1. 서론 최근 뉴스를 보면 크리덴셜 스터핑으로 인한 기업의 피해가 다수 발생하는것을 알 수 있다. 크리덴셜 스터핑의 개념과 대응방법에 대해 알아보려고 한다. 2. 크리덴셜 스터핑(Credential Stuffing) 이란? 이전 공격에서 유출된 자격 증명(Credential)을 소프트웨어 도구를 이용하여 다른 계정에 무작위 대입(Stuffing)하며 성공할 경우 주민등록번호, 신용카드 정보 등 사용자 정보를 탈취하는 공격이다. 공격자는 크리덴셜 스터핑 공격이 생겨나기 이전에 다양한 툴을 이용하여 Brute Force Attack, Dictionary Attack, Rainbow Table Attack 등 다양한 공격을 통해 사용자의 정보를 흭득해 왔다. 크리덴셜 정보를 일반 웹 또는 다크웹을 통해 얻은..

1. 개념 공격자가 인증 작업 등이 완료되어 정상통신을 하고있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위이다. 인증 작업이 완료된 세션을 공격하기 때문에 OTP, Challenge/Response 기법을 사용하는 사용자 인증을 무력화시킨다. 2. TCP Connection Hijacking 응용프로그램은 Client-Server간 통신을 개시하기 전에 TCP 연결을 설정하고 연결을 통해 상호 메시지 교환을 개시한다. 메시지를 교환할 때 사용자 인증을 위한 메시지도 포함될 수있다. 해당 TCP 연결을 가로채는것을 TCP Connection Hijacking이라고 한다. TCP 연결을 가로채서 정상적인 사용자로 위장하는것은 IP Spoofing 공격과 똑같지..

1. 공격 패러다임의 전환 배경 1) 공격의 변화 보안 기술이 발달함에 따라 방어 기법이 강화되면서 공격자도 자신의 공격 기법을 끊임없이 발전시키고 있다. 이전에는 자동화 공격 도구를 이용하여 홈페이지와 같은 외부 서비스를 공격했지만 현재는 사용자 개인용 컴퓨터(PC)를 공격한 이후 내부의 다른 정보 자산에 접근한다. 왜 사용자 PC를 통해 해킹을 하는 것일까? 외부 서비스 같은 경우 정보보안팀이 관리하고 방화벽, IPS, WAF 등 다양한 구간 보안 솔루션이 존재하지만 사용자 개개인 PC의경우 PC별 보안 적용 수준이 다르기 때문에 가장 약한 부분을 공격하는 공격자 입장에서는 더욱 더 손쉬운 공격방법이 된다. 2) 공격 방식 인터넷에서 내부망으로 접근하는 직접 침투 방식과 내부 자원을 점거한 후에 정보..

웹 해킹에 대한 틀은 알고 있지만 내용이 정리되지 않아서 세부 개념을 정리하고자 해당 게시물을 작성하였다. 1. 웹 해킹이란? 1) 개념 웹 어플리케이션 해킹 이라고도 부르고 웹 서비스 상에서 발생될 수 있는 모든 보안 허점(Security Hole)을 이용해 악의적인 행위를 하는것이다. 웹 서비스를 대상으로 공격을 주로하지만 프레임워크(Spring), 웹 어플리케이션 서버 대상으로 공격을 수행할수도 있다. 웹 어플리케이션: PHP, JSP, ASP언어로 작성된 프로그램이고 웹브라우저로 실행할 수 있다. 2) 웹 해킹이 증가하게된 이유 방화벽이 도입되면서 웹 해킹이 더욱 주목을 받게 되었다. 방화벽은 IP, Port기반으로 차단을 수행하고, 흐름을 Inbound, Outbound로 설정하는 보안장비이다...

1. 봇넷(BotNet) 이란? - 좀비 디바이스(악성코드에 감염된 컴퓨터, 봇)로 구성된 네트워크 - 봇마스터에 의해 원격 조종되며 각종 악성행위를 수행할 수 있는 수천에서 수십만대의 봇들이 네트워크로 연결되어있는 형태 - 봇 좀비들에게 명령을 내리고 제어하기 위한 서버(C&C Command & Control Server)방식을 사용 - 최근 많은 변종들이 출현하고 있고, 초고속 인터넷 인프라가 잘 갖추어져 있는 곳 선호 ​ 봇마스터: 봇들을 자유자재로 통제하는 권한을 가짐 2. 봇넷의 구성 1) 봇넷 컨트롤러 - 봇넷을 컨트롤 하는 공격자 - 법적 규제를 피하기 위해 은닉 수행 ​ 2) C&C 서버 - 공격자의 명령과 컨트롤을 맡고 있는 서버 - 메인 디바이스로 좀비 디바이스에게 명령 하달 및 좀비 ..

Dasan GPON Routers Authentication Bypass CMD Injection - /GponForm/diag_FORM 또는 .html 등의 객체에서 잘못 처리되 인증이 우회되는 취약점 - 취약한 라우터를 검색한 후 URL에 ?images/ 문자열을 추가해 요청 - diag_action = ping 요청의 dest_host 매개 변수에 명령어 삽입 - 라우터는 ping 결과를 /tmp에 저장하고 사용자가 .html, diag_FORM 을 다시 방문 할 때 사용자에게 전송 - 공격 성공시 사용자는 시스템에서 임의의 코드를 실행 CVE-2018-10561 CVE-2018-10562 POST /GponForm/diag_Form?images/ HTTP/1.1 Host: 1.1.1.1 Conte..

1. 기본 네트워크 이론 1) OSI 7 Layer 에서의 보안장비 물리계층 데이터링크 계층 네트워크 계층:방화벽(IP 차단) 전송 계층: 방화벽(접근제어, TCP/UDP 차단), IDS(침입 탐지) 세션 계층 표현 계층 응용 계층: IPS(침입 방지), 웹 방화벽 2) 네트워크 구성 In-line 모드:모든 트래픽이 해당 보안장비를 거쳐야만 목적지로 전송될 수 있도록 네트워크를 구성 Sniffing 모드: 물리적 회선 구성에미러링 장비를 통해유입된 트래픽을 분석(IDS, 서비스 영향 X) Out of Path 모드: 물리적 회선 구성 바깥에탐지장비 및 차단 장비가 설치(IPS) 3) HA (High Availablity) 구성 Active-Active 방식: Load-Balancing 및 Failove..

SPoofing 이란? - Spoofing의 속이다, 사기를 치다 등의 뜻이 존재한다. - Attacker가 Victim의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법이다. - 시스템 권한은 MAC 주소, IP 주소, DNS 주소 등 다양한 것이 될 수 있다. - 정보자산의 기밀성, 무결성, 가용성을 저해한다. 정보보호의 3요소(CIA Triad) 기밀성: 인가된 당사자에 의해서만 접근하는것을 보장하는 것 무결성: 인가된 당사자에 의해서, 인가된 방법으로만 변경가능한 것.(변조 여부) 가용성: 적절한 시간에 인가된 당사자에게 접근 가능해야 하는 것. Spoofing 용어 ARP Spoofing https://peemangit.tistory.com/79 [Kali Linux] ARP(Address R..

1. Sniffing 개념 Sniffing의 사전적 의미는 코를 킁킁거리다, 냄새를 맡다 등의 뜻이 존재한다. 자신이 아닌상대방들의 패킷이 통신망에 돌아다니는 데이터를 몰래 도청하는 행위이다. 정보자산의 기밀성을 저해한다. 2. 스니핑의 종류 1) 허브 환경에서의 스니핑 허브는 기본적으로들어온 패킷에 대해 패킷이 들어온 포트를 제외한 모든 포트에 패킷을 보낸다. 랜카드를 Promoscuous모드(무차별 모드)로 동작하게 하면다른 사람들의 패킷을 받아 볼 수 있다. 스니핑 도구를 통해 해당 패킷을 저장하고 분석하는것이 가능하다. 2) 스위치 환경에서의 스니핑 2.1) Switch Jamming 스위치의 MAC Address Table에 대량의 APR Reply 패킷을 보내 오버플로우 시켜서 허브처럼 동작하..