Security Engineer's Dream

USB 자동실행 방지 툴

usbguard_usb자동인식방지.exe

USB로 전파되는 악성코드 때문에 국가사이버안전센터 및 알약에서 릴리즈 중인 툴입니다.

시작 - 실행 - gpedit.msc - 사용자 구성 - 관리 템플릿 - 시스템 - 자동 실행 사용 안 함 (사용으로 변경)

다른 방법,

1. 서비스 - Shell Hardware Detection 서비스 중지

또는, 레지스트리 항목 편집 255로 수정

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

----------------------------------------------------------------------------------------------

빗스타인 경우,

제어판 - 시스템 및 유지 관리 - 관리 도구 - 서비스 - ShellHWDetection - 중지(사용안함)

또는,

HKEY_USERS\{블라블라블라...}\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 에

디워드 값을 000000bf -> 000000ff 로 변경하믄 됨~

템플릿.zip

전 세계 IP 대역 리스트가 있는 곳...(maxmind)

http://www.maxmind.com/app/geolitecountry
http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip

이젠 MAXMIND라는 곳에서 매월 업데이트된 국가별 아이피 정보를 얻을 수 있습니다.

해당 파일을 이용할 수 있는 방법은 어떤게 있을까요?

1. 윈도우 IPSec을 이용해 서버에서 짱개 IP 대역을 차단하는 방법 -> 자기 PC에 가능함 ; 재밌음

2. 리눅스 머신에서 iptable과 GeoIP를 연계하여 짱개 IP 대역을 차단하는 방법 -> 사이트에서 요긴함

3. Snort는 IDS 기반이지만 Snort-iptable를 연계하여 실제 IPS를 만든 후 차단된 리스트 중

국가별 통계를 확인할 때 쓰는 방법 등등...

윈도우 및 리눅스 머신을 다룰 때 언젠간 요긴하게 먹히는 자료입니다.

그럼? 한국 IP 대역은 어캐 확인할까엽?

리눅스 서버 보안점검 팁

서버가 해킹을 당했는지 여부를 확인해 볼 수 있는 팁 

1. /var/log/messages 파일 확인 

2. ls -alR /tmp/ 나 ls -alR /var/tmp로 숨겨진 디렉토리 내  파일 확인 

3. /etc/passwd나 /etc/shadow 점검

uid가 0이거나 불법적인 신규계정이 있는지 검사

shadow 파일내에 암호가 없는 계정이 있는지 검사

4. 열린 포트 확인

nmap이나 netstat -na로 점검

또는 lsof로 확인 

5. setuid나 setgid 파일 확인

find / -user root -perm -4000 -print > setuid.txt

find / -user root -perm -2000 -print > setgid.txt

6. /dev 밑에 파일유무를 확인함

find /dev -type -f -print

(fc3 버전 부터는 /dev 밑에 /udev 파일이 존재함)

마지막으로 루트킷 확인을 위한 rkhunter 설치

출처 : 소스포지

http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.4.tar.gz (최신 릴리즈)

211.252.150.120 <--- 이 IP의 정체...

한 3개월쯤인가부터 211.252.150.120 또는 211.252.150.119, 211.252.150.117 IP로부터

고객사측에 불법 Crawl 및 스캔을 시도하는 로그를 볼 수 있습니다. 

whois.nic.or.kr 후이즈정보를 보면 KISA라고 하는데 -_- 

일전의 Spider agent 처럼 모니터링하는 건 아닌 것 같습니다...

또한 초당 100건이상의 스캔로그는 단순 로봇이 아니라는 것을 증명합니다. 

이젠 짱개애들(?)이 출발지 IP를 KISA로 바꿔서 스캔을 하고 있는 듯한 느낌이 팍팍! 

KISA는 이런사실을 알고 있는지... 

^^;;; 암튼 누가 점 알려주세염~ 해당 IP가 블랙리스트 인지염~

어느 디도스(DDoS) 크래커의 인사...

망할 짱개넘들...

갑자기 메신저 ID의 중요성을 새삼 되새기게 되네염...

메신저 ID는 웬만하면 유출되지 않게 해야겠네염...

컨택 포인트가 없으면? -_- 해커는...물론 다른 방법을 찾겠죠...-_-(랜섬공격+사회공학공격)

출처 ; 디도스 전문대응 카페

침해사고 초기대응 요점정리 문서입니다.

security-incident-questionnaire-cheat-sheet.pdf

유비무환...!

Why Cisco's 802.11n?

지난 시스코 3월 웹세미나 강의 동영상입니다.

http://emessages.cisco.com/Key=81306.1xs.D.2.G7zQBG

FYI

[TAP] Test Access Ports 자료입니다.

tap.alz

왈 ; 약자가 Traffic Aggregation Passed 라고 트래픽을 모아서 흘려보내는 ㅡ.ㅡ 이라고 얼렁뚱땅
넘어간 일이 있었네염 ^^;;;

암튼 저처럼 무식하지 맙시다!

참고로 요즘 보안솔루션 도입시 자주 사용되는 바이패스 스위치 자료도 첨부합니당~

[링크] JunOS 교육용 플래쉬

http://www.juniper.net/us/en/training/technical_education/jsl_international_editions/index.html

주니퍼에서 괜찮은 링크를 만들었네요...

지인이 추천해준 링크 ^-^

[용어] IPMI란?

IPMI
Intelligent Platform Management Interface로 Dell, HP, Intel, NEC 등의 서버군에 장착된 인터페이스이다.

버전은
v1.0 98-09-16
v2.0 01-03-01
v3.0 04-02-14에 릴리즈되었으며 방식은 Serial, Serial Over LAN(SOL), LAN 등이 있다.

OS와 독립적으로 운영되기에 심지어 Power-Off 상태에서도 IPMI를 통해 서버의 헬스체킹이 가능하다.
또한 Fan Speed, 전압, 온도 등의 체크가 가능하다.

보통 클러스터의 Fail-Over 용도로 사용되며, 원격지에서 장비의 모니터링 용도로 사용되기도 한다. 

from 위키

[스니퍼] snifferpro 4.90_102 입니다.

다운링크 ; http://down.ixpub.net/net/soft/snifferpro_4_90_102.rar

출처 ; http://net.zdnet.com.cn/network_security_zone/2008/1227/1294059.shtml

짱개시로염...ㅜㅜ

cf. 테스트 결과 4.90_105는 윈도우에 Service 등록이 안되어서 실패하였습니다. -_-

그러나 4.90_102는 잘되네염...역시 짝수버전 강추!

[보안이슈] PPTP 터널링 웜

어느 한 블로그를 읽다가... 웜이 PPTP 터널링을 뚫어서 퍼진다고 하네염 ㅋ

악성코드가 해싱 암호화되는건 알았지만...이럴수가...^^;;

출처 ;  http://www.sis.pe.kr/2583

[Tar] 원격지 자료를 통해 압축 풀기

리눅스 머신에서 압축파일을 다운받아서 압축을 풀 경우에 압축파일의 용량 때문에

해당디스크의 용량 부족으로 어려움을 겪을때가 있습니다.

(요즘은 하드가 빵빵해서 아닐 수도 있겠네요...-_-)

이럴때 원격지 타겟에서 바로 압축을 풀어서 해당 시스템에 설치를 할 수 있는 명령어가 있습니다.
(물론 윈도우에서는 보통 원격지에 접속해서 설치파일 클릭해도 알아서 잘 설치가 되죠 ^^;
 // 다운받기 귀찮고 그냥 설치할 때)

원격지 서버 IP ; 100.100.100.100  /  해당파일위치 ; tmp  /  해당파일명 test.tgz 일 경우에,

ssh 100.100.100.100 "cat /tmp/test.tgz" | tar xvfzp -

를 하시면 원격지에 있는 압축파일이 로컬시스템이 풀리는 것을 볼 수 있습니다. ^^;;

[NMAP] for 문으로 쉽게 스캔하기

며칠전 담당자로부터 이런 문의를 받았습니다~

갑왈 ; 몇 번 서버부터 몇 번 서버까지 포트스캔 좀 해주세염~?

을답 ; 헉 ㅜㅜ 그냥 포트스캔 툴 받아다가 하심 되용~

갑왈 ; 그냥 해주세요 -_-

을답 ; 네 ㅜㅜ

그리하여 오랫만에 nmap 한번 돌려볼까? 하고 생각해보니...

문제 발생!

nmap은

예) scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254 등등으로 대상 IP를 스캔할 수 있으나,

정작 담당자께 받은 서버 목록은... 짝수번 대의 서버목록 -_- 이었습니다...

그리하여 잔머리를 굴리던 중...

한번 도스시절로 돌아가볼까? ^_^

for /l %n in (100,2,200) do nmap 100.100.100.%n

-> 이렇게 for문을 돌리면 nmap은 다음과 같이 스캔을 합니다.

nmap 100.100.100.100

nmap 100.100.100.102

nmap 100.100.100.104

(중략)

nmap 100.100.100.198

nmap 100.100.100.200

즉 %n 파라미터에 대해서 (시작파라미터, 변수, 종료파라미터)로 동작을 합니다.

for /l %n in (1,1,254) do ping -n 1 192.168.100.%n >> ping_result.txt

그닥 쓸모는 없겠지만 네트워크 대역으로 ping 때릴때 이렇게 해도 되겠네염...

# 오늘도 어김없이 업무보고를 날리는 1인 (이것도 for 문으로 주기적으로 누가 해줬으면 좋겠네염 -_-++)

[용어] SPOF란 뭘까요? ^^;

SPOF...약자로 써놓으니 당췌 뭔지 모르겠네염...

얼마전 지인이 약을 먹으면서

"내가 지금 먹는약이 이거야~"라고 하시더군요...

알약을 보니 ISD 라고 써있더군요...

헉 뭔가모르게 심각한 병에 걸린건 아닐까? 생각하는 찰라...그 약은...바로...인사돌 이었습니다.
(마우스로 드래그 해보세염)

암튼 잡담은 그만하고...

SPOF = Single Point Of Failure 라고 하죠...

보통 장비의 규격서에 보면 No SPOF 또는 No Single Point of Failure라고 되어있습니다.

물론 뜻은? 어디 한군데가 고장나도 전체 시스템에는 영향을 미치지 않는다는...그런 단순한 뜻이
내포되어 있답니다.

결론 ; 역시 약자는 어려워 -_-

[고시원] 노력과 결실의 상관관계...

장래 변호사가 되는 꿈을 지닌 청년의 보금자리...1.5평의 고시원...

세상이 그대를 속일지라도...

노력과 결실은 항상 비례한다고 믿고 있습니다...

내 기억속에 있는 멋진 사진 중 하나...

출처 ; 인터넷 서핑 중...

[ IIS log  및 apach log 또는 웹방화벽에서 흔히 보이는 웹공격 로그 들 ]

 # 보안 스캐닝 툴인 DFind에 의해 남은 로그로, 대표적인 포트스캐닝 툴에 의한 로그입니다.
DFind는 포트스캔, 핑체크, 취약점 스캐닝, 웹서버 FingerPrinting 및 원하는 HTML 파일이
있는지 찾아주기까지 합니다.

# 사이트에 웹방화벽을 달아놓으면 항상 중국 쪽 또는 국내에서 감염된 봇에 의한 공격로그가
꼭 몇 건 탐지됩니다. 이미 조금 Old한 툴인데도 불구하고 스캔이 계속 진행되는 건, 그만큼
아직 보안에 취약한 서버가 있다는 뜻이겠네요...

요즘은 보통 자동화된 툴이나 웜을 통해 공격을 진행합니다.

Ref.
* w00tw00t.at.ISC.SANS.DFind
  http://www.atlink.it/~conti/2006/03/04/w00tw00tatiscsansdfind-update/
* w00tw00t
  http://isc.sans.org/diary.php?storyid=900
  http://isc.sans.org/diary.php?storyid=591
* DFind
  http://class101.org

[보안이슈] IE8에 존재하는 세션공유 취약점

http://www.boannews.com/media/view.asp?idx=15898&kind=0

인터넷 익스플로러8이 파이어폭스를 따라가려다 사고를 쳤네요...('_')

만약 한개의 인터넷 창이라도 띄워져 있을 경우에,

추후에 다시 창을 띄우게 되면 동일 세션으로 기존 웹서비스를 이용할 수 있습니다.

이러한 기능으로 말미암아 서버의 세션을 유도 및 하이재킹 할 수 있는 해킹방법이 곧 나올 듯 합니다.

현재 인터넷뱅킹 및 포털사이트에서는 상기와 같은 대비를 해놓지 않았네요...

(세션카피 가능함, TamperIE Control Panel로 Session ID 확인가능)

방법은 있습니다...-_-

1. IE7으로 다운그레이드합니다.

2. 익스플로러 창을 여신 후 Ctrl+Shift+P 를 사용해 InPrivate 모드에서 웹서핑을 합니다.

(브라우저간 세션공유 안됨, 그런데 알툴바와 같은 BHO도 내려버리니...ㅜㅜ 정작 불편합니다.)

----------------------------------------------------------------------------------------------

('_') 옥션을 하다가 그 창 닫고, 3시간 후에 다시 다른 창열어서 옥션 쇼핑을 했는데 그냥 접속이 되어서

가슴이 통개통개 한 1인...ㅎㄷㄷ

[다큐] 10년 더 젊게 사는 처방전

[생로병사의 비밀] 중

1. 소염다초(少鹽多醋)

2. 소당과다(少糖多果)

3. 소식다작(少食多嚼)

소당과다 ; 스트레스는 단걸로 풀어야할꺼 같아서 조금 힘든 주제
소식다작 ; 5분만에 밥을 후딱 해치우는 직장인에게는 불가한 주제
소염다초 ; 요즘 커피대신에 청정원에서 만든 마시는 홍초를 먹는데요~ 참 좋은 것 같습니다. ^^;;;