제 14회 정보보안기사 Part1. 시스템 보안 오답

1. UAC(User Access Control)

- 일반 사용자가 관리자 권한을 부여하기 전에 확인을 받는 기능으로 윈도우 비스타부터 추가 됨

- 관리자 계정과 사용자 계정을 분리해 사용자 계정이 관리자 권한을 필요로 하는 경우에 안내창을 실행하여 관리자 권한을 실행

2. Spectre

- CPU의 취약점으로 하드웨어 기반의 사이버 공격

- 인텔의 최신 CPU들은 처리속도를 향상시키기 위해 여러 기술을 도입 했는데 Speculative Execution 기술을 사용할 때 발생하는 취약점. CVE-2017-5753에 등록

- 비인가된 메모리 영역의 값을 유추함

- 프로세서로 하여금 실행되서는 안될 코드를 실행하도록 유도해 다른 메모리 공간에 존재하는 정보를 유출시키는 취약점

HeartBleed

- OpenSSL 1.0.1 버전에서 발견된 최약점. 

- TLS/DTLS HeartBeat 확장 규격에서 발견된 취약점으로, 해당 취약점을 이용하면 서버와 클라이언트 사이에 주고 받는 정보를 탈취할 수 잇음

- 서버가 클라이언트로부터 온 정보를 검증하지 않은 채 추가적인 정보를 클라이언트에게 전해주는 취약점 

ShellShock

- Bash로 해당 명령을 실행했는데, 그 결과 뿐 아니라 다른 결과까지 실행되는 버그

Spear Phishing

- 불특정 다수의 개인정보를 빼내는 피싱과 달리 특정인의 정보를 캐내기 위한 피싱 공격

- 특정 기업과 거래한 적이 있는 기업이나 아는 사람을 가장해 정보를 요청하는 방법

3. Meltdown

- CPU의 성능을 높이기 위한 메커니즘을 악용하는 취약점

- 임의의 내부 사용자가 커널에서 관리하는 메모리 영역에 접근 가능

- 부채널 공격의 일종

- 인텔 CPU에만 존재

- 인텔의 microachitecturual 을 타겟으로 하는 공격, 비 순차적인 실행 방법을 이용하는 사용자 커널 메모리 유출

- 권한 상승 취약점을 공격해 CPU의 예측 실행 기능을 이용하면 메모리 보호를 우회할 수 있어 데이터 갈취 가능

4. Zombie 프로세스 검색하는 명령여

- 좀비 프로세스는 부모 프로세스가 자식 프로세스보다 먼저 종료되어 자식 프로세스가 계속 메모리를 점유하고 있는 프로세스

- 재부팅하면 삭제됨

- top -b -n 1 | grep zombie  -> zombie 프로세스의 개수 확인

- ps -ef | grep defunct -> 프로세스로 확인

5. 랜섬웨어

- 피해자의 파일을 암호화시키고 금품을 요구하는 공격

- 크립토락커는 주로 이메일 첨부와 같은 형태로 감염되는데 구버전 인터넷 익스플로러, 플래시의 취약점을 이용해 Drive by Download 방식으로 감염

- 이미지, 문서 등을 암호화하며 백신으로 해결 불가

6. IPC$

- 윈도우는 관리 목적상, C$ D$, ADMIN$, IPC$을 사용한다.

- Null Session Share 취약점은 IPC$을 사용해서 원격접속을 할 때, 패스워드를 NULL로 설정하여 접속할 수 있는 보안 취약점

- 공격자는 인증없이 윈도우의 운영체제의 사용자명, 공유정보를 열람하고 레지스트리에 접근할 수 있음

7. 리눅스 디렉토리

- /etc

-> 리눅스 운영체제의 시스템 환경 설정에 관한 디렉토리

- /tmp

-> 여러 프로그램이 사용할 수 있는 임시 디렉토리

- /dev

-> 리눅스 운영체제에서 장치에 관련한 정보를 가지고 있음

8. 윈도우 LSA, SRM

- LSA(Local Security Authority)

-> 윈도우 운영체제의 모든 계정의 로그인에 대한 검증 및 시스템 자원에 대한 접근 권한 검사

-> 접근 권한 검사 시에 로컬 및 원격 로그인에 대해서도 수행

-> 윈도우 계정명과 SID를 매칭하고 SRM(Security Reference Monitor)이 생성한 감사로그 기록

-> 보안 서브시스템(Security Subsystem)이라고도 한다.

- SRM(Security Reference Monitor)

-> SRM은 인증된 사용자에게 SID 부여

-> SID(Security ID)는 파일 및 디렉퇼에 대한 접근을 허용할지 결정하고 감사 메시지 생성

-> 500번은 Admin, 501번은 guest, user은 1000번

9. 리눅스 서버 보안

- Race Condition

-> 다중 프로세스 환경에서 백도어를 만들고 백도어에 setuid를 설정한 후에 심볼릭 링크 생성

-> 공격자는 심볼릭 링크를 사용해 공격

-> 다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행될 때 발생하는 비정상적인 상태

-> 임의의 자원을 여러 프로세스가 경쟁하기 때문에 발생

- SQL Injection

-> 이용자의 입력값이 SQL 구문의 일부로 사용될 경우, 해커에 의해 조작된 SQL 구문이 데이터베이스에 그대로 전달되어 비정상적인 DB 명령을 실행시키는 공격 기법

- Trapdoor

-> 보안 기능을 우회해 데이터에 직접 접근하는 방법

-> 공개키 암호화

- Watering Hole

1. 공격자는 대상을 프로파일하고, 이들이 자주 가는 웹사이트를 파악

2. 공격자는 취약점들을 이용하여 웹사이트를 테스트

3. 취약점이 있는 웹사이트를 발견하면, 대상을 다른 사이트로 리다이렉팅하기 위해 JavaScript 또는 HTML 삽입

4. 대상을 감염시키기 위해 "대기"

10. 윈도우 운영체제 User

- User는 로컬그룹을 만들 수 있지만, 자신이 만든 로컬그룹만 관리 가능

- 관리자가 설치하거나 배포한 인증된 윈도우 프로그램을 실행 가능

- User 그룹의 구성원은 자신의 모든 데이터 파일 및 레지스트리에서 자신의 부분을 완전히 제어 가능

- 대부분의 소프트웨어를 사용할 수 있으며 다른 사용자에게 영향을 미치지 않는 범위에서 시스템 설정 변경 가능

11. 리눅스 서버 보안

- rc.local

-> 부팅시 자동실행되는 명령어 스크립트

- hosts

-> Domain의 Ip 저장

- hosts.equiv

-> 원격 시스템으로 사용자 인증

12. FTP xferlog

- xferlog

-> 사용자가 FTP를 이용하여 파일을 업로드하고 다운로드 하면 로그가 xferlog에 저장됨

-> 일자와 시간, IP 주소, 전송 크기, 파일명, 아스키 혹은 바이너리, 업로드 다운로드 구분, 사용자 계정이 기록

13. 트로이 목마

- 개인 정보를 유출함

- 인터넷을 통해서 감염되고 컴퓨터 정보를 유출함

- 사용자가 누른 자판정보를 외부에 알려 신용카드나 비밀번호를 유출함

- 자기 복제를 하지 않는 악성코드

14. 리눅스 서버 보안

- utmp 

-> 현재 로그인한 상태 정보를 담고 있는 로그파일

- btmp 

-> 실패한 로그인 정보를 담고 있는 로그 파일

- wtmp

-> 사용자들의 로그인 아웃, 시스템 관련 정보 기록

15. chmod 4755 a.out

- a.out을 실행하면 setuid로 인해 소유자 권한으로 실행

16. TCP Wrapper

- 특정 IP 차단 수행

- IP와 Port 번호를 사용해 접근 통제

- hosts.deny 로 접속을 막을 목록 관리

- host.allow 

17. PAM 보안 설정

- pam_cracklib.s. o retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1

-> retry 는 새로운 패스워드 생성 시에 변경하고자 하는 패스워드의 복잡도가 기준에 허용되지 않을 경우 몇 번 입력을 추가로 허용할건지 결정

-> dcredit 은 숫자가 가질 수 있는 credit 값 지정

-> ucredit 는 대문자가 가질 수 있는 credit 값 지정

-> lcredit는 소문자가 가질 수 있는 credit 값 지정

-> ocredit는 특수문자가 가질 수 있는 credit 값 지정

-> 위의 구문은 패스워드 최소길이 8, 대문자 1개, 소문자 1개, 숫자 1개, 특수문자 1개 이상의 패스워드 생성 제한

18. 윈도우 레지스트리 루트 키

- HKEY_CLASSES_ROOT

-> 파일 확장자와 클래스에 대한 정보로 구성, 모든 등록된 파일 이름의 확장자가 키로 존재

- HKEY_LOCAL_MACHINE

-> H/W, SAM, Security, Software, System에 대한 모든 구성정보 저장

- HKEY_USERS

-> 해당 머신의 모든 계정 정보

- HKEY_CURRENT_USER

-> 현재 로그인된 사용자의 프로필에 대한 정보

- HKEY_CURRENT_CONFIG

-> 현재 H/W에 대한 프로필

19. r-command

- IP만 동일하면 원격으로 Shell과 명령어 등을 실행하는 서비스로 rlogin, rsh, rcp 등이 있음

- 패스워드를 입력하지 않고 원격으로 명령 실행 가능

- /etc/hosts.equiv, $HOME/.rhosts 가 설정 파일

- /etc/hosts/equiv는 최소한 신뢰할 수 있는 호스트 목록만을 보관

- r-command 보안 조치 방법

-> 파일 소유자를 root

-> 파일 권한 600이하로 변경

-> "+" 제거, 반드시 필요한 호스트와 계정만 등록

20. 리눅스 파일 시스템

-EXT

-> 초기 리눅스에서 사용

-> 최대 파일 크기 2GB
-> 파일 이름 최대 255자