정보보호 Information gathering 목차 Ⅲ. 정보수집 (Information gathering) 1. 정보수집단계소개 뉴스그룹, 전자게시판 쇼셜네트워크서비스 (SNS) 1. 정보수집단계소개 정보수집 (Information Gathering) u 정보수집단계 정탐 (Reconnaissance = 정찰 ) + 스캐닝 (Scanning) 상황에따라상이하게정의하기도함 u 정의 가장중요한단계 자세히조사하기전에미리조사하는것 가장기술적이지않은단계 정보수집하는데시간을많이투자할수록, 다음단계에서성공할확률이높아짐 잘정의된규칙이나순서가없다 공개정보수집 u 공개정보수집 (OSINT, OpenSource Intelligence) 외부에공개되어있는공격대상에대한정보를최대한많이수집하는것 수집된정보를정리 공격가능한 IP주소 or URL목록작성 정보수집할때, 아무리사소한것이라도나중에중요하게쓰일수있음 ( 일단기록해둘것 ) u 수집방법 u 참고 침투테스트를하는동안, 수행범위를벗어난대상이있는경우 고객과협의를통해수행범위변경 권한확보후, 수행 u 공격대상웹사이트 (URL) 분석을통한기초정보수집 공격대상웹사이트를직접접근하여, 기초정보수집 공격대상웹사이트를살펴보는시간이길수록, 증거를많이남기게됨 웹사이트를로컬 (local) 로복사하여, 정보수집 ( 자동화툴사용 : HTTrack) 공격적인행동으로, 추적당하기쉽다 u 뉴스, 공지사항, 공개채용게시판등 u 정보수집 공격대상은어떤회사인가? 무엇을하는회사인가? 어디에위치하는가? 사용하고있는기술 ( 장비포함등 ) 은무엇인가? 등 u 검색하기위해사용할 키워드 도출
http://www.httrack.com 공격대상웹사이트를그대로 Local 컴퓨터로복사 오프라인으로웹사이트분석 복사된웹사이트는모든페이지, 링크, 사진, 원래사이트의코드등모두포함 u 검색엔진을통해정보수집 도출된 키워드 를활용 u Google 에저장된페이지
검색연산자미사용 검색연산자사용한경우 u Google의저장된페이지회사네트워크에있는시스템의 IP주소, 컴퓨터이름 (hostname) 등을기록한엑셀파일작성내부공유를위해해당엑셀파일을사내내부망에 Upload ( 내부사람만볼수있도록 ) 실수로, 회사인터넷사이트에올렸다가잘못 upload한것을알고, 홈페이지에서삭제하였다. u 침투테스트를위한구글해킹 Google hacking for Penetration Testers ( 데프콘13 국제적해킹방어대회 ) 데프콘미디어아카이브 (www.defcon.org/html/links/dcarchives.html) u 삭제하였으니안전한가? 홈페이지에서파일을삭제하기전에, 웹크롤러 (Web Crawler) 가해당웹사이트를수집했다면, 파일이삭제된후에도, 구글의저장된페이지 에살아있을가능성존재 (cache 검색연산자 ) u 구글의저장된페이지검색중요 u 데프콘 (www.defcon.org) 글로벌해킹방어대회
u GHDB (Google Hacking DataBase) u GHDB (Google Hacking DataBase) 구글 (www.exploitdb.com/googledorks) GHDB 항목 구글검색을통해특정 or 치명적인자료를찾거나구하는방법 현실적으로실무에서, GHDB 에나오는모든정보를 해킹취약점을찾는방법등에관하여 DB 화시켜놓은서비스 모두검색하기어려움 참고 : www.hackersforcharity.org/ghdb SiteDigger 도구등장 u www.expoitdb.com 각종최신취약점에대한정보및공격코드에대한정보제공 GHDB 를활용한검색도구 맥아피 (McAfee) foundstone 에서개발된 Google Dork 검색도구 구글독 API 이용, 구글독검색패턴을차례대로검색입력에적용하는방식 다운로드 : http://www.mcafee.com/kr/downloads/freetools/sitedigger.aspx Download this tool now 클릭 Next 환영메시지 Download this tool now 클릭 라이선스정보확인 지금다운로드 라이선스정보확인 설치할디렉토리설정 설치확인메시지 사용 1 왼쪽트리 (tree) 에서검색할쿼리선택 2 검색할도메인및서브도메인입력 (Site/Domain : co.kr) 3 [Scan] 버튼클릭 설치완료 SiteDigger 실행 FSDB (File System DB) 175개패턴포함 GHDB (GooGle Hack DB) 1467개패턴포함 l Queries Scanned : 스캔한쿼리 l Selected Entry info : 간략한요약정보 l Results : [Double click a link to open in default browser] => 스캔결과
u 뉴스그룹 뉴스그룹, 전자게시판 유즈넷 (UseNet, Google 그룹등 ) SNS(Social Network Service) u 쇼셜네트워크서비스 (SNS) SNS 를통해정보수집 인터넷을이용해이야기를나누는토론공간 특정주제나관심사에대한의견을게시하거나, 관련분야에자료를등록할수있는전세계적인토론시스템 웹브라우저에뉴스그룹검색기능활용 u IRC ( 라이브채팅 ) 회사의 Emal보다, 익명성이보장되는 email사용 u 공개게시판 (gamil, hotmail, naver, daum 등 ) 회사담당자에게이야기할수있는지원포럼 기술적인문제를해결하기위해, 공개게시판을사용 직원들이민감한기밀정보를포함한매우세부적인질문을종종게시판에올림 트위터, 페이스북, 카카오스토리, LinkedIn, Pinterest, Instagram, 미투데이, steam count, line, 밴드등탐색과정에서, 공격대상의네트워크관리자를알았을경우네트워크관리자가 Facebook과트위터를하고있다는정보획득네트워크관리자의계정정보확인네트워크관리자와친구를맺고, 지속적으로지켜봄관리자의글 (1) 오늘갑자기방화벽이죽어서, 내일까지정상으로돌리려면밤새야근해야겠는데.. 방화벽을설정하는데도움이필요한네트워크관리자 자신의설정파일을게시판에올림 해결책을받기위해, 자신의 email 주소로올려놓음 Email 주소를보고 회사이름 확인가능 질문내용을통해관련정보수집가능 S/W 이름및버전, H/W 모델, 현재설정정보, 내부시스템정보획득 관리자의글 (2) 오늘예산안이제출되었는데, 결국내년에도윈도우 2000 서버를사용해야할것같군..