Column
재전송 공격(리플레이 공격)은 중간자 공격의 하위 계층 버전 중의 하나입니다. 프루라에서는 탐지된 공격 로그를 이용하여 재생(Replay)하는 기술, 재전송 공격을 제공합니다. 공격이 실제 데이터 유출로 이어졌는지 확인하기란 대단히 어렵습니다. 특히, 일반적으로 access log 만 남겨진 환경에서는 POST 메소드의 Post-body 가 남아 있지 않아서 공격 자체를 확인하기가 불가능합니다. 다음과 같은 환경을 가정해 보겠습니다. 1) access
FTP는 파일 송수신을 위한 목적으로 만들어진 프로토콜로서 많은 데이터를 빠르게 주고받을 수 있습니다. 그 원리와 사용법 또한 비교적 간단하여 누구나 편리하게 이용 가능합니다. 하지만 전송 과정에서 데이터가 암호화되지 않고 텍스트 그대로 노출된다는 점에서 보안에 취약하다는 단점이 있습니다. 해커의 포트 스캐닝과 사용자 대입을 통한 무작위 공격으로 사용자의 계정이 탈취될 수 있으며, 악성코드를 업로드해 다수의 이용자 피해가
우리는 구글 사이트에 접속하고 싶을 때, 주소 창에 '172.217.163.228'과 같이 구글의 IP주소를 입력하기 보다는 'www.google.com'과 같이 해당 IP주소가 할당되어 있는 특정 도메인을 입력하여 접속합니다. 이 과정은 DNS(Domain Name System)가 있기에 작동하게 됩니다. DNS는 사용자가 입력한 도메인을 할당 IP주소로 변환하는 시스템으로 마치 전화번호부와 같은 역할을 합니다. 그런데 우리의 PC는 DNS에서 주소 정보를 제공받는 과정이 진행되기 전에 우선
해킹의 최종 목표는 데이터유출입니다. 고객정보, 개인정보, 기업의 핵심 자산이 대상입니다. 데이터유출 해킹의 목적은 돈이되는 비즈니스이기 때문입니다. 반대로 해킹 당한 기업 입장에서는 막대한 금전적 피해와 기업에 부정적인 이미지가 확대됩니다. 과징금, 집단적 손해배상, 상황에 따라 형사 고발까지 될 수 있습니다. 우리는 어떻게 데이터유출을 탐지할 수 있을까요? 데이터 유출 방지(Data Loss Prevention)는 내부정보 유출방지, 정보유출방지 등으로 혼용되어
2019년 12월 연예인 핸드폰에 저장된 사생활이 노출되는 사고가 발생하였습니다. 이때 사용된 공격은 크리덴셜 스터핑이라는 오래된 계정 공격 중 하나입니다. 삼성 클라우드에 크리덴셜 스터핑 공격으로 해당 연예인의 백업된 데이터에 접근하여 유출한 정황이라고 알려져 있습니다.[1] 크리덴셜 스터핑(Credential Stuffing), 어떻게 대응하면 좋을까요? 먼저, 공격 방법은 "한 사이트에서 확보한 계정을 분석해 또 다른 사이트의 정보를 알아내는 방법"입니다.[2] 2016년 6월
해커가 웹사이트를 공격한 후 필요한 정보를 탈취한 후, 이차적인 피해를 위해 홈페이지에 악성코드를 심는다. 혹은 웹 쉘을 이용하여 공격 성공된 사이트에 대하여 지속적인 연결을 유지하려고 한다. 이러한 공격은 홈페이지 위변조를 통해 이루어지는데. 인터넷 기사에 따르면 한국인터넷진흥원(KISA) 에서 2015년부터 연간 1,000회 이상씩 꾸준히 홈페이지 위변조 공격이 발생하고 있다.[1] 하지만 기존 SIEM 이나 보안장비들은 이러한 공격에 대하여
PowerShell 시스템 관리 및 자동화 등을 목적으로 설계된 명령줄 셸 및 스트립팅 언어입니다. Windows Vista 이후 기본 탑재되어 공격자의 도구로 많이 사용되고 있습니다. 1. 실행 정책 (Execution Policy) 기본적으로 Microsoft는 PowerShell 스크립트 실행을 제한합니다. 그러나 공격자는 이를 쉽게 우회할 수 있습니다. 우회 Flags -ExecutionPolicy/-EP Bypass -ExecutionPolicy/-EP Unrestricted -noprofile or -nop *Profile Bypass: 각 세션이 시작될
Active Directory 환경에서 Windows Event Collector 를 구성하면 Remote Logging 을 할 수 있습니다. 1. 이벤트 전달 및 수집을 위한 컴퓨터 구성 다음의 고려사항이 있습니다. 단방향 구독만 사용할 수 있습니다. 각 시스템에서 원격 이벤트 로그 관리에 대한 방화벽 예외를 추가해야 합니다. 각 시스템의 로그 판독기 그룹에 관리자 권한이 있는 계정을 추가해야 합니다. HTTPS 프로토콜을
WebKnight는 AQTRONIX사에서 개발한 IIS 웹서버에 설치할 수 있는 공개용 웹 방화벽입니다. WebKnight는 ISAPI 필터 형태로 동작하며, IIS 서버 앞단에 위치하여 웹서버로 전달되기 이전에 IIS 웹서버로 들어온 모든 웹 요청에 대해 웹서버 관리자가 설정한 필터 룰에 따라 검증을 하고 SQL Injection 공격 등 특정 웹 요청을 사전에 차단합니다. 1.설치 방법 아래 URL에서 WebKnight를 다운로드 받습니다.
큐비트시큐리티는 실시간으로 탐지한 위협들을 분석한 내용의 결과를 OWASP Top 10 – 2017 에 맞추어 제공하고 있습니다. 대표적인 유형들의 공격과 분석 결과 모습을 아래에서 보실 수 있습니다. 실시간으로 GET 과 POST-BODY 을 포함하여 제공해 드리는 최초의 서비스입니다. 1.SQLI 공격 탐지 분석 모의 공격 실행 예시 탐지 서비스 PLURA에서는 실시간으로 SQLi 공격 유형별(Union, Boolean, Error, Time,
