수업을 들으며 핸드폰 메모장에 저장했던지라 교육이 모두 끝난 3일차에 작성한다.
핸드폰으로 작성하다 보니, 상세한 내용 작성은 어려웠고, 공부했던 키워드만 정리했다.
따라서, 본 글을 작성할 때, 키워드를 설명한 부분의 내용이 정확하지 않을 수 있다.
정리한 내용 및 키워드는 다음과 같다.
구글 알리미 : 보안 기사들을 자주 보면 면접 때 유리하다. 랜섬웨어, 보안 위협 등과 같은 단어를 구글 알리미로 설정하고 기사를 자주 보자.
SBOM
설명을 들었을 때 소프트웨어의 제품증명서? 같은 거라고 했던 기억이 있다. 해외에서는 소프트웨어를 배포할 때? SBOM이 꼭 있어야하는 법안이 통과되어 시행 중이라고 한다. 강사님 말로는 한국에도 빠른 시일내에 SBOM 법안이 통과될 것이라고 한다.
APT 공격( Advanced Persistent Treath )
과거의 공격은 네트워크에 있는 여러명에게 공격을 시도했다면, 요즘은 네트워크의 특정 한 대상을 특정하여 공격하기 위해 수단, 방법을 가리지 않고 지속적으로 공격을 시도(위협)하는 것이다.
PHAAS(Phising as a Service) - 서비스형 피싱
RAAS(ransomware-as-a-service) - 서비스형 랜섬웨어
RAAS는 현재 연구실에서 진행하고 있는 과제로 미리 공부한 경험이 있다.
랜섬웨어 개발 조직, 해커로 구분하여 수입을 나누는 구조이다. 해커는 정기 구독 형식으로 조직에게서 랜섬웨어를 공급받는다.
MAAS(Mobility as a Service) - 서비스형 모빌리티(이동)
예시로 네이버 지도, 구글 지도 등이 있겠다.
3대 클라우드 서비스 모델
PAAS(Platform as a Service) - 서비스형 플랫폼
IAAS(Infrastructure-as-a-service)
SAAS(Software as a Service) - 소프트웨어 제공 모델
위 3개의 클라우드 서비스 모델은 클라우드 서비스에서 제공하는 기능에 따라 분류한 것 같지만, 구분을 잘 못 짓겠다.
추후에 공부하자
웜 지피티
ChatGPT와 비슷하지만 보안에 대한 의식이 없는 AI 챗봇이다.
랜섬웨어 만들어달라고 해봤는데 보안 의식이 있는거 같은데...
워프? 지피티
warp GPT 같은데, 강사님이 너무 빠르게 넘어가셔서 잘 기억이 안난다.
RCE 취약점 (Remote Code Execution)
응용프로그램에서 공격자가 원하는 임의의 코드를 실행할 수 있는 취약점이다.
2일차, 3일차 교육에서 분석했던 문서 악성코드들은 모두 RCE 취약점인 것 같다.
고통의 피라미드(Pyramid of Pain)
위협 인텔리전스의 IoC 형태를 6단계로 구분한 것이다.
IOC(Indicator of Compromise)
침해지표
시스템이나 네트워크의 침투한 악의적인 활동을 식별하고 탐지하기 위해 사용되는 특정 행동, 이벤트 또는 상황을 가리키는 정보이다.
IOA(Indicator of Attack)
공격지표
TTPs와 관련하여 공격자의 행동 패턴을 포착하여 공격을 예방하거나 조기에 탐지하는 데 사용한다.
잠재적인 악의적인 행동을 실시간으로 탐지하는 것
TTPs(Tactics, Techniques, and Procedures)
공격자가 공격을 계획하고 수행하는 데 사용하는 전략, 기술 및 절차를 나타내는 용어이다.
고통의 피라미드 최상단에 위치한다.
Google Dorking
Google에서 제공하는 검색을 유용하게 해주는 기능이다.
해당 기능으로 모의해킹 전, 정보 조사(fingerprinting)할 때 유용하게 사용한다.(물론 강사님이 사용하는거 봄)
inurl:""
intitle:""
invite:""
intent:""
filetype:""
Site:""
펜 테스트(Pen test)
침투 테스트하는 것을 의미한다.
CVE(Common Vulnerabilities and Exposures) - 취약점 리스트
취약점(Vulnerabilities) : 보안약점으로 인해 발생하는 소프트웨어의 취약점이다.
CWE(Common Weakness and Exposures) - 보안약점 리스트
보안약점(Weakness) : 취약점으로 이어질 수 있는 오류이다.
취약점과 보안약점을 구분하는 방법은 공격자가 익스플로잇할 수 있느냐 업느냐이다.
강사님이 한국에서는 취약점을 Vulnerabilities와 Weakness를 같은 용어로 쓰기 때문에 외국에서는 구분 잘하라고 하셨다.
CTI
정보보안 산업의 발전
1세대 - PREVENTION
2세대 - SOC
3세대 - MSS
4세대 - CTI
5세대 - AUTONOMOUS
위협원의 공격 방식을 분석하는 것 : TTPs
공격 목적을 찾는 것이 어트리뷰션
피해자의 영향과 위험을 산출하는 것 victimisation
operation 소규모 작전
campaign 소규모 작전의 모임?
adversary 적 - 크래커를 의미
actor 공격 그룹을 의미
DDE 취약점(Dynamic Data Exchange)
DDE는 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법으로, 해당 기능의 취약점으로 인해 악성코드를 다운로드 받거나, 쉘코드를 실행하는 등 악의적인 코드를 실행시킬 수 있다. 주로 문서에서 발생하고, 실제로 2일차, 3일차 교육때 분석한 PDF, DOCX, XLS 파일이 다운로더, 쉘코드 실행을 사용했다.
XLS의 macro 4.0과 hwp은 좀 달랐다.
REMNux Linux - 악성 소프트웨어 분석가를 지원하기 위한 무료 Linux 툴킷
도구
Yara
ZipDump
exiftool
pdfid
pdf-panser
peedpdf
빨간색은 실제로 분석할 때 사용했던 도구들이다.(빨간색 두개의 도구 모두 python 코드다.)
문서 취약점 분석 지표
URLs
Commands
Filenames
Embedded file signatures
'교육' 카테고리의 다른 글
| 문서 악성코드 분석 교육 3일차 (0) | 2024.01.05 |
|---|---|
| 문서 악성코드 분석 교육 2일차 (1) | 2024.01.04 |
