IT 서비스의 관문 DNS서버 보안의 중요성

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2722

 

IT 서비스의 관문 DNS서버 보안의 중요성

최근 넷플릭스 , 트위터 , 뉴욕타임즈 등과 같은 인터넷 서비스가 해커들의 DDoS 공격으로 서비스 장애를 일으켰다.   그런데 그 원인이 서비스 서버의 DDoS 공격이 아닌 DNS 서비스를 제공해주는 서비스 서버를 공격함으로 인터넷 서비스 자체에 접속을 못하게 하는 방법이었다.

해커들의 서비스 장애 유발 방식이 점 점 변화하고 있는 것이다.

본 보고서는 최근 DDoS 공격 대상의 변화와 DNS의 중요성에 대해서 살펴보고 앞으로 어떻게 DNS 서비스를 바라봐야 하는지 그 시각 변화에 대해서 방법을 모색해보고자 한다.

I.   인터넷 서비스 서버가 아닌 DNS서버의 DDoS 공격 발생
II.  DDoS 공격 대상의 변화
III. 서비스 서버의 보안만큼이나 DNS서비스 보안도 중요

첨부파일 :  IT 서비스의 관문 DNS서버 보안의 중요성

사이버공격 대응 기본 매트릭스

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2470

사이버공격 대응 기본 매트릭스

국내에서 많이 발생하는 사이버공격 유형을 알아보고, 이러한 사이버공격 유형을 세분화하여 구조적으로 표현할 수 있는 사이버공격 대응 기본 매트릭스를 제시한다.

Ⅰ. 서론
  
인터넷생태계는 소프트웨어 업체와 장비 제조사, 소프트웨어와 장비를 이용하여 서비스를 제공하는 회사, 그리고 이 서비스를 이용하는 이용자들로 구성된 거대 환경이다. PC, 서버, 네트워크장비, 스마트폰 등의 기기가 유선과 무선으로 다양하게 연결되어 있다.
우리가 알고 있는 것보다 훨씬 더 복잡하고, 때로는 예상치도 못했던 장비가 인터넷에 연결되어 있어서 사이버공격이 발생한다.

대학교 건물의 냉난방종합관리 장비에서 디도스 공격이 발생한다든지, 우리 가정에서 흔히 볼 수 있는 가정용 유무선공유기도 해킹공격에 취약하여 정보유출 등의 피해를 볼 수 있다.
유출되는 정보가 만일 금융정보라면 차곡차곡 쌓아 놓은 은행 잔고가 바닥을 드러 낼 수도 있다.

이제는 전혀 생소한 기기들이(시계, 안경) 인간의 신체에 부착되어인터넷에 연결되고 곧 대중화 되려고 한다.  새로운 형태의 기기가 다양하게, 대량으로 인터넷에 연결되면서 사이버생태계는 더욱 복잡해지고, 변화속도가 빠르다.
언제 어디서나 편리하고 쉬운 인터넷 환경으로 바뀌어 가기 때문에, 사이버공격 수법도 빠르게 변화하고 있다. 공격자는 효율 높은 사이버 공격수법을 계속해서 개발하고 있으며, 이런 공격수법이 효과적으로 성공 하고 반복되어지면 일상적으로 듣는 노래의 한 쟝르처럼 낯설지 않은 사이버공격 명칭으로 불리우게된다. 마치 스미싱과 같은 단어가 일상적으로 사용되는 것처럼 말이다.
  본고에서는 국내에서 빈번하게 발생하고 있는 종래의 홈페이지 악성코드 유포, 홈페이지 변조, 디도스등의 사이버공격 유형과 최근에 국내에서 자주 발생하는 피싱, 파밍, 스미싱 등의 사이버 공격 유형을 알아본다.

또한 공격대상 장비와 공격자의 공격행위를 파악하고 세밀하게 기록하는 용도의 사이버공격 대응 기본 매트릭스를 제시한다.


Ⅱ. 사이버공격 유형
    1. 홈페이지 악성코드 유포
    2. 홈페이지 변조
    3. 디도스
    4. 피싱
    5. 파밍
    6. 스미싱

Ⅲ. 결론
   1. 사이버공격 유형별 매트릭스
   2. 사이버공격 대응 기본 매트릭스 적용
   3. 시사점


[첨부]
사이버공격 대응 기본 매트릭스

Samba 취약점 보안 업데이트 권고 (2016.04.14)

Samba 취약점 보안 업데이트 권고 (2016.04.14)

□ 개요 o Samba 소프트웨어에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1]
 o 낮은 버전 사용자는 서비스 거부 공격 및 중간자 공격에 취약할 수 있어 해결방안에 따라 최신 버전으로 업데이트 권고
 
□ 설명
 · SAMR과 LSAD 프로토콜에서 발생한 중간자 공격 취약점(CVE-2016-2118)
   ※ Badlock으로 명명된 취약점[1]

 · DCE-RPC Code 에러로 서비스 거부를 유발할 수 있는 취약점(CVE-2015-5370)
 · NTLMSSP 인증 중간자 공격 취약점(CVE-2016-2110)
 · NETLOGON 서비스 스푸핑 취약점(CVE-2016-2111)
 · LDAP 서버 및 클라이언트 중간자 공격 취약점(CVE-2016-2112)
 · TLS 인증서의 유효성을 검증하지 않는 취약점(CVE-2016-2113)
 · server signing 옵션의 부재로 발생하는 취약점(CVE-2016-2114)
 · SMB IPC 트래픽 중간자 공격 취약점(CVE-2016-2115)
 
□ 영향 받는 소프트웨어

소프트웨어명	영향받는 버전
Samba	3.6.x
	4.0.x
	4.1.x
	4.2.0-4.2.9
	4.3.0-4.3.6
	4.4.0

 
□ 해결 방안 o Samba 4.1 이전 사용자
   - Samba 4.1 이전 사용자는 4.2.10버전 또는 4.2.11버전으로 업데이트 적용
 o Samba 4.2.0-4.2.9 사용자
   - Samba 4.2.0-4.2.9 사용자는 4.2.10버전 또는 4.2.11버전으로 업데이트 적용
 o Samba 4.3.0-4.3.6 사용자
   - Samba 4.3.0-4.3.6 사용자는 4.3.7버전 또는 4.3.8버전으로 업데이트 적용
 o Samba 4.4.0 사용자
   - Samba 4.4.0 사용자는 4.4.1버전 또는 4.4.2버전으로 업데이트 적용
 o Samba History(https://www.samba.org/samba/history)에 방문하여 각 버전에 맞는 최신 버전을 다운로드 받아 설치[2]

□ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번 없이 118
 o 뉴딜코리아 버그바운트팀 (070-7867-3721, ismsbok@gmail.com)
 
[참고사이트][1] http://badlock.org/
[2] https://www.samba.org/samba/history

[3] https://community.rapid7.com/community/infosec/blog/2016/04/12/on-badlock-cve-2016-2118-for-samba-and-windows

HTTPS 암호 트래픽 분석방법 (V1)

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2301

HTTPS 암호 트래픽 분석방법 (V1)
( Analyzing HTTPS Encrypted Traffic to Identify User Operating System, Browser and Application)

본 자료에서는 외부 공격자가 운영 체제, 브라우저 및 HTTP 암호화 된 트래픽의 응용 프로그램 (HTTPS)을 식별 할 수 있음을 보여준다.

본 자료의 한글파일이 필요한분은 별도 연락 바랍니다
(뉴딜코리아 컨설팅사업부 : 070-7867-3721, ismsbok@gmail.com)