PowerPoint 프레젠테이션

Similar documents
*****

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

ìœ€íŁ´IP( _0219).xlsx

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

*

Sena Device Server Serial/IP TM Version

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

#WI DNS DDoS 공격악성코드분석

Windows 8에서 BioStar 1 설치하기

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Ç¥Áö

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Cloud Friendly System Architecture

6강.hwp

Network seminar.key

Microsoft PowerPoint - thesis_rone.ppt

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

BEA_WebLogic.hwp

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

UDP Flooding Attack 공격과 방어

*2008년1월호진짜

untitled

자바-11장N'1-502


< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

SOLUTION BRIEF 차세대 빅데이터 기반 통합로그관리시스템으자, SIEM 솔루션으로 데이터를 수집/분석/검색 및 추가하고, 효율적인 보안 운영을 실시합니다. 대용량 데이터를 수집하고 처리하는 능력은 사이버 보안에 있어서 통찰력을 제공하는 가장 중요하고, 기초적인

bn2019_2

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

제20회_해킹방지워크샵_(이재석)

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

1217 WebTrafMon II

Agenda IT Manager Requirements IT 관리 Trend의변화 Proactive Network Enforcement 1.25 대란대응사례 QoS 매커니즘비교표통합보안서비스의구축실시간경보자동화시스템 NMS 와의연동서비스 IDS/Firewall 과의연동

TGDPX white paper

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

게시판 스팸 실시간 차단 시스템


초보자를 위한 ASP.NET 2.0

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

RHEV 2.2 인증서 만료 확인 및 갱신

일반적인 네트워크의 구성은 다음과 같다

Linux Server - IPtables Good Internet 소 속 IDC실 이 름 정명구매니저

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

2-11Àå

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

PowerPoint 프레젠테이션

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

[11년 정책연구용역]대중소기업 공동보안체계 연구_최종본_제출용_ hwp

2009년 상반기 사업계획

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

슬라이드 0

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

슬라이드 1

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

2009년 상반기 사업계획

The Pocket Guide to TCP/IP Sockets: C Version

제10장 트래핀스포트 및 응용 계층

KakaoGame Integrated Guidelines _Open

희망브리지

cctv_bvms_cmn_omn_qsm.book

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

PowerPoint 프레젠테이션

최근 해킹현황 및 해킹기술

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

i-movix 특징 l 안정성 l 뛰어난화질 l 차별화된편의성

POC "Power of Community" 이민우 (lwmr)

Microsoft Word doc

ActFax 4.31 Local Privilege Escalation Exploit

슬라이드 제목 없음

Secure Programming Lecture1 : Introduction

Analyst Briefing

운영체제실습_명령어

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

컴퓨터네트워크와인터넷 컴퓨터네트워크 Copyright by Tommy Kwon on August, 2010 Copyright by Tommy Kwon on August, 통신 정보전송시스템의구성과역할, 원리 l 원격지간에정보를잘전송하고처

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

Tomcat.hwp

ApacheWebServer.hwp

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

ePapyrus PDF Document

untitled

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

품질검증분야 Stack 통합 Test 결과보고서 [ The Bug Genie ]

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

호스팅사업자보안안내서 ( 해킹경유지악용방지 ) 침해사고분석단사고분석팀

정보보안 개론과 실습:네트워크

고객 사례 | Enterprise Threat Protector | Akamai

Transcription:

Traffic monitoring for security anomaly detection 바이러스연구실 최원혁

바이러스사례 (1) 2001.07 CodeRed 최초의패킷형바이러스. IIS 의버퍼오버플로어취약점을이용해서바이러스를메모리에상주후, 무작위로 PC 를선별버퍼오버플로어패킷을보내어취약점이존재할경우다시바이러스에감염되는과정을반복함 (2) 2001.08 CodeRed_II CodeRed 이후나온변형바이러스이며동작은 CodeRed 와흡사. (3) 2001.09 CodeBlue CodeRed 와는또다른 IIS 의취약점을이용한바이러스. IIS 의유니코드해석의취약점을이용. (4) 2001.09 Nimda Nimda 는다양한감염경로를가지지만, 패킷을이용한공격부분은 CodeBlue 와유사. (5) 2003.01 Slammer SQL 의버퍼오버플로어취약점을이용한바이러스. CodeRed 와유사한방식이지만, UDP 를사용하는게틀리며, 무작위 PC 선별을통해패킷전송

CodeRed 의패킷 (1) 패킷상단부 IIS 서버를오버플로어를일으켜서비정상적인동작을하게끔한다. /default.ida 를요청할경우 IIS 서버는 IDQ.DLL 을통해서 *.ida 확장자를처리할려고하는데.. 이때뒤이어서오는내용의길이를체크하지않음으로인해버퍼오버플로어가생기게된다.

CodeRed 의패킷 (2) 패킷하단부 Code Red 의악성코드가존재하는곳이다. IIS 서버가버퍼오버플로어가되면서정확하게악성코드첫부분을실행위치로인식한다. 패킷의마지막에보이는 HTML 코드는영문윈도우의 IIS 서버에서는접속시이상한내용을출력하는코드이다.

패킷수집법 (1) NetCast 를통한수집 (http://www.hanul93.com/pds/nc.exe)

패킷수집법 (2) C:\Util\nc> nc -l -p 80 (80 port listen mode 로동작 )

패킷수집법 (3) CodeRed_II 패킷 Capture

HoneyPot 이란? 허니팟 (HoneyPot) 해커를유인해침입자정보를실시간으로수집하는가상의호스트를말함. 해커의공격에대응할수있는시간을벌고해커의움직임을자세히파악함으로써사이버테러를방지하는기술의하나. 가상으로해커의침입을유도해신분을확보하는허니팟은위장서버와추적장치를활용해해커를유인. 수많은컴퓨터를뒤져취약점을지닌해커대상을찾아컴퓨터정보를유출하거나변조하는해커들에게허니팟은일부러취약점을드러내유인하는전략을사용. 취약점공략을위해허니팟을공격하는해커들은해킹경로와수법을드러내신분이나위치를역추적. 해외에서는이미국가기간망보안을위해중요시설에앞다퉈도입한상태.

VirusPot 이란? 바이러스팟 (VirusPot) 바이러스를유인해서바이러스를실시간으로수집하는가상의호스트를말함. 바이러스가유입되기쉽게하기위해서존재하지않는응용프로그램이설치된것처럼위장. 즉, CodeRed 및 CodeRed_II 등은 IIS 서버가설치된시스템에만감염되므로 VirusPot 은 80 Port 로대기상태로존재하다가외부접속이일어나면해당패킷을저장. 같은원리로 Ftp, SQL 등이존재하는것처럼위장. 이후에접속되는모든패킷들을저장. 단, 같은패킷의경우무시하게되며, 이상패킷이다량으로유입되는것이확인되면, 관리자에게메시지발송을하게됨

VirusPot 이란? VirusPot 의이론 80 port 감염된서버 1434 port Nc 를각바이러스가공격할만한 port 로 Open 한상태로 listen mode 로대기상태를유지한다. 감염된서버

주요 listen Port / 접속통계 VirusPot 의주요 listen Port 및접속통계 TCP Port Number : Service name : Connection attempts : 21 FTP 3371 22 SSH 880 23 Telnet 265 25 SMTP 266 53 DNS 43 80 HTTP 207749 111 RPC 644 515 lpd 133 1243 backdoor 13 1434 MS-SQL 13816 5000 UPnP 13 6666 backdoor 2 6969 backdoor 2 12345 backdoor 35 23456 backdoor 3 27374 SubSeven/backdoor 398 31337 backdoor 3 54320 backdoor 2

주요접속로그 VirusPot 의주요접속로그 % : VirusPot tag : 50.04 34.88 4.54 4.26 1.70 1.18 0.63 0.52 0.42 0.33 0.14 0.13 0.12 0.11 0.07 0.07 0.07 0.07 I-Worm.Win32.Nimda {A,E} Worm.SQL.Slammer Unknown malware CodeRed_II Worm ftp://user_ftp info://get_scripts_255_cmd_dir ssh://ssh_version_map ssh://ssh_15_anti.security.is rpc://rpcinfo_services_list info://get_root_http1_1 ssh://ssh_version_151227 info://get_scripts_c0af_dir_c info://get_scripts_fcfc_dir_c info://getx_scan info://get_www.s3.com info://crlf info://get_yahoo.com ftp://user_anonymous.a

VirusPot 내부구조 VirusPot 제작 (1) Visual C++ (SDK) 프로그래밍 (2) WSock32.dll 사용 (3) 멀티쓰레드방식동작 (4) 19개의주요 TCP Port를 Open (5) CRC로패킷을관리 (6) 이상패킷다량유입시 SMS/E-mail 로관리자에게경고메시지송신 (7) 여러서버구성시루트서버에게 Date 전송

VirusPot 의가상서버동작 (1) FTP 220 ftp.hauri.co.kr FTP server (Version wu-2.6.0(8)) ready. 220 linux.source.com FTP server (Version wu-2.6.1(18)) ready. 220 source.name.org WU-FTPD server v2.6, running on an i386, ready. (2) SSH SSH-1.5-1.2.27 SSH-1.99-OpenSSH_3.2.3pl 바이러스중에는접속한곳이이전에접속한적이있는지없었는지를간혹체크하는경우가있는데바이러스를속이기위해매번접속때마다다음과같이전혀다른서버인것처럼처리를해주게된다. 이렇게함으로써바이러스는아무의심없이패킷을전송해버리게된다.

VirusPot 동작 이상패킷유입시메시지 (E-mail)

VirusPot 동작 이상패킷유입시메시지 (SMS)

VirusPot 의배치 VirusPot (7) VirusPot (1) VirusPot (1) VirusPot (4) VirusPot (1)

VirusPot 활용사례 2003.1.25 14:02 VirusPot(HAURI #3) 으로 1434 Port 에이상패킷최초유입 14:27 이상패킷으로간주메일및 SMS 발송 ( 네트워크속도저하로파악이늦어짐 ) 일직근무중이던직원에의해비상상황발생통보 17:30 19:30 ~ 이후 주5일근무제로인해회사도착이늦게이루어짐 VirusPot DB에서이상패킷추출 외부업체를통해다른바이러스일가능성에대비해샘플수집 인터넷대란을일으킨주범은 1434 Port로유입된패킷임을확인 최초로 Slammer로명명 메모리전용백신개발 1434 Port 유입감지및차단백신개발 ( 잉카인터넷 ) 두제품을하나로하여안티-Slammer 제품인터넷에공개

QnA 감사합니다. 최원혁 hanul93@korea.com