이벤트 채널, Windows PowerShell 채널, MITRE ATT&CK, Windows Event Log "본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다." Q1. 마이터 어택 관점에서 로그 모니터링을 강화하기 위하여 고급감사정책을 활용하는 것이 반드시 필요할까요? 네, 마이터 어택 등 대규모 해킹 공격을 방지하기 위해서는 로그 모니터링을 강화하는

CALDERA 칼데라? MITRE에서 개발한 프레임워크로 해킹 그룹의 공격 기술을 재현하고 테스트하기 위해 제작된 도구들의 집합체 CALDERA 설치 참고 https://github.com/mitre/caldera https://caldera.mitre.org/ https://caldera.readthedocs.io/en/latest/

키워드 : 스플렁크, 요청 본문 분석, 모드시큐리티, Splunk, Post-body, Request-body, ModSecurity, OWASP TOP 10 "본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다." Q1. Splunk SIEM에서 요청 본문(request body) 분석이 가능한가요? Splunk SIEM은 로그 관리 및 보안 정보 및 이벤트 관리를 위한 플랫폼으로, 요청 본문(request body) 분석을 지원하는지 여부는

웹 서비스를 보호하는데 가장 필수적인 제품은 웹방화벽(WAF, Web Application Firewall) 입니다. 네트워크 기반 침입차단시스템(NIPS, Network based Intrusion Prevention System) 제품에 인증서를 설치하여 병행 사용이 되기도 하지만, 앞선 논의와 같이 네트워크 IPS 제품은 더 이상 필요한 제품이 아닙니다.[1] NIPS는 제대로 동작할 수 없고, 네트워크 복잡성으로 장애 발생 확률을 올리기까지 하므로 오히려 제거해야 할 대상입니다.   웹방화벽(WAF)에서

ANONYMOUS LOGON? 익명 사용자 계정을 통해 인증을 받지 않은 상태에서 파일과 폴더에 액세스할 수 있다. NTLM V1? NT(New Technology) LAN Manager 사용자에게 인증, 무결성 및 기밀성을 제공하기 위한 Microsoft 보안 프로토콜 제품 가능한 모든 8자리 암호 해시 순열을 6시간 이내에 해독할 수 있다고 한다. [1] ANONYMOUS LOGON 비활성화 방법 참고: KISA 주요정보통신기반시설 W-42 점검내용 'SAM