제 13회 정보보안기사 Part1. 시스템 보안 오답

1. Mirai

- IP 카메라, DVR(Digital Video Recorder) 등의 사물인터넷 기기에 증식해 DDos 공격등을 수행하는 사물인터넷 악성코드

- 동작원리

-> 관리자 계정 설정이 취약한 엠비디드 기기 스캐닝 접속

-> 악성코드 전파 감염

-> 취약한 기기 검색 감염으로 좀비확보

-> 확보한 좀비로 DDos 공격 수행

Darlloz

-> 시스템을 감염시켜 가상화폐 채굴 프로그램 설치 IoT 를 타겟

-> 웜의 특성을 가짐

WannaCry

-> SMB 취약점을 이용해 개발한 공격

-> 네트워크 연결된 상태면 웜 형태라 다른 SMB 취약점을 가진 컴퓨터 공격

Back Orifice

-> 원격 시스템 제어 기능

-> 대상이 해킹 사실 판단 불가

2. /etc/shadow

- 리눅스 시스템에서 이용자 패스워드를 암호화 해 shadow 파일에 보관함

3. 인터넷 응용 보안

- FTP 보다는 SFTP 를 사용

- 윈도우 인증 시에 로컬 인증보다 혼합 인증 사용

- 윈도우에서 사용하는 공유 폴더 제거

4. FTP 접근 여부 검토 파일

- xferlog

5. 윈도우 클라이언트 및 서버 보안

- IPC$는 Null Session 의 취약점을 가지고 있음

- Null Session이란 비밀번호 없이 윈도우 서버에 자유롭게 접근할 수 있는 익명의 접속

6. 

- Xpath Injectoin

-> 입력 값에 대한 검사를 제대로 하지 않은 폼에 조작된 질의문을 삽입하여 인증을 우회하고, XML 문서로부터 인가되지 않은 데이터를 열람하는 공격

- SQL Injection 

-> Database에 있는 데이터를 열람하는 공격

-XSS

-> 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법

-> 공격에 성공시 사이트에 접속한 사용자는 삽입된 코드를 실행, 정보를 탈취함

- CSRF

-> 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행동을 하게하는 공격

-> 희생자의 권한을 도용해 중요 기능 수행

7. RAID 5

- 디스크 장애 발생시 parity bit를 이용해 데이터 복구

- 하나의 디스크가 깨져도 복구 가능

- 패리티 비트가 모든 디스크에 나누어 저장

- RAID 3, 4의 단점을 해결

8. 리눅스 서버 보안

- top, ps 

-> 프로세스 목록에서 악성코드 은닉

- rc.local

-> 리눅스 부팅 단계에서 악성코드 은닉

- ls, du

-> 파일명과 디렉토리를 은닉

- ifconfig

-> 네트워크 인터페이스 정보를 조회하거나 스니핑 시에 무차별 모드 설정

- netstat

-> 현재 연결된 세션에 대한 은닉

9. 리눅스 서버 보안

- setuid는 실행 시 소유자 권한으로 실행, 소유자 권한의 실행 필드가 s로 설정

- setgid는 실행 시 그룹 권한으로 실행, 그룹 권한 필드의 실행 필드가 s로 설정

- sticky bit는 다른 사용자의 권한 필드의 실행 필드가 t로 설정

- sticky bit가 설정된 디렉토리는 /tmp

10. 악성코드

- Cryptolocker

-> 확장자를 바꾸고 가상화폐를 요구하는 공격 Drive by Download에 의해 주로 감염됨

- Crpytojacking

-> 감염된 장치를 암호화폐 채굴에 사용하는 행위

- Miner

-> 이용자 PC에 증식해 비트코인을 채굴하는 악성 코드

11. snort

- 네트워크 패킷에 대해서 실시간으로 트래픽을 분석하고 패킷 로깅을 할 수 있는 경량화된 침입탐지시스템

12. 윈도우 보안

- Drive by Download

-> 특정 웹 사이트에 접속하면 자동으로 다운로드 되어서 발생되는 공격

- Exploit

-> 취약점을 이용한 공격

13. Supply Chain Attack

- 정상적인 소프트웨어를 배포하거나 업데이트 하는 과정에 침투해 악성코드를 은닉하는 공격

- 제품의 유통과정을 노림

Deface Attack

-> 웹 서버를 해킹하여 웹 사이트 화면을 위변조 하는 공격

14. RPC(Remote Procedure Call)

- 원격으로 호출하기 위해서 코딩없이 다른 주소 공간에서 함수와 프로시저를 호출. 원격으로 악성코드를 유포하여 시스템을 장악할 수 있는 취약점이 존재

15. EXT

- Minix 에서 제공하는 파일 시스템

- 파일 이름 길이 최대 255

16. 윈도우 이벤트 로그

- 윈도우 이벤트 로그는 evtx 확장자, 전용 뷰어로만 볼 수 잇음

- 로그파일 크기 변경 가능

- 응용, 보안 시스템으로 구별되며 이벤트 뷰어로 확인 가능

- 보안 로그에는 로그온 횟수, 로그 오류 정보, 파일 생성 및 다른 개체 생성 정보 확인 가능

17. TCP Wrapper

- hosts.deny ALL:ALL

- hosts.allow ALL:ALL

- 이면 모두 허용하고

deny에 ALL:ALL하고 allow에 특정 ip만 해서 원하는 ip만 받아 들일 수 있음

블랙리스트 IP 차단 기법 추후 공부

18. wtmp

- 사용자 로그인, 로그아웃 정보

- 리눅스 시스템 재부팅 정보

- 콘솔 로그인 정보

19. PAM

- 리눅스에서 안정적이고 적합한 인증을 위해 개발된 것으로 응용 프로그램이 사용하는 함수의 라이브러리 제공

20. crontab

- 매일 1시 웹 서버 로그파일 백업

- 백업파일은 /backup/logs, 일, 시, 분, 초 를 포함해 백업

- 0 1 * * * * tar -czpf /backup/logs/access.log.date + %Y%m%d%H%M%S.tgz