Download presentation
Presentation is loading. Please wait.
1
Case-Study (Malware Detection)
2008
2
진입 전 인증 (Pre-Admission Process) 진입 후 인증(Post-Admission Process)
NAC MAP 단말의 IP및 MAC 인증 각종 Agent 프로그램과 연동 자체 Scanner 이용 각종 인증 솔루션과 연동 문제가 되는 단말은 즉시 네트워크로부터 격리 Admin-Operation Process 진입 전 인증 (Pre-Admission Process) 진입 후 인증(Post-Admission Process) 사용자 인증 IP / MAC 인증 단말 취약점 사용 현황 모니터링 유해 트래픽 정책 위반 격리 관리 시스템을 통하여 전체 단말 및 사용자를 관리 악성코드를 발생시키는 유해한 행동에 대한 모니터링 네트워크 사용 정책 위반에 대한 모니터링 실시 네트워크에서 행하는 모든 행동에 대한 모니터링
3
Case Study (Backdoor) Attacker Backdoor Server Backdoor Client
청와대도 해킹당했다 - 중요 정보들 유출돼 인터넷 보안 심각 (한국경제신문) 해커들의 접속지역은 중국 또는 북한으로 추정되며, 이들은 정상적인 절차 없이 시스템에 다시 접근할 수 있도록 백도어 프로그램을 설치하기도 했다. 해커들은 지난 19일 오전 청와대 전산망을 다시 노렸다. 이날 청와대로 향하는 인터넷망에 정체를 알 수 없는 접속이 폭주했다가 방화벽에 막혀 봉쇄됐다. 이에 따라 청와대 내부 전산망인 '이지원' 시스템이 제대로 작동하지 않았던 것도 해킹 때문이라는 분석이 설득력을 얻고 있다. Attacker (1) Send SYN periodically (2) Listen and reply Backdoor Server Backdoor Client 공격자와 Backdoor 설치 단말간의 IRC Chat를 감지 함 Backdoor에 감염된 단말은 사전에 설정된 공격 단말과 주기적으로 통신 공격자는 주기적인 통신을 통하여 획득된 정보 및 공격거점을 바탕으로 하여 필요한 경우 내부 네트워크에 대한 공격 시도 Mirage NAC의 경우 Backdoor가 설치된 단말이 주기적으로 공격자와 통신하는 경우 이를 감지하여 본격적인 공격전에 사전 차단 가능
4
Case Study (Cracking) Attacker Cracking을 하면서 발생시킨 Bad Packet를 감지 함
옥션 어떻게 공격 당했나...범죄의 재구성 (보안뉴스) 또 다른 관계자는 “fuckkr에 대해 옥션이 이야기하는 것을 보면 웹해킹에 의한 공격이 아닌 것은 확실하다”며 “내부 직원에 뿌려진 fuckkr이라는 해킹툴에 직원중 몇 명이 감염됐고 키로거에 의해 관리자 계정을 알아냈을 것”이라며 “관리자 계정만 있다면 DB를 빼내가는 것은 시간문제다”라고 설명했다. 또 다른 관계자는 “내부 직원이 아닐 수도 있다. 고객센터 직원이 감염이 돼 관리자 계정이 탈취됐을 때도 이와같은 상황이 발생할 수 있다”며 “고객센터와 같은 외주업체에 대한 철저한 관리가 필요하다”고 강조했다. (1) 감염단말의 패스워드 파일 획득 (2) Crack 도구로 패스워드 획득 (3) 공격대상 시스템에 침입 정보 해킹 password file Cracking tool Fuckkr 감염 단말 Attacker cracked password cracked password Cracking을 하면서 발생시킨 Bad Packet를 감지 함 Fuckkr에 감염된 단말를 공격자는 원하는 시스템의 Password 정보를 해킹 (이때 Cracking Tool를 이용) Mirage NAC의 경우 특정 시스템에 Cracking 공격을 당하는 경우 Cracking Packet을 Bad Packet으로 감지하여 공격 단말을 차단
5
Case Study (Arp Spoofing)
정상적인 통신 ARP Spoofing 공격 수행 ARP Spoofing 공격은 로컬 네트워크에서 사용하는 ARP 프로토콜의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격으로, 공격 대상의 ARP Cache 정보를 임의로 변경한 후 중요정보를 가로챈다. ARP Spoofing후 스니핑 수행
6
Case Study (Arp Spoofing)
IP / MAC Locking을 이용한 탐지 Gateway MAC 변조 탐지를 이용한 탐지 로컬 네트워크에서 사용하는 게이트웨이 및 중요 서버들이 사용하는 IP와 MAC을 등록 (IP/MAC Locking)하여 등록된 정보에 위반되는 단말이 감지되는 ‘MAC/IP Lock Violations’ 로 확인할 수 있다. 게이트웨이 MAC의 변조를 탐지하기 위한 ARP Spoofing 정책을 생성하여, 게이트웨이를 사칭하는 단말들을 확인할 수 있다.
7
Thanks you
Similar presentations