정보보안 Study

□  주요정보통신기반시설 기술적 취약점 분석 평가- 과학기술정보통신부 및 한국인터넷진흥원에서 발행한 가이드로, IDC, ISP 등 민간, 공공시설을 불문하고 침해사고 등이 발생할 경우 경제사회와 국가안정에 미치는 영향이 큰 시설들을 말하며, 이 시설들을 보호하기 위해 내부에 존재하는 취약점을 파악 및 조치하는 방법을 기술해놓은 가이드로, 국내 많은 기업들이 해당 가이드를 토대로 점검 및 조치를 진행하고 있다.- 주요정보통신기반시설 기술적 취약점 분석 평가에는 주요 점검 대상으로 유닉스, 윈도우즈, 보안장비, 네트워크 장비, 데이터베이스, 웹 등을 다루고 있으며 해당 챕터에서는 유닉스(리눅스)서버를 다룰 예정- 해당 가이드는 한국인터넷진흥원 가이드라인에서 참고- https://www.kisa.or.kr/2..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

□ Jetbrains TeamCity 인증 우회 취약점(CVE-2024-27198)- TeamCity는 빌드 관리 및 지속적인 통합 서버로, 소스 코드 개발 및 관리 과정에서 코드를 통합하고 배포하는 과정을 도와주는 솔루션- 2023.11.4 이전 JetBrains Teamcity 버전에서 인가된 사용자만이 사용자 계정을 생성 및 Access Token을 발급받아야 하지만, 인증 우회 취약점이 존재하여 공격자는 웹 요청을 통해 관리자 계정 생성 및 Access Token을 생성할 수 있으며, 이후 악성 Plugin 설치 등을 통해 리버스 쉘 등을 획득할 수 있다. - CVSS(Common Vulnerability Scoring System) : 9.8/10- 영향받는 버전 : Gitstack 2.3.10..

□ Gitstack RCE 취약점(CVE-2018-5955)- Gitstack 2.3.10 버전에서 사용자에 대한 검증을 수행하지 않아 인증되지 않은 사용자가 사용자 이름, Repositories 생성, RCE 코드 삽입 등이 가능한 취약점. ※ gitstack이란 : 윈도우 환경에서 git 서버를 쉽게 설치할 수 있도록 도와주는 프로그램- CVSS(Common Vulnerability Scoring System) : 9.8/10- 영향받는 버전 : Gitstack 2.3.10 □  Gitstack RCE 취약점 실습 환경- Win7 환경에서 Gitstack 2.3.10 다운로드 받아 진행- 실습 환경 및 교육 자료는 조정원 대표님이 운영하고 있는 '보안 프로젝트'에서 참조하였으며, 자세한 사항 및 다양..

□ Oracle Weblogic RCE 취약점(CVE-2021-2109)- Oracle Weblogic의 JNDI 기능을 이용하여 입력값에 대한 검증을 하지 않아 RCE 공격이 가능한 취약점으로, LDAP, Jetty 프로토콜을 통해 원격지 명령 전달/실행 등이 가능 및 리버스 커넥션 획득이 가능한 취약점- CVSS(Common Vulnerability Scoring System) : 7.2/10- 영향받는 버전 : Oracles Weblogic 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 및 14.1.1.0.0 □  Oracle Weblogic RCE 취약점 실습 환경- Kali Linux에서 Docker를 통해 Oracle Weblogic 10.1.3.0.0 환..

■ 실습 환경- win7 환경에서 진행 ■  word에 첨부된 매크로를 통한 침투- Microsoft 오피스 제품군인 word 파일에는 특정 텍스트를 자동으로 삽입 하는 등 매크로를 통한 자동화를 위하여 마이크로소프트에서 VBA(Visual Basic for Applications)를 제공- VBA의 경우, 마이크로소프트 오피스 제품군에 내장된 프로그래밍 언어로, 수치 연산 자동화, 차트 생성 등 사용자가 원하는 업무를 자동화 하는데 도움을 주는 기능이나, 공격자는 이를 악용하여 악성 쉘 코드 등을 삽입하여 백도어 설치, 악성 프로그램 유포 등을 수행할 수 있다.- 최근 보안 장비(Ex, WAF, APT 장비)들의 성능이 향상되고, 서버에 대한 보안 대책들이 잘 강구가 되어 있어 이를 침투하는 것이 쉽지..

■ 개요- Mitre ATT&CK Matrix에서 명시하고 있는 Persistence(지속)은 공격자가 최초 침투 이후에도 계속해서 해당 서버로 접근을 하기 위한 방법 및 전술들을 정의하고 있다.- 공격자는 타겟 서버 또는 단말이 재부팅되더라도 지속적으로 연결될 수 있도록 작업을 진행- 해당 과정에서는 Metasploit에서 제공하는 Persistence 기능을 소개할 예정 ■ 테스트 환경OSIPKali Linux- 192.168.63.128Win 7- 192.168.63.130- 실습 환경 및 교육 자료는 조정원 대표님이 운영하고 있는 '보안 프로젝트'에서 참조하였으며, 자세한 사항 및 다양한주제의 강의들을 많이 배울 수 있음  ■ 진행 절차Step 1..

■ 개요- 측면 이동은 공격자가 거점 서버 점령 후 네트워크를 탐색하여 다른 타겟 서버들을 발견 후 엑세스 권한을 탈취하는 과정- 공격자가 만일 Public으로 공개된 서버를 웹쉘 업로드 등을 통하여 엑세스 권한을 획득하였고, 해당 서버가 내부 서버와도 연결이 되어 있을 경우, 공격자는 거점 서버를 통해 내부 침투를 시도- 이 과정에서 거점 서버를 거쳐서 공격을 진행할 경우, 공격 도구 등을 거점 서버에 옮기는 작업들이 필요하며, 이 과정에서 침투 로그 등이 더 자세하게 남을 수 있어 포트포워딩 등을 통해 공격자가 바로 내부 서버로 접근할 수 있도록 설정을 진행한다.- 포트포워딩의 경우, 보통 로컬 및 리모트 포트 포워딩 또는 다이나믹 포트 포워딩을 사용한다- 해당 과정에서는 Metasploit..

 실습 환경 ■ 공격자- 운영체제 : Kali linux - IP : 192.168.145.136- Role : Attacker & C&C  ■ 희생자- 운영체제 : Windows Server 2016- IP : 192.168.145.131- Role : Victim & Web  공격 시나리오NoATT&CK Matrix공격방법공격도구1Initial Access- 추가 다기능 웹쉘 업로드venus2Privilege Escalation- 올데이(Olday) 취약점을 이용하여 권한상승- AV 실시간탐지 기능 종료- 계정탈취 도구를 이용하여 계정정보 획득JuicyPotatoMimikatz3Persistence- Dll Side-Loading 기법을 이용하여 자동실행 등록(서비스 & 레지스트리 활용)Kali ..