Beta Forum

윈도우즈 자체 기능으로 침해사고 분석하기

Find A Windows Infection Quickly Without Tools

1) Startup find

출처: ExploitWareLabs

출처: http://www.boannews.com/media/view.asp?idx=52265

1. 트러블슈팅
분석가, 엔지니어 등으로 불리기도 하며 미국 기준 연봉이 1억원 안팎이다. NRI 시큐어테크놀로지스(NRI SecureTechnologies)의 부회장인 재커리 스캇(Zachary Scott)과 재무 담당인 다니엘 킹스버리(Danielle Kingsbury)는 “이상 현상을 파악하고 원인을 재빨리 파악하는 능력”이라고 풀이한다. 이는 즉 자신이 담당하고 있는 시스템과 네트워크를 잘 이해하고 있다는 소리이고, 사건이 터졌을 때 대응 시간을 단축시킬 수 있다는 뜻이 된다. 

트러블슈팅 능력이 빼어나면 환경의 효율이 높아지고, 그럼으로써 결과가 향상된다. 특히 비용 절감 측면에서 이 능력이 드러난다. 또한 네트워크에 연결된 기기들이나 애플리케이션들이 최대한의 성능을 안전한 선 안에서 발휘하도록 한다. 정보보안 사건이 발생했을 때는 시간이 매우 치명적인 요소로 작용하는데, 이런 점에서 문제를 빨리 파악하고 해결할 수 있는 트러블슈팅 능력은 큰 장점이 된다. 트러블슈팅의 기본 능력은 전공 수업 시간에 익히는 게 충분히 가능하다고 재커리와 다니엘은 설명한다.

2. 호기심 
리스크 관리자, 애플리케이션 보안 전문가, 컴플라이언스 분석가 등의 직무를 가진 사람들에게 주로 나타나는 특성이며, 이런 직무자들의 미국 기준 연봉은 1억원 안팎이다. 보안 전문업체인 심파티코(Simpatico)의 CIO인 제라미아 프랭클린(Jeramia Franklin)은 “보통 보안 기업들은 문제를 분석하고 규격화된 절차에 의해 빠르게 해결할 수 있는 능력을 찾고 선호했다”며 “하지만 심파티코는 타고난 호기심을 가진 사람을 찾는다”고 설명한다. “호기심이야 말로 가장 효율이 좋은 문제 해결의 선천적 조건입니다.”

왕성한 호기심이 정보보안과 만났을 때, 리스크 관리자가 가장 이상적인 역할이 된다. 호기심이 많은 사람들은 어떤 현상이 주어졌을 때 그 뿌리에까지 도달하는 이해를 추구하기 때문이고, 이는 기업이 가진 리스크를 해결하는 데에 가장 필요한 능력이다. 상처를 빨리 덮고 밴드를 잘 붙이는 사람도 중요하지만, 누군가는 그 상처가 날 수밖에 없었던 더 깊은 이유를 찾아내기도 해야 한다. 

“그러나 이 부분은 학습으로 캐치하기가 힘듭니다. 호기심이 강해서 그걸 끝까지 밀어붙이는 괴물 같은 사람은 대부분 타고나죠. 그렇기에 그런 사람들이 기업들 입장에선 더 아쉽고 필요한 것인지도 모르겠습니다. 흔치 않은 유형이거든요.”

3. 최근 공격 유행에 대한 지식
분석가, 전문가, 관리책임자 등의 직책에 주로 나타나는 능력으로 미국 기준 연봉 1억원 안팎이다. NRI 시큐어테크놀로지스의 재커리 스캇은 “최신 공격에 대한 지식은 로그 분석 및 유출사고 관련 데이터를 분석할 때 남다른 시각을 가질 수밖에 없고, 그 남다른 시각은 보통 ‘앞서 가는’ 시각이 될 때가 많다”며 “그렇기에 분석력도 뛰어나고, 정확해지는 것”이라고 설명한다. 

공격자들의 최신 유행에 대한 지식은 사건 대응 및 보안 전략을 보다 더 효율적으로 만들어준다. 또한 전체적인 보안의 정책 역시 더 뛰어나게 다듬을 수 있고, 사용자 및 일반 직원의 보호에도 더 큰 성과를 거두게 해준다. 이는 현장에서 매일처럼 배울 수 있는 것으로, 직무에 대한 성실성을 보여주는 척도가 되기도 한다.

4. 최신 취약점에 대한 지식
분석가, 엔지니어, 전문가 등으로 불리기도 하며 미국 기준 평균 연봉이 1억 1천 5백만원 정도 된다. 재커리는 최신 공격 유행과 최신 취약점 지식에 대한 지식이 상당히 비슷한 역할을 한다고 한다. “취약점 지식을 갖추고 있으면 로그 분석 등이 훨씬 쉽게 됩니다. 또한 최근 취약점을 알고 있기 때문에 사건이 발생했을 때 어떤 경로로 공격자가 침투해 들어왔을 것인가에 대해 비교적 정확하게 접근해갈 수 있습니다.”

취약점에 대해 잘 알고 있다면 위협과 백색 소음의 차이를 구분하는 데에도 도움이 된다. 그렇기 때문에 사건 대응 운영을 지휘할 때 유연하고 부드럽게 할 수 있으며 분석가들과 협조했을 때 시간을 절약하는 것도 가능하다. 취약점에 대한 지식 역시 현장에서 부지런히 쌓아갈 수 있고, 학교보다는 회사 생활을 통해서 더 분명하게 익히는 것이 가능하다. 

5. 사건 대응(자동화)
사건 대응 팀장 및 팀원, 관리자, 아키텍트 등의 직무에 어울리며 미국 기준, 1억 1천만원의 연봉을 평균적으로 받는다. 말 그대로 사건이 일어났을 때 신속하고 정확한 대응을 하는 능력을 뜻하며, 정보보안 산업 전체적으로 이 능력은 유행처럼 중요시되고 있다. 사건 대응을 잘 하는 사람들은 최근 들어 자동화 솔루션 및 프로세스를 적극 활용하는 법을 익혀가는 모양새다. 

보안 전문업체의 리버만 소프트웨어(Lieberman Software)의 부회장인 조나단 샌더(Jonathan Sander)는 “사건 대응을 위한 스크립트 사용은 보안 팀에게 있어 새로 장착된 날개나 다름없다”며 “사건을 해결하는 데에 필요한 시간을 크게 줄여주는 역할을 한다”고 설명한다. “기초적인 자동화 기술은 책을 통해서 배우는 것도 가능하지만, 현장 경험도 매우 중요합니다.”

6. 데이터 분석과 시각과 인터페이스
시각화, 지능화 등의 업무 수행에 주로 동원되거나, 그런 사람들이 전문으로 하는 분야이며, 미국 기준으로 평균 연봉이 1억 1천만원 정도 된다. 이는 네트워크 내 수많은 센서와 서버, 클라이언트, 기기 및 애플리케이션들 사이에 흐르는 데이터를 수집할뿐만 아니라 알아보기 쉽고 의미를 도출하기 용이하게 편집, 재배열 하는 능력을 말한다. 또한 이런 흐름을 시각화 하여 비전문가인 경영진들이 쉽게 이해할 수 있도록 하는 기술도 포함한다. 

이 기술을 갖춘 사람이 기업 내 존재하면 경영진과의 소통이 원활해지며, 이로써 보안과 관련된 상시 및 사고 시 운영이 매우 부드러워진다. 당연히 홍보팀 및 사내 교육 팀과의 유기적인 협조도 가능해져 일반 직원들의 보안 인식 및 대처 능력을 탄탄히 키워갈 수도 있다. 이는 당연히 학교 수업 시간에 배울 수 있는 것으로, 졸업 후 현장에서 여러 가지 실제 상황을 거치며 더 알차게 단련된다. 

7. 서비스 정신
위협 첩보 분석가, 침입 분석가, 정보 보호 전문가 등으로 불리며 1억 1천만원의 연봉을 평균적으로 받는다. 물론 미국 기준이다. 심파티코의 제레미아 프랭클린은 “서비스 정신은 모든 산업에서 요구되는 태도”라며 “이를 정보보안 직무에 맞게 풀이하면 ‘영웅이 되고자 하는 자세’라고 말할 수 있다”고 설명한다. “보안 사고가 터졌을 때 누구보다 앞장서서 해결해주고자 나서는 것, 평소에 사고를 터트릴만한 사람이나 요인을 찾아내고자 하는 것, 그러기 위해 민망한 복장을 착용하든 뭐든, 단단한 각오를 할 수 있는 것을 말합니다. 즉 자기가 하는 일에 헌신적이어야 한다는 거죠.”

이는 학습하거나 몸에 배이게 하는 게 크게 어려운 능력이나 기술은 아니다. “선천적으로 타고나야 한다고 하는 사람도 있는데, 절대 그렇지 않습니다. 주말에 봉사활동 한 번이라도 가보세요. 자기 안에 있는 서비스 정신을 발견할 수 있을 겁니다. 다만 이걸 꾸준히 하지 못하는 게 문제인데, 바로 이 부분을 학습으로 해결하는 게 가능합니다. 계속해서 배우고 연습해야 합니다. 업무와 관련 없는 분야에서도 가능합니다.”

8. 소통 능력
감사자, 관리자 등의 직책을 가지고 있는 사람에 어울리는 능력으로 미국 기준 연봉이 1억 1천만원에 달한다. 사실 소통 능력이라는 것은 보안을 담당하는 모든 사람들에게 필요한 것이라고 NRI 시큐어테크놀로지스의 스캇은 설명한다. “투자금을 임원진들로부터 이끌어내는 것에서부터 일반 직원들을 보안 실천에 동원하는 것까지, 설득력이 반드시 필요합니다.”

소통 능력은 어떤 과정과 절차에서든 윤활유와 같은 역할을 하므로 필수 요소라고 할 수 있으나 모든 사람이 갖추고 있지 않다. “특히 기술에 특화된 사람들 사이에서 이 부분이 많이 모자라는 걸 느낍니다. 기술자들만 모아놓으면 회의가 잘 되지 않아요.” 소통 능력은 한 조직 내에서 사람을 직접 부딪혀가면서 배우는 수밖에 없다고 전문가들은 말한다. “시행착오를 거치는 수밖에 없어요. 그나마 다행인 건 친구나 가족 등과의 생활을 통해서도 꾸준히 배워갈 수 있다는 거죠.”

출처: http://www.boannews.com/media/view.asp?idx=52123

1. NIST의 국가 취약점 데이터베이스(NVD)

Source by: https://www.cyberpointllc.com/srt/posts/srt-logging-keystrokes-with-event-tracing-for-windows-etw.html

EDB-ID: 37710	Author: daniel svartman	CVE: CVE-2015-5602
Published: 2015-07-28	Type: local	Platform: Linux
E-DB Verified:	Exploit:  Download //  View Raw	Vulnerable App: N/A

Source by: https://www.exploit-db.com/exploits/37710/

WiFi hacking is the one most conversational topic all over the internet, we all are well aware that how tech geeky users searches for the hacking tools on internet, but really how can it be possible to hack any WiFi?

Below we have discussed Top 10 WiFi Hacking And Defending Application for Android which works on rooted and unrooted Android devices, to know all the applications just follow below!

1. WiFi WPS WPA Tester

WiFi WPS WPA Tester

This application is compatible with all your android device above 2.0 version, this application helps you to crack into the WiFi networks around you, but not all the routers, every router till date have some vulnerability and that helps this application to breach into the WiFi router.

2. WiFi Kill

WiFi Kill

If you are near any public WiFi network then this application will help you to block all the other users connected to the same public WiFi network, you can breach into any Wifi network around you because basically the public WiFi network has many security vulnerabilities.

3. WPS Connect

WPS Connect

Wps connect is one of the best and popular Android application, this app helps you to crack any WiFi network around you, even you can disable connections of other users who so ever connected with the same wifi network, this application also helps you to crack passwords protected WiFi, and it takes time to crack wifi password because of the protection level.

4. ZANTI Penetration Testing Android Hacking Toolkit

ZANTI Penetration Testing Android Hacking Toolkit

This application does not require a rooted android device, this application basically created to identify the attacker but later with a mod version help attackers to attack any WiFi network and the mod version required rooted android devices.

Basically, this application used in corporate management where the IT Security Administrator demand this application to block the intruder to steal any such confidential from the firm.

5. WiFi Inspect

WiFi Inspect

This tool is basically introduced to monitor the hacking activity on the owned network, IT professionals use this software to monitor the network whether there is any intruder, also to manage the number of users on the same network, this application is a security audit tool and not for hacking.

6. Arpspoof

Arpspoof

This application is only based on network auditing, not for hacking but some of the hardcore users steal the source code of the application to make it a hacking tool which helps them to search nearby wifi network.

The original application redirects the traffic on the local network by creating ARP replies and again able to send them to specific targets or all the hosts users on same local network paths.

7. Fing Network Tool

Fing Network Tool

This application is totally user-friendly with an amazing User interface to make the function even faster, the application helps you to analysis your WiFi network, This application works only on the android rooted device.

It helps you to find out which network or users are connected to your WiFi, the professionals use this to maintain their WiFi network, they use this application to detect the intruders and helps to resolve network issues.

8. Nmap for Android (network Mapper)

Nmap for Android (network Mapper)

Among all the above application this one as we can call it the best! because of its popularity, it helps the users to scan the network or port to find out the intruders, previously this application developed for Unix OS but now it is available for Windows and Android. The UI of the application is much more attractive.

9. Network Discovery

Network Discovery

This application works on non-rooted devices too, this application helps you to monitor your connected networks, and also helps to scan the nearby networks, this doesn’t help you to hack any network but yes its helps you to monitor several networks on the scan mode!

10. Network Spoofer

Network Spoofer

This application required rooted Android device because, with the help of this application, it can change website of other people’s computer connected to the same network, basically, it is not a penetration testing tool, but it helps you to analysis that how hard or easy to hack any WiFi network.

Source: itechhacks

프로그램을 실행시키면 운영체제는 우리가 실행시킨 프로그램을 위해 메모리 공간을 할당해준다. 

할당되는 메모리 공간은 크게 스택(Stack), 힙(Heap), 데이터(Data)영역으로 나뉘어진다. 

이러한 메모리 공간이 어떠한 용도로 언제, 어디서 할당되는지 알아보도록 하자.

데이터(Data) 영역

 - 전역 변수와 static 변수가 할당되는 영역

 - 프로그램의 시작과 동시에 할당되고, 프로그램이 종료되어야 메모리에서 소멸됨

#include <stdio.h>

int a = 10;	// 데이터 영역에 할당
int b = 20;	// 데이터 영역에 할당

int main() {

	...

	return 0;
}

위와 같은 코드에서 int형 변수 a, b는 프로그램 실행시, main 함수가 호출되기 전에 데이터 영역에 할당된다.

그렇기 때문에 프로그램이 종료될 때까지 메모리상에 존재한다.

(전역변수가 프로그램이 종료될 때 까지 존재하는 이유)

스택(Stack) 영역

 - 함수 호출 시 생성되는 지역 변수와 매개 변수가 저장되는 영역

 - 함수 호출이 완료되면 사라짐

#include <stdio.h>

void fct1(int);
void fct2(int);

int a = 10;	// 데이터 영역에 할당
int b = 20;	// 데이터 영역에 할당

int main() {

	int i = 100;	// 지역변수 i가 스택 영역에 할당

	fct1(i);
	fct2(i);

	return 0;
}

void fct1(int c) {
	int d = 30;	// 매개변수 c와 지역변수 d가 스택영역에 할당
}

void fct2(int e) {
	int f = 40;	// 매개변수 e와 지역변수 f가 스택영역에 할당
}

main함수와 fct1, fct2라는 함수를 추가하였다. 

a, b를 데이터 영역에 할당한 뒤에 main함수를 호출하면서 int형 변수 i는 지역변수로서 스택영역에 할당된다.

그 뒤에 fct1()이라는 함수를 호출하면서 fct1함수의 매개변수인 c와 d가 스택영역에 할당된다.

fct1()이라는 함수호출이 끝나면 c와 d는 스택영역에서 삭제되며, 

그 뒤 fct2()라는 함수를 호출하면서 매개변수 e와 지역변수 f가 스택영역에 할당된다.

스택영역은 그 이름그대로 스택의 성질을 띄고있다.

힙(Heap) 영역

 - 필요에 의해 동적으로 메모리를 할당 할 때 사용

지금까지 데이터영역과 스택영역을 알아보았는데, 저 두가지 영역만 있으면 코드를 문제없이 짤 수 있을것 처럼 보인다.

그럼 힙영역은 왜 필요한 것일까?

힙 영역은 왜 필요할까?

제일 첫번째 그림을 보면 힙 영역은 프로그래머가 할당한다고 되어있다. 

그럼 언제 할당을 할까? 

배열을 예를들어서 설명을 하겠다.

우리는 배열을 선언할때 상수로 선언을 한다.

int main() {

	// 정상적인 배열선언
	int arr[10];

	// 비 정상적인 배열선언
	int i = 0;
	scanf("%d", &i);
	int arr[i];

	return 0;
}

배열의 길이를 사용자가 입력한 숫자로 잡아주는 것은 비 정상적인 배열선언이다. 왜 비 정상적일까?

메모리 구조에 대해서 잘 파악하고 있다면 당연한 이야기다.

제일 첫번째 그림을 다시보자, 스택 영역에 할당될 메모리의 크기는 컴파일 타임(컴파일 하는 동안)에 결정된다고 되어있다.

정상적인 배열 선언의 경우 arr이라는 배열의 크기가 40바이트 라는것을 알 수 있다.

하지만 비 정상적인 배열선언의 경우 i의 크기가 4바이트 라는 것을 알 수 는 있으나, arr이라는 배열의 크기는 알 수 없다.

그렇다면 다음과 같이 배열을 선언할 때는 문제가 없을까?

int main() {
	
	int i = 10;
	int arr[i];

	return 0;
}

i 라는 변수가 10이기 때문에 arr이라는 배열의 크기가 10이라는 것을 알 수 있지 않을까?

결과는 아니다.

컴파일을 하는 동안 i가 4바이트의 크기라는 것을 알 수는 있으나, 그 값이 10으로 초기화 되었다는 사실은 무시하고 넘어간다. 값이 10으로 초기화 되었다는 사실은 실행되는 동안, 즉 런타임에 결정된다.

그렇기 때문에 컴파일러는 arr의 크기가 40바이트가 된다는 사실을 알 수 없다. 

사용자의 요구에 맞게 메모리를 할당해 주기 위해서는(런타임에 메모리 크기를 결정하고 싶을 때) 메모리 동적 할당을 통해 힙 영역에 메모리를 할당해야 한다.

힙 영역 : 할당해야 할 메모리의 크기를 프로그램이 실행되는 동안 결정해야 하는 경우(런 타임때) 유용하게 사용되는 공간

힙 영역을 사용하기 위해서는 동적할당에 대해서 공부하여야 한다.

2014/06/26 - [Programming/C언어] - [C] malloc, calloc, realloc을 이용한 메모리 동적 할당

Source by: http://dsnight.tistory.com/50

https://kldp.org/node/38265

1. 개요

   인터넷의 백본망 등에서의 대량의 트래픽 처리를 고속으로 처리 및 관리를 하기 위한
   방안으로써 ATM 스위치 등을 이용한 여러가지 방안이 IETF 및 ATM 포럼 등 표준화 기
   구에서 논의되었는데, 이중에서 IETF에서 추진한 방안이 바로 MPLS 방식이다.


2. 기존 라우팅과의 차이

  ㅇ 기존의 라우팅이 3계층에서 Hop-by-Hop 체계를 기반으로하여, 매 라우터 마다 패킷
     의 헤더를 조사하여 다음 라우터로의 경로를 설정하는데에 비해, 
  ㅇ MPLS는 MPLS망에 진입하는 시점에서 단 한번 만 헤더를 조사하고  우편번호와 같이
     짧은 라벨(Label)을 이용하여 경로를 설정하게 된다.


3. MPLS의 기초가 된 상용기술   ☞ 레이블 스위칭 (Label Switching) 기술

  ㅇ 일본 도시바사의 CSR(Cell Switch Router, 1994년),  IPSILON사의 IP Switching 방
     식 (1995년, 트래픽 기반 방식),  CISCO사의 Tag Switching 방식 (1997년,토폴로지
     기반 방식),  IBM사의 ARIS (1997년) 등
  ㅇ IETF 에서 위 방식들을 종합하여 MPLS 라는 용어로 부르고 표준화 작업을 함


4. MPLS 특징

  ㅇ 트래픽 엔지니어링 (MPLS-TE) 등에 의한 QoS 보장
     - 망 트래픽에 대한 명시적 분류기능(Explicit Classification) 과 분류된 트래픽
       에 대한  명시적 라우팅을 통하여 트래픽 엔지니어링 및 QoS를 지원할 수 있다. 
  ㅇ 정책(Policy)에 따른 라우팅 선택이 가능
     - Policy-based Routing
  ㅇ 우편번호와 같이 짧은 라벨(Label)을 이용한 경로 설정
     - 고정크기의 \"라벨 스와핑\" 기능에 의한 고속 패킷 스위칭, 전송
  ㅇ 라우팅 및 포워딩의 분리
     - 2, 3계층을 가각 독립적으로 수행함에 따라 다양한 2 또는 3 계층 프로토콜 지원
     - 3계층에서는 IP, CLNP 등 / 2계층에서는 Ethernet, ATM, Frame Relay 등
  ㅇ 가상사설망(IP-VPN) 구축 가능  ☞  MPLS VPN


5. MPLS 구조 및 구성

  ㅇ 계층 구조
     - MPLS는 대략 2.5 계층에 속한다 함 
        . 3 계층 / 2.5 계층 (Shim 계층) / 2 계층
     - 망계층(계층 3)의 헤더와  데이타링크 계층(계층 2)의 헤더 간에  \"MPLS 헤더\"
       (이를 MPLS Label이라 부름)가 있어, 이 라벨에 의한 고속의 하드웨어 스위칭이
       이루어진다.  즉, Layer 2 에서 Forwarding 및 Layer 3 에서 Routing .
     - 한편, 기존의 라우터들은 망계층에서 라우팅 테이블에 의한 소프트웨어적인 라우
       팅이 이루어진다.
  ㅇ MPLS 망 구성
     - LER (Label Edge Router)   : 비 MPLS 망과의 연동
     - LSR (Label Switch Router) : MPLS 망의 중심에 위치
  ㅇ MPLS 라우터의 2개 구성요소
     - 제어평면 (Control Plane)  : 3계층 라우팅 정보 및 라벨을 교환
     - 데이터평면 (Data Plane)   : 라벨에 의해 패킷 스위칭 


6. MPLS 에서의 핵심 요소

  ㅇ Label Binding      : Label을 특정 데이터 흐름에 대응 
  ㅇ Label Swapping     : 입력 Label을 출력 Label로 변경 
  ㅇ Label Distribution : Label binding을 인접 노드에 전파


7. MPLS 시그널링 프로토콜  :  Label의 할당 및 분배를 위한 프로토콜

  ㅇ LDP(Label Distribution Protocol) 방식
     - LDP : Label을 분배, LSP(Label Switched Path) 설정을 위한 protocol
  ㅇ 트래픽 엔지니어링(Traffic Engineering)도 가능한 방식
     - CR-LDP (Constraint-based Routing LDP)
       . ATM 기술보유업체 선호
     - RSVP-TE (Resource Reservation Protocol - Traffic Engineering)
       . 라우터 제작업체 선호


8. MPLS 구현 방식

  ㅇ Frame-mode MPLS : 순전히 라우터에 의해 구현
     - Labeled Packet들이 계층 2에서 프레임 상태로 교환됨
  ㅇ Cell-mode MPLS  : ATM 기반의 MPLS 구현 (MPLS over ATM)
     - Labeled Packet들이 ATM Cell 형태로 전송됨


9. 기타 참고사항

  ㅇ 관련표준  :  IETF의 MPLS Working Group에서 표준화
  ㅇ 관련용어  :  IPoA, 컷 스루 스위칭 방식

출처 www.ktword.co.kr
[출처] MPLS   MultiProtocol Label Switching   다중 프로토콜 레벨 스위칭 방식|작성자 슈마