jini23-lamp의 등록된 링크
jini23-lamp로 등록된 티스토리 포스트 수는 82건입니다.
[MSIT] W-77. LAN Manager 인증 수준 [내부링크]
점검 목적 LAN Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증 절차를 적용하기 위함. ※ LAN Manager는 네트워크를 통한 파일 및 프린터 공유와 같은 작업 시 인증을 담당함. 보안 위협 안전하지 않은 LAN Manager 인증 수준을 사용할 경우 인증 트래픽 가로채기를 통해 악의적인 계정 정보 노출을 허용할 수 있음. 판단기준 양호 : "LAN Manager 인증 수준" 정책에 "NTLMv2 응답만 보냄" 이 설정된 경우 취약 : "LAN Manager 인증 수준" 정책에 "LM" 및 "NTLM" 인증이 설정된 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 보안 옵션 > "LA..
[MSIT] W-75. 경고 메시지 설정 [내부링크]
점검 목적 로그온 시 경고 메시지를 설정하여 시스템에 로그온을 시도하는 사용자들에게 경고 메시지를 띄움으로써 경각심을 주기 위함. 보안 위협 로그온 경고 메시지가 존재하지 않을 경우 악의적인 사용자에게 공격자의 활동을 주시하고 있다는 생각을 상기 시킬 수 없어 간접적인 공격 기회를 제공할 우려가 있음. 판단기준 양호 : 로그온 경고 메시지 제목 및 내용이 설정되어 있는 경우 취약 : 로그온 경고 메시지 제목 및 내용이 설정되어 있지 않은 경우 점검 방법 1. 레지스트리 legalnoticecaption, legalnoticetext 값 확인할 것. ① Windows 경로(1순위) [ 컴퓨터\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol..
[MSIT] W-74. 세션 연결을 중단하기 전에 필요한 유휴시간 [내부링크]
점검 목적 세션이 중단되기 전에 SMB 세션에서 보내야 하는 연속 유휴 시간을 결정하여 서비스 거부 공격에 악용되지 않도록 하기 위함. ※ Administrators 는 이 정책을 활성화아여 제어가 가능 정책 값을 0으로 설정 시, 유휴 세션 연결이 가능한 빨리 끊어지고, 최대값 99999(208일) 설정 시 정책 설정 해제를 의미. 보안 위협 SMB 세션은 서버 리소스를 사용하기 때문에 NULL 세션 수가 많아지면 서버 속도가 저하되거나 오류가 발생할 수 있음. 공격자가 이를 악용해 SMB 세션을 반복 설정해 서버의 SMB 서비스가 느려지거나 응답하지 않게 하여 DoS 공격을 유발할 수 있음. 그러므로 세션 연결 중단 시 유휴시간(아무런 활동이 없는 시간) 설정을 점검하여 세션 중단 전에 SMB 세션에..
[MSIT] W-69. 정책에 따른 시스템 로깅 설정 [내부링크]
점검 목적 적절한 로깅 설정으로 유사 시 (비상 시) 책임 추적을 위한 로그가 확보될 수 있게 하기 위함. 보안 위협 감사 설정이 구성되지 않거나 감사 설정 수준이 너무 낮은 경우, 보안 관련 문제 발생 시 원인 파악이 어려우며 법적 대응을 위한 충분한 증거 확보가 어려움. ※ 감사 정책이 너무 강하게 설정될 경우, 보안 로그에 불필요한 항목이 많이 기록되므로 법적 요구 사항과 조직의 정책에 따라 꼭 필요한 로그만 남기도록 설정해야 함. 판단기준 양호 : 감사 정책 권고 기준에 따라 감사 설정이 되어 있는 경우 취약 : 감사 정책 권고 기준에 따라 감사 설정이 되어있지 않는 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 로컬 정책 > 감사 정책 > 감사 정책 설정 확인할 것. - 감사 안..
[MSIT] W-66. 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 [내부링크]
점검 목적 불필요한 데이터 소스 및 드라이버를 ODBC 데이터 소스 관리자 도구를 이용해 제거하여 비인가자에 의한 데이터베이스 접속 및 자료 유출을 차단하기 위함. ※ ODBC(Open DataBase Connectivity) : 데이터베이스에 접근하기 위한 소프트웨어 표준 규격 ※ OLE-DB(Object Linking and Embedding, Database) : 통일된 방식으로 저장된 여러 종류의 데이터에 접근하기 위해 만들어진 API 보안 위협 불필요한 ODBC/OLE-DB 데이터 소스를 통한 비인가자에 의한 데이터베이스 접속 및 자료 유출 위험 존재함. 판단기준 양호 : 시스템 DSN 부분의 Data Source 를 현재 사용하지 있지 않는 경우 취약 : 시스템 DSN 부분의 Data Sour..
[MSIT] W-64. HTTP/FTP/SMTP 배너 차단 [내부링크]
점검 목적 접속 배너를 통한 불필요한 정보 노출을 방지하기 위함. 보안 위협 HTTP, FTP, SMTP 접속 시도 시 노출되는 접속 배너를 통해서 정보를 수집하여 악의적 공격 이용 가능성 존재함. 판단기준 양호 : HTTP, FTP, SMTP 접속 시 배너 정보가 보이지 않음 취약 : HTTP, FTP, SMTP 접속 시 배너 정보가 보임 점검 방법 1. HTTP ① 서버 헤더 노출 정보 확인할 것. (URL 재작성 모듈) IIS 관리자(inetmgr) > 웹 사이트 > URL 재작성 > 아웃 바운드 규칙 설정 - URL 재작성 모듈을 사용하지 않거나 아웃 바운드 규칙이 존재하지 않은 경우 취약 URL 재작성 모듈 존재하지 않을 시, 아래의 사이트에서 다운 받은 후 설치하면 됨. https://www...
[MSIT] W-63. DNS 서비스 구동 점검 [내부링크]
점검 목적 DNS 동적 업데이트 비활성화함으로써 신뢰할 수 없는 원본으로부터 업데이트를 받아들이는 위험을 차단함. ※ 동적 업데이트 ? DNS 변경 사항 존재 시, DNS 클라이언트 컴퓨터가 자신의 리소스 레코드(zone 파일)를 DNS 서버에 자동으로 업데이트 하는 기능. 보안 위협 DNS 서버에서 동적 업데이트 사용 시 악의적인 사용자에 의해 신뢰할 수 없는 데이터가 받아들여질 위험이 존재함. 판단기준 양호 : DNS 서비스 사용하지 않음 or 동적 업데이트 "없음"으로 설정된 경우 취약 : DNS 서비스 사용하며 동적 업데이트가 설정된 경우 점검 방법 1. DNS 관리자(dnsmgmt.msc) > 각 조회 영역 > 속성 > "동적 업데이트" 설정 확인할 것. - 보안되지 않음 및 보안됨 즉, 동적 ..
[MSIT] W-62. SNMP Access Control 설정 [내부링크]
점검 목적 SNMP 트래픽에 대한 접근 제어 설정을 하여 내부 네트워크로부터 악의적인 공격을 차단하기 위함. ※ SNMP(Simple Network Management Protocol) ? 네크워크 상에서 각 호스트들의 기능, 성능 등을 실시간으로 모니터링 하기 위해 여러 정보들을 자동으로 수집하는 프로토콜 ※ SNMP는 여러 정보들을 받아서 시스템 상태를 실시간으로 파악해주는 NMS(Network Management System)에 정보를 수집해서 전달해줌. 보안 위협 인증되지 않은 내부 서버로부터 SNMP 트래픽을 차단하지 않을 경우, 장치 구성 변경, 라우팅 테이블 조작, 악의적인 TFTP 서버 구동 등의 SNMP 공격에 노출될 수 있음. 판단기준 양호 : 특정 호스트로부터 SNMP 패킷을 받아들이..
[MSIT] W-61. SNMP 서비스 커뮤니티스트링의 복잡성 설정 [내부링크]
점검 목적 SNMP 에서 일종의 패스워드로 사용하느 Community String 을 유추할 수 없는 값으로 변경하여 불필요한 시스템 정보 노출을 차단하기 위함. 보안 위협 public, private 와 같이 default 계정 사용 시, 시스템 주요 정보 및 설정 상태의 노출 위험이 존재함.유추할 수 없는 복잡한 값으로 변경하여 불필요한 시스템 정보 노출을 차단해야 함. 판단기준 양호 : SNMP 서비스를 사용하지 않음 or Community String 이 public, private가 아닌 경우 취약 : SNMP 서비스 사용하며, Community String 이 public, private인 경우 점검 방법 1. 서비스(services.msc) > SNMP 서비스 > 속성 > 보안 에서 커뮤니티..
[MSIT] W-60. SNMP 서비스 구동 점검 [내부링크]
점검 목적 취약한 SNMP 서비스를 비활성화여 시스템 주요정보 유출 및 불법 수정을 방지하기 위함. ※ SNMP(Simple Network Management Protocol) ? 네크워크 상에서 각 호스트들의 기능, 성능 등을 실시간으로 모니터링 하기 위해 여러 정보들을 자동으로 수집하는 프로토콜 ※ SNMP는 여러 정보들을 받아서 시스템 상태를 실시간으로 파악해주는 NMS(Network Management System)에 정보를 수집해서 전달해줌. 보안 위협 해당 서비스로 DoS, DDoS, 버퍼 오버플로우, 비인가 접속 및 시스템 주요 정보 유출, 정보의 불법수정 발생 위험이 존재함. 판단기준 양호 : SNMP 서비스를 사용하지 않는 경우 취약 : SNMP 서비스를 사용하는 경우 점검 방법 1. 서..
[MSIT] W-58. 터미널 서비스의 암호화 수준 설정 미흡 [내부링크]
점검 목적 터미널 서비스 암호화 설정으로 데이터를 암호화하여 클라이언트와 서버 간의 통신에서 전송되는 데이터를 보호하기 위함. 보안 위협 낮은 암호화 수준 적용 시 악의적인 사용자에 의해 클라이언트와 서버간 주고받는 정보가 노출될 위험이 존재함. 판단기준 양호 : 터미널 서비스를 사용하지 않음 or 터미널 서비스 사용 시 암호화 수준을 "중간 이상"으로 설정한 경우 취약 : 터미널 서비스 사용하고 암호화 수준이 "낮음"인 경우 점검 방법 1. 원격 터미널 서비스 사용 여부 확인할 것. ① 시스템 속성에서 서비스 사용 여부 확인할 것. - 원격 연결을 허용하고 있음 ② 또는 레지스트리 fDenyTSConnections 값 확인할 것. - fDenyTSConnections 0 이므로 원격 터미널 서비스를 허..
[MSIT] W-57. 원격터미널 접속 가능한 사용자 그룹 제한 [내부링크]
점검 목적 비인가자의 원격 터미널 접속을 제한하기 위함. 보안 위협 임의의 사용자가 원격으로 접속해 해당 서버의 설정을 변경하거나 정보를 유출할 가능성이 존재함. 판단기준 양호 : 원격 접속이 가능한 계정을 생성해 타 사용자의 원격 접속을 제한하고, 원격 접속 사용자 그룹에 불필요한 계정이 등록되어 있지 않은 경우 취약 : 원격 접속이 가능한 별도의 계정이 존재하지 않는 경우 점검 방법 1. 원격 터미널 접속 가능한 사용자 그룹 확인할 것. - 원격 접속 가능한 별도의 계정이 존재하지 않으므로 취약 2. 레지스트리 fDenyTSConnections 확인할 것. - fDenyTSConnections 0 "원격 터미널 서비스를 허용" 조치방안 1. 원격 터미널 접속 가능한 사용자 그룹에 Administrat..
[MSIT] W-56. 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 [내부링크]
점검 목적 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단하기 위함. ※ 윈도우 원격 제어는 보안상 계정에 암호가 걸린 계정만 접속하도록 하지만, 해당 정책 활성화 시 암호 없어도 원격 제어가 가능함 보안 위협 해당 정책 "사용 안 함" 설정 시, 빈 암호를 가진 로컬 계정에 대해 터미널 서비스, Telnet 및 FTP와 같은 네트워크 서비스의 원격 대화형 로그온이 가능해 시스템 보안에 심각한 위험을 줄 수 있음. 판단기준 양호 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용"인 경우 취약 : "콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한" 정책이 "사용 안 함"인 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "콘솔 로그온 시 로컬..
[MSIT] W-55. 최근 암호 기억 [내부링크]
점검 목적 사용자가 현재 암호 또는 최근에 사용했던 암호와 동일한 새 암호를 만드는 것을 방지하기 위함. 보안 위협 특정 계정이 암호를 오랫동안 사용할 경우 공격자가 무작위 공격을 통해 암호를 확인할 가능성이 높음.혹여 유출된 계정의 암호를 바꾸지 않다면 계속해서 악용될 위험이 존재하므로 최근에 사용했던 암호를 새로운 패스워드에 설정할 수 없도록 해야 함. 판단기준 양호 : 최근 암호 기억 4개 이상으로 설정됨 취약 : 최근 암호 기억 4개 미만으로 설정됨 점검 방법 1. 로컬 보안 정책(secpol.msc) > 계정 정책 > 암호 정책 > "최근 암호 기억" 정책 확인할 것. - 설정값이 4 미만으로 설정되어 있으므로 취약 2. 또는 보안 정책 설정 PasswordHistorySize 확인할 것. - ..
[MSIT] W-54. 익명 SID/이름 변환 허용 해제 [내부링크]
점검 목적 익명 SID/이름 변환 정책 "사용 안 함" 설정하여 SID를 사용해 관리자 이름을 찾을 수 없도록 하기 위함. ※ 해당 정책 설정 시, 익명 사용자가 다른 사용자의 SID 특성을 요청할 수 있음 보안 위협 로컬 접근 권한이 있는 사용자가 잘 알려진 Administrators SID를 사용하여 Administrators 계정의 실제 이름을 알아낼 수 있으며 암호 추측 공격 실행 가능성이 존재함. 판단기준 양호 : "익명 SID/이름 변환 허용" 정책이 "사용 안 함"으로 되어 있는 경우 취약 : "익명 SID/이름 변환 허용" 정책이 "사용"으로 되어 있는 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "네트워크 액세스: 익명 SID/이름 변환 허용" 정책 확인할..
[MSIT] W-53. 로컬 로그온 허용 [내부링크]
점검 목적 불필요한 계정에 로컬 로그온이 허용된 경우 비인가자의 불법적인 시스템 로컬 접근을 차단하고자 함. 보안 위협 불필요한 사용자에 로컬 로그온 허용 시 비인가자를 통한 권한 상승으로 악성 코드 실행 우려가 있음. 판단기준 양호 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 만 존재하는 경우 취약 : 로컬 로그온 허용 정책에 Administrators, IUSR_ 외 다른 계정 및 그룹이 존재하는 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "로컬 로그온 허용" 정책 확인할 것. - Administrators 외 계정이 존재하므로 취약 2. 또는 보안 정책 설정 SeInteractiveLogonRight 확인할 것. - Administra..
[MSIT] W-52. 마지막 사용자 이름 표시 안 함 [내부링크]
점검 목적 Windows 로그인 화면에 마지막 로그온 한 사용자 이름이 표시되지 않도록하여 악의적인 사용자에게 계정 정보가 노출되는 것을 차단하고자 함. ※ Windows 로그인 화면에 마지막 로그온 한 사용자 이름이 표시될 경우 콘솔 사용자 및 터미널 서비스 이용자에게 시스템에 존재하는 사용자 계정 정보를 노출함. 보안 위협 공격자가 마지막 사용자 이름을 획득하여 암호를 추측하거나 무작위 공격을 시도할 가능성이 존재함. 판단기준 양호 : "마지막 사용자 이름 표시 안 함"이 "사용"으로 설정되어 있음 취약 : "마지막 사용자 이름 표시 안 함"이 "사용 안 함"으로 설정되어 있음 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "마지막 사용자 이름 표시 안 함" 정책 확인할 것...
[MSIT] W-47. 계정 잠금 기간 설정 [내부링크]
점검 목적 로그인 실패 임계값 초과 시 일정 시간 동안 계정 잠금을 실시해 공격자의 암호 유추 공격을 차단하기 위함. ※ 계정 잠금 정책 : 해당 계정이 시스템으로부터 잠기는 환경과 시간을 결정하는 정책. 아래와 같은 3가지 하위 정책을 가짐. - 계정 잠금 기간 - 계정 잠금 임계값 - 다음 시간 후 계정 잠금 수를 원래대로 설정 보안 위협 공격자의 자동화된 암호 추측 공격이 가능해 사용자 계정의 패스워드 정보 유출 위험이 존재함. 판단기준 양호 : "계정 잠금 기간", "다음 시간 후 계정 잠금 수를 원래대로 설정" 기간이 설정되어 있는 경우 (60분 이상의 값을 권고) 취약 : "계정 잠금 기간", "다음 시간 후 계정 잠금 수를 원래대로 설정" 기간이 설정되어 있는 않은 경우 점검 방법 1. 로컬..
[MSIT] W-46. Everyone 사용 권한을 익명 사용자에 적용 해제 [내부링크]
점검 목적 익명 사용자가 Everyone 그룹으로 사용 권한을 준 모든 리소스에 접근하는 것을 차단하여 비인가자에 의한 접근 가능성을 제한하기 위함. 보안 위협 권한이 없는 사용자가 익명으로 계정 이름 및 공유 리소스를 나열하고 이 정보를 사용하여 암호를 추측하거나 DoS 공격을 실행할 수 있음. 판단기준 양호 : "Everyone 사용 권한을 익명 사용자에게 적용" 정책이 "사용 안 함"으로 되어 있는 경우 취약 : "Everyone 사용 권한을 익명 사용자에게 적용" 정책이 "사용"으로 되어 있는 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안옵션 > "Everyone 사용 권한을 익명 사용자에 적용" 정책 확인할 것. - "사용"으로 설정된 경우 취약 조치방안 1. 로컬 보안 정..
[MSIT] W-45. 디스크볼륨 암호화 설정 [내부링크]
점검 목적 디스크 볼륨 암호화 설정을 적용해 비인가 액세스로부터 중요 데이터를 보호하기 위함. 보안 위협 암호화되어 있지 않을 시 비인가자가 데이터에 물리적으로 직접 접근해 데이터를 획득할 위협이 존재함. 판단기준 양호 : "데이터 보호를 위해 내용을 암호화" 정책이 선택된 경우 취약 : "데이터 보호를 위해 내용을 암호화" 정책이 선택되어 있지 않은 경우 점검 방법 1. 폴더 속성 > 일반 > 고급 > "데이터 보호를 위해 내용을 암호화" 체크 확인할 것. - 체크 미설정 시 취약 조치방안 1. 폴더 속성 > 일반 > 고급 > "데이터 보호를 위해 내용을 암호화" 체크할 것. 2. 해당 서버가 보호된 장소에 존재하는지 담당자와의 인터뷰를 통해 확인할 것.
[MSIT] W-44. 이동식 미디어 포맷 및 꺼내기 허용 [내부링크]
점검 목적 권한이 없는 사용자 및 비안가자에 의한 불법적인 이동식 미디어 포맷 및 이동을 차단하기 위함. 보안 위협 관리자 이외의 사용자에게 해당 정책 설정 시, 비인가자에 의한 불법적인 매체 처리를 허용할 수 있음. 판단기준 양호 : "이동식 미디어 포맷 및 꺼내기 허용" 정책이 "Administrator"로 되어 있는 경우 취약 : "이동식 미디어 포맷 및 꺼내기 허용" 정책이 "Administrator"로 되어 있지 않은 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안 옵션 > "장치: 이동식 미디어 포맷 및 꺼내기 허용" 정책 확인할 것. - Administrators 가 아닌 경우 취약 2. 또는 레지스트리 AllocateDASD 값 확인할 것. - 값이 1 또는 2로 설정되..
[MSIT] W-43. Autologon 기능 제어 [내부링크]
점검 목적 Autologon 기능을 사용하지 않음으로써 시스템 계정 정보 노출을 차단하기 위함. ※ Autologon ? 레지스트리에 암호화되어 저장된 대체 증명을 사용하여 자동으로 로그인하는 기능 보안 위협 Autologon 기능을 통해 공격자가 해킹 도구를 이용하여 저장된 로그인 계정 및 패스워드 정보 유출이 가능함. 판단기준 양호 : AutoAdminLogon 값이 없거나 0으로 설정된 경우 취약 : AutoAdminLogon 값이 1로 설정된 경우 점검 방법 1. 사용자 계정(netplwiz) > "사용자 이름과 암호를 입력해야 이 컴퓨터를 사용할 수 있음" 체크 확인할 것. - 체크가 미설정이므로 취약 2. 또는 레지스트리 AutoAdminLogon 값 확인할 것. - 값이 1("체크 미설정")..
[MSIT] W-42. SAM 계정과 공유의 익명 열거 허용 안 함 [내부링크]
점검 목적 익명의 사용자로부터 악의적인 계정 정보 탈취를 방지하기 위함. 보안 위협 익명의 사용자가 도메인 계정과 네트워크 공유 이름의 열거 작업을 수행이 가능해 계정 이름 목록 확인하고 이 정보를 이용해 암호를 추측하거나 사회 공학적 공격기법을 수행할 수 있음. 판단기준 양호 : 해당 보안 옵션 값이 설정되어 있는 경우 취약 : 해당 보안 옵션 값이 설정되어 있지 않은 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 보안옵션 > "SAM 계정과 공유의 익명 열거 허용 안 함" 정책 확인할 것. - 해당 정책이 "사용 안 함" 이므로 취약 2. 또는 레지스트리 값 RestrictAnonymous 확인할 것. - 값이 0("사용 안 함")로 설정되어 있으므로 취약 조치방안 1. 로컬 보안 정..
[MSIT] W-41. 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료 해제 [내부링크]
점검 목적 로그 용량 초과 등의 이유로 이벤트를 기록할 수 없는 경우, 해당 정책으로 인해 시스템이 비정상적으로 종료되는 것을 방지하기 위함. ※ 보안 감사 로그가 꽉 찼을 때 이벤트가 로그 되지 않음. 기존 항목을 덮어쓸 수 없을 때 해당 정책 사용 시 아래와 같은 중지 오류가 나타나게 됨. 보안 위협 악의적인 목적으로 시스템 종료를 유발해 서비스 거부 공격에 악용될 수 있으며, 비정상적 시스템 종료로 인해 시스템 및 데이터에 손상을 입힐 수 있음. 판단기준 양호 : "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책이 "사용 안 함"으로 되어 있는 경우 취약 : "보안 감사를 로그할 수 없는 경우 즉시 시스템 종료" 정책이 "사용"으로 되어 있는 경우 점검 방법 1. 로컬 보안 정책(secp..
[MSIT] W-40. 원격 시스템에서 강제로 시스템 종료 [내부링크]
점검 목적 원격에서 네트워크를 통해 운영 체제 종료가 가능한 사용자 및 그룹을 설정해 특정 사용자가 시스템 종료를 허용하기 위함. 보안 위협 원격 시스템 강제 종료 설정이 부적절할 시, 서비스 거부 공격에 악용 위험이 존재함. 판단기준 양호 : 해당 정책에 "Administrators"만 존재하는 경우 취약 : 해당 정책에 "Administrators" 외 다른 계정 및 그룹이 존재하는 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > 사용자 권한 할당 > "원격 시스템 강제 종료" 정책 확인할 것. - Administrators 그룹 외 다른 그룹 존재하므로 취약 2. 또는 보안 정책 설정에서 SeRemoteShutdownPrivilege 확인할 것. 조치방안 1. 로컬 보안 정책(secp..
[MSIT] W-39. 로그온하지 않고 시스템 종료 허용 해제 [내부링크]
점검 목적 시스템 로그온 창의 종료 버튼 비활성화함으로써 허가되지 않은 사용자를 통한 불법적인 시스템 종료를 방지하고자 함. 보안 위협 로그온 창에 "시스템 종료" 활성화 시 비인가자가 로그인하지 않고도 불법적인 시스템 종료가 가능해 정상적인 서비스 운영에 영향을 줄 수 있음. 판단기준 양호 : "로그온하지 않고 시스템 종료 허용" 이 "사용 안 함"일 경우 취약 : "로그온하지 않고 시스템 종료 허용" 이 "사용"일 경우 점검 방법 1. 로컬 보안 정책(secpol.msc) > "시스템 종료: 로그온하지 않고 시스템 종료 허용 속성" 확인할 것. - 해당 정책이 사용 중이므로 취약 2. 또는 레지스트리 값 확인할 것. [ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows..
[MSIT] W-38. 화면보호기 설정 [내부링크]
점검 목적 사용자가 일정 시간 작업을 수행하지 않을 경우 자동 로그오프하도록 하여 불법적인 시스템 접근을 차단하기 위함. 보안 위협 관리자 자리를 비운 사이 비인가자가 해당 시스템에 접근해 중요 정보를 유출하거나, 악의적인 행위를 수행할 수 있음. 판단기준 양호 : 화면 보호기 설정 , 대기 시간 10분 이하, 화면 보호기 해제 암호 설정되어 있는 경우 취약 : 화면 보호기 설정되지 않거나 해제 암호를 사용하지 않음, 대기 시간 10분 초과인 경우 점검 방법 1. 화면 보호기 설정에서, 화면 보호기 부분 확인할 것. - 화면 보호기가 설정되지 않았으므로 취약 2. 또는 레지스트리 값 확인할 것. - ScreenSaveTimeOut, ScreenSaverlsSecure, SCRNSAVE.EXE 레지스트리가..
[MSIT] W-37. SAM 파일 접근 통제 설정 [내부링크]
점검 목적 Administrator 및 System 그룹만 SAM 파일에 접근할 수 있도록 제한해 계정 정보 유출을 차단하고자 함. ※ SAM (Security Account Manager) ? 사용자와 그룹 계정 패스워드 관리 및 LSA 인증을 제공함. LSA ? 모든 계정의 로그인에 대한 검증을 하고, 시스템 자원 및 파일 등에 대한 접근 권한을 검사함. 보안 위협 SAM 파일 노출 시 패스워드 공격 시도로 계정 및 패스워드 데이터베이스 탈취 위험이 존재함. 판단기준 양호 : SAM 파일 접근권한에 Administrator, System 그룹만 모든 권한으로 설정되어 있는 경우 취약 : SAM 파일 접근권한에 Administrator, System 그룹 외 다른 그룹에 권한이 설정되어 있는 경우 점검..
[MSIT] W-29. DNS Zone Transfer 설정 [내부링크]
점검 목적 DNS Zone Transfer 차단 설정을 적용해 도메인 정보 외부 유출을 막기 위함. ※ Zone Transfer ? DNS 서버 간 특정 DNS Zone 에 대한 정보를 복사함. 마스터 DNS 서버와 슬레이브 DNS 서버 사이에서 수행됨. 마스터 DNS 서버의 경우 Zone 파일에 대한 권한을 가짐. 마스터 DNS 서버의 경우 Zone 파일에 대한 권한을 가짐. 즉, 허용된 슬레이브 DNS 에게 전달하기 위해 나머지는 차단하라는 설정! 보안 위협 DNS Zone Transfer 차단 미설정 시 DNS 서버에 저장되어 있는 도메인 정보가 외부 유출 위험 존재함. 유출 시 공격자가 해당 정보로 홈페이지 및 하위 URL 정보 탈취가 가능해짐. 판단기준 양호 : DNS 서비스를 사용하지 않음, ..
[MSIT] W-28. FTP 접근 제어 설정 [내부링크]
점검 목적 FTP 접속 시 특정 IP만 액세스를 허용하여 접속자를 제한함으로써 서비스 보안성을 강화시키기 위함. ※ FTP ? 인증 정보가 평문으로 전송되며 계정과 패스워드가 암호화되지 않은 채로 전송됨. 보안 위협 FTP 는 데이터나 모든 자격 증명을 평문으로 전송하므로 트래픽 스니핑을 통해 인증정보가 쉽게 노출됨. 판단기준 양호 : 특정 IP 에서만 FTP 서버에 접속하도록 접근제어 설정을 적용한 경우 취약 : 특정 IP 에서만 FTP 서버에 접속하도록 접근제어 설정을 적용하지 않은 경우 점검 방법 1. IIS 관리자(inetmgr)에서 FTP 사이트 접속 후 > FTP IP 주소 및 도메인 제한 > 허용 항목 및 거부 항목 설정 확인할 것. - 지정되지 않은 클라이언트에 대한 액세스가 허용이므로 취..
[MSIT] W-27. Anonymous FTP 금지 [내부링크]
점검 목적 FTP 익명 접속을 제한하여 중요 정보 유출 차단하기 위함. ※ FTP ? 인증 정보가 평문으로 전송되며 계정과 패스워드가 암호화되지 않은 채로 전송됨. 보안 위협 FTP 익명 접속 허용된 경우 핵심 기밀 자료나 내부 정보가 불법 유출될 가능성이 존재함. 판단기준 양호 : FTP 서비스를 사용하지 않음 or "익명 연결 허용"이 체크되어 있지 않음 취약 : FTP 서비스를 사용함 or "익명 연결 허용"이 체크되어 있음 점검 방법 1. IIS 관리자(inetmgr)에서 FTP 사이트 > FTP 인증 > "익명 인증" 확인할 것. - 익명 인증 상태가 사용이므로 취약 조치방안 1. IIS 관리자(inetmgr)에서 FTP 사이트 > FTP 인증 > "익명 인증" 을 "사용 안 함"으로 변경할 것.
[MSIT] W-26. FTP 디렉터리 접근권한 설정 [내부링크]
점검 목적 FTP 디렉터리 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 보안 사고를 방지하기 위함. ※ FTP ? 인증 정보가 평문으로 전송되며 계정과 패스워드가 암호화되지 않은 채로 전송됨. 보안 위협 FTP 홈 디렉터리에 과도한 권한 부여 시 임의의 사용자가 쓰기, 수정이 가능해 정보 유출 및 파일 위,변조 등의 위험이 존재함. 판단기준 양호 : FTP 홈 디렉터리에 Everyone 권한이 없는 경우 취약 : FTP 홈 디렉터리에 Everyone 권한이 있는 경우 점검 방법 1. FTP 홈 디렉터리 우클릭 후 > 속성 > 보안 > Everyone 권한을 확인할 것. - Everyone 권한 존재 시 취약 조치방안 1. FTP 홈 디렉터리 우클릭 후 > 속성 > 보안 > Everyone 권한을 ..
[MSIT] W-25. FTP 서비스 구동 점검 [내부링크]
점검 목적 취약한 프로토콜 FTP 의 사용을 제한하여 네트워크 보안성을 높이고자 함. ※ FTP ? 인증 정보가 평문으로 전송되며 계정과 패스워드가 암호화되지 않은 채로 전송됨. 보안 위협 공격자의 스니핑 공격을 통해 계정과 패스워드가 노출될 위험이 존재함. 판단기준 양호 : FTP 서비스를 사용하지 않는 경우 또는 SFTP 서비스를 사용하는 경우 취약 : FTP 서비스를 사용하는 경우 점검 방법 1. services.msc 에서 FTP Publishing Service 의 서비스 상태 확인할 것. Windows 2012 이상 버전의 경우 Microsoft FTP Service 상태 확인할 것. - FTP 서비스가 실행 중이므로 취약 2. 또는 IIS 관리자(inetmgr)를 통해 FTP 사이트 관리 확..
NetBIOS 란 뭘까 [내부링크]
MSIT 윈도우 항목 중에서 NetBIOS 바인딩 서비스 구동을 왜 점검해야하는지 알아보려고 한다. 먼저, NetBIOS란? 별개의 컴퓨터 상에 있는 어플리케이션들이 근거리 통신망 내에서 서로 통신할 수 있게 해주는 프로그램이다. 즉, NetBIOS를 이용해서 동일한 네트워크에 연결된 여러 대의 컴퓨터 간 통신을 가능하게 해준다. 주로 로컬 네트워크에서 컴퓨터 이름 해결을 위해 사용된다. NetBIOS의 기능에는? 네임, 세션, 데이터그램 3가지 서비스를 제공한다. 네임 - NetBIOS 이름을 등록하고 해제 세션 - 세션 지향 통신 서비스를 제공 (일대일 통신) 데이터그램 - 일방적으로 데이터를 전송하며 상대로부터 응답 확인하지 않음 (일대다 통신) "DHCP 서버의 NetBIOS 설정 사용" 란? D..
[MSIT] W-24. NetBIOS 바인딩 서비스 구동 점검 [내부링크]
점검 목적 NetBIOS와 TCP/IP 바인딩을 제거해서 TCP/IP를 거치게 되는 파일 공유서비스를 제공하지 못하도록 하고, 인터넷에서 공유자원에 대한 접근 시도를 방지하고자 함. ※ NetBIOS(Network Basic Input/Output System) 란? 별개의 컴퓨터상에 있는 애플리케이션들이 근거리통신망 내에서 서로 통신할 수 있게 해주는 프로그램. 보안 위협 인터넷에 직접 연결되어 있는 윈도우에서 NetBIOS와 TCP/IP 바인딩 활성화 시, 공격자가 네트워크 공유자원을 사용할 가능성이 존재함. 판단기준 양호 : TCP/IP와 NetBIOS 간의 바인딩이 제거되어 있는 경우 취약 : TCP/IP와 NetBIOS 간의 바인딩이 활성화된 경우 점검 방법 1. ncpa.cpl > 우클릭 후 ..
[보안뉴스] MS 애저 액티브 디렉토리 설정, 빙뱅 공격 발견돼.. [내부링크]
한줄 정리 MS 애저 액티브 디렉토리(AAD)의 멀티테넌트 설정을 악용한 ‘빙뱅(BingBang)’ 공격이 발견됐다. 해당 공격은 MS의 검색엔진 빙(Bing)의 검색 결과를 공격자의 의도대로 변경이 가능한 것으로 알려졌다. 핵심 키워드 # MS 애저 # 빙뱅 https://www.boannews.com/media/view.asp?idx=116733&page=2&kind=1 애저 액티브 디렉토리의 간편한 멀티테넌트 설정, 빙뱅 공격 가능케 해 IT 외신 레지스터에 의하면 MS 애저 액티브 디렉토리(AAD)의 설정을 잘못하고, 이것이 공격자들에게 발견되면 MS의 검색엔진인 빙의 검색 결과를 공격자가 주무를 수 있게 된다고 한다. AAD의 멀티 www.boannews.com
[MSIT] W-08. 하드디스크 기본 공유 제거 [내부링크]
점검 목적 Windows 에서 관리 목적으로 시스템 기본 공유 항목을 자동으로 생성함. 그렇기 때문에 하드디스크 기본 공유 제거해 시스템 정보 노출을 차단하기 위함. ※ 기본 공유? 관리목적으로 자동 생성되는 공유 드라이브. C$, D$, E$ 등 보안 위협 기본 공유를 통해 비인가자가 모든 시스템 자원에 접근 가능하고 공유 기능 경로를 이용해서 바이러스 침투 가능성이 존재함. 판단기준 양호 : 레지스트리 AutoShareServer가 0이고, 기본 공유가 존재하지 않음 취약 : 레지스트리 AutoShareServer가 1이고, 기본 공유가 존재함 점검 방법 1. fsmgmt.msc 에서 공유 폴더 내 공유 상태 확인할 것. - 기본 공유 C$ 가 존재하므로 취약 2. 또는 레지스트리 AutoShareS..
[MSIT] W-07. 공유 권한 및 사용자 그룹 설정 [내부링크]
점검 목적 디폴트 공유(C$, D$, Admin$, IPC$)를 제외한 공유 폴더에 Everyone 권한으로 설정되지 않도록 금지하여 익명 사용자 접근 차단하기 위함. 보안 위협 익명 사용자가 공유 폴더에 접근하여 내부 정보를 유출하거나 악성코드 감염의 우려가 존재함. 판단기준 양호 : 일반 공유 디렉터리 없음 or 공유 디렉터리 접근 권한에 Everyone 권한이 없음 취약 : 일반 공유 디렉터리 접근 권한에 Everyone 권한이 있음 점검 방법 1. fsmgmt.msc 에서 공유 폴더 내 "그룹 또는 사용자 이름" 확인할 것. - Everyone 권한 존재 시 취약 조치방안 1. Everyone 권한 제거 후, 필요한 계정에 권한 추가할 것. 2. 불필요한 공유가 존재한다면, 공유 중지할 것. 유의..
[MSIT] W-06. 관리자 그룹에 최소한의 사용자 포함 [내부링크]
점검 목적 관리자 그룹 내에 불필요한 계정 존재 여부를 점검해, 관리자 권한 사용자를 최소화하기 위함. 보안 위협 비인가자가 불필요한 계정의 관리자 권한으로 시스템에 접근하여 계정 정보를 유출하거나 환경 설정 파일, 디렉터리 및 파일 변조의 행위를 통한 가용성 공격 위협이 존재함. 판단기준 양호 : Administrators 그룹 구성원이 1명 이하 or 불필요한 관리자 계정이 존재하지 않음 취약 : Administrators 그룹에 불필요한 관리자 계정이 존재함 점검 방법 1. lusrmgr.msc의 Administrators 구성원 확인할 것. 2. 또는 cmd 에서 net 명령어로 그룹 구성원 확인할 것. 조치방안 1. 담당자와의 인터뷰를 통해서 불필요한 구성원 존재시 제거할 것. ① lusrmgr..
[보안뉴스] 북한, 금융보안인증 소프트웨어 보안 취약점 악용해.. [내부링크]
한줄 정리 북한이 국내외 주요기관의 PC 해킹 및 악성코드 유포 공격을 진행했다. 인터넷 뱅킹에 사용하는 금융보안인증 소프트웨어 보안 취약점을 악용해 주요기관 60여곳의 PC 210여대가 해킹되었다. 국정원에서는 신속한 금융보안인증 소프트웨어 보안 업데이트를 권고했다. 핵심 키워드 # 북한 # 악성코드 유포 https://www.boannews.com/media/view.asp?idx=115658&page=1&kind=1 북한, 금융보안인증 소프트웨어 취약점 악용 해킹... 보안 업데이트 권고 북한이 인터넷뱅킹에 사용하는 금융보안인증 소프트웨어 보안 취약점을 악용해 PC 해킹 및 악성코드 유포 등 해킹 공격을 벌인 사실이 국가정보원·경찰청·한국인터넷진흥원 등 유관기관에 의 www.boannews.com
윈도우 레지스트리 종류 [내부링크]
MSIT 윈도우 공부 중, 레지스트리 종류가 궁금해서 알아보려고 한다.! REG_BINARY : 원시 이진 데이터, 대부분 하드웨어 구성 요소 정보는 이진 데이터로 저장되며 레지스트리 편집기에서는 16진수 형식으로 표시됨. REG_DWORD : DWORD 값(32비트 정수)로 표시되는 데이터. 디바이스 드라이버 및 서비스에 대해 많은 매개 변수가 이 형식. REG_EXPAND_SZ : 가변 길이 데이터 문자열. 환경 변수가 포함됨. REG_MULTI_SZ : 여러 문자열. 여러 값이 포함된 값이 일반적. 공백, 쉼표, 기타표시로 구분됨. REG_SZ : 고정 길이 텍스트 문자열. REG_LINK : 유니코드 문자열. 심볼링크 REG_QWORD : QWORD 값(64비트 정수)로 표시되는 데이터.
[보안뉴스] 도요타 이탈리아 지부, 고객들의 개인정보 노출시켜.. [내부링크]
한줄 정리 대형 자동차 제조사 '도요타'의 이탈리아 지부에서 고객정보가 노출됐다. 해당 기업의 마케팅 클라우드 API와 크리덴셜이 실수로 노출됨으로써 1년 반의 기간동안 고객의 이름, 연락처 등 개인정보가 온라인 상에 노출된 것으로 추정된다. 핵심 키워드 # 개인정보 노출 https://www.boannews.com/media/view.asp?idx=115614&page=1&kind=1 도요타 이탈리아 지부에서 1년 반 동안 고객 정보 노출 IT 외신 사이버뉴스에 의하면 대형 자동차 제조사 도요타의 이탈리아 지부에서 마케팅 도구가 실수로 노출되면서 고객들이 피싱 공격의 표적이 될 수 있다고 한다. 온라인 상에 고객들의 개인정 www.boannews.com
[보안뉴스] 북한, 클라우드 마이닝 기법으로 암호화폐 채굴 시작해.. [내부링크]
한줄 정리 북한 해킹 단체 'APT43'이 '클라우드 마이닝' 기법을 사용해 암호화폐 채굴을 시작했다. 해당 단체는 클라우드 계정이나 웹사이트 도메인 구매를 통해 채굴 인프라를 확장하는데 주목하고 있는 것으로 분석된다. 핵심 키워드 # 클라우드 마이닝 # 암호화폐 채굴 용어 정리 클라우드 마이닝? 클라우드 시스템의 컴퓨팅 파워를 대여해서 공격자들의 코인 채굴에 이용하는 기법 https://www.boannews.com/media/view.asp?idx=115613&page=1&kind=1 북한의 해커들, 암호화폐 채굴 위해 ‘클라우드 채굴’ 기법 사용 IT 외신 사이버스쿱에 의하면 북한 해커들이 최근 새로운 기법을 활용해 암호화폐를 채굴하기 시작했다고 한다. 클라우드 시스템의 컴퓨팅 파워를 대여해서 자신..
[보안뉴스] 은행 앱을 사칭한 악성 앱이 발견돼.. [내부링크]
한줄 정리 은행 앱을 사칭한 악성 앱이 발견됐다. 해당 악성 앱은 스미싱 공격을 통해 유포되며 압축해제를 방해함으로써 백신 탐지를 회피하는 것으로 밝혀졌다. 이를 대응하기 위해, 백신 앱으로 검사하고 악성 앱을 삭제 조치 해야 한다. 핵심 키워드 # 스미싱 공격 # 악성 앱 https://www.boannews.com/media/view.asp?idx=115541&page=1&kind=1 은행 앱 사칭 악성 앱 발견, 압축해제 방해 등 기법 고도화 최근 은행 앱을 사칭한 악성 앱이 발견돼 사용자들의 각별한 주의가 요구된다. 해당 악성 앱은 백신의 악성코드 분석을 어렵게 하기 위해 압축해제가 정상적으로 진행되지 않도록 제작돼 유포 www.boannews.com
[보안뉴스] 이모텟 악성코드, MS 원노트를 통해 유포돼.. [내부링크]
한줄 정리 '이모텟(Emotet)' 악성코드가 MS 원노트(OneNote)를 통해 유포되고 있다. 해당 멀웨어는 스피어피싱을 기반으로 한 이메일을 통해 악성 스크립트 파일이 포함된 원노트의 열람을 유도하는 것으로 알려졌다. 핵심 키워드 # 이모텟(Emotet) # 멀웨어 # 원노트 https://www.boannews.com/media/view.asp?idx=115539&page=1&kind=1 이모텟 악성코드, MS 원노트로 유포중... 스피어피싱 이메일에 악용 최근 이모텟(Emotet) 악성코드가 마이크로소프트 원노트(OneNote)를 통해 유포 중인 것이 확인됐다. 해당 악성코드는 스피어피싱을 기반으로 시작하는 이메일을 통해 악성 스크립트 파일(JS 파일)이 www.boannews.com
[보안뉴스] 애플리케이션을 타깃으로 한 사이버 공격 증가해.. [내부링크]
한줄 정리 XSS, 브루트포스, SQL Injection 등 애플리케이션을 타깃으로 한 사이버 공격이 빠르게 증가하고 있다. 소프트웨어를 보다 안전하게 만들기 위해 모의해킹과 코드 스캔 같은 방법론 외에도 개발 생애주기 내에 보안을 강화하는 것이 필요하다. 핵심 키워드 # 애플리케이션 공격 # 시큐어코딩 https://www.boannews.com/media/view.asp?idx=115559&page=1&kind=1 애플리케이션 보안, 강조만 하지 말고 교육부터 시작하라 XSS, 브루트포스, SQL 주입 등 애플리케이션을 노리는 사이버 공격이 빠르게 증가하는 중이다. 애플리케이션에 대한 우리의 의존도가 끝도 없이 높아지는 때에 염려스러운 일이 아닐 수 없다. 수 www.boannews.com
[보안뉴스] 폐쇄된 브리치포럼, 다시 부활해.. [내부링크]
한줄 정리 지난 주 폐쇄됐던 해커들의 거래 장소 '브리치포럼(BreachForums)'이 부활했다. 어나니머스 해커는 'kkksecforum'이라는 다크웹 포럼을 개설한 것으로 밝혀졌다. 핵심 키워드 # 다크웹 # 브리치포럼 # kkksecforum https://www.boannews.com/media/view.asp?idx=115568&page=2&kind=1 어나니머스 출신 해커, 폐쇄된 브리치포럼 부활시켜 IT 외신 사이버뉴스에 의하면 불과 지난 주 폐쇄됐던 정보 유출 전문 해커들의 거래 장소인 브리치포럼(BreachForums)이 부활했다고 한다. 피라타(Pirata)라고 하는 한 인물이 트위터에 kkksecforum이라는 www.boannews.com
[MSIT] W-05. 해독 가능한 암호화를 사용하여 암호 저장 [내부링크]
점검 목적 ※ '해독 가능한 암호화를 사용하여 암호 저장' 정책이란? : OS에서 ID, PW 입력받아 인증 시 OS는 패스워드를 해독 가능한 방식으로 저장하는 것 해당 정책이 설정 시, 사용자 계정 비밀번호가 해독 가능한 텍스트 형태로 저장되는 것을 차단하기 위함. 보안 위협 노출된 계정에 대해 공격자가 암호 복호화 공격으로 패스워드를 획득하여 네트워크 리소스에 접근가능함. 판단기준 양호 : 해당 정책이 "사용 안 함"으로 되어 있는 경우 취약 : 해당 정책이 "사용"으로 되어 있는 경우 점검 방법 1. "해독 가능한 암호화를 사용하여 암호 저장" 설정 확인할 것. - "사용"으로 설정되어 있으므로 취약 2. 보안 정책 설정파일에서 ClearTextPassword 확인할 것. - ClearTextPas..
[MSIT] W-04. 계정 잠금 임계값 설정 [내부링크]
점검 목적 로그인 실패 임계값 미설정 시 반복되는 로그인 시도에 대한 차단이 이루어지지 않았을 때 공격자의 자동화 유추 공격을 차단하기 위함. 보안 위협 임계값 미설정 시 자동화 유추 공격, 패스워드 추측 공격, 무작위 대입 공격에 취약해 계정 패스워드 유출 위험이 존재함. 판단기준 양호 : 계정 잠금 임계값이 5이하의 값으로 설정 취약 : 계정 잠금 임계값이 0이나 6이상의 값으로 설정 점검 방법 1. "계정 잠금 임계값" 설정 확인할 것. - 0 으로 설정 시, 계정이 잠기지 않으므로 취약 2. 보안 정책 설정파일에서 LockoutBadCount 확인할 것. - LockoutBadCount 값이 0 으로 설정되어 있으므로 취약 조치방안 1. "계정 잠금 임계값" 정책에서 0이 아닌 5회 이하로 설정할..
[MSIT] W-03. 불필요한 계정 제거 [내부링크]
점검 목적 시스템 내 불필요한 계정 및 의심스러운 계정 존재 여부를 점검하기 위함 보안 위협 시스템 설치 시 추가되는 기본 계정 및 시스템 사용이 만료된 사용자 계정, 패스워드 장기간 미변경 계정 등 존재 시 비인가자의 시스템 접근 권한 획득의 위협이 존재함. 판단기준 양호 : 불필요한 계정 존재하지 않음 취약 : 불필요한 계정이 존재함 점검 방법 1. cmd 창에서 net user [계정명] 명령으로 최근 로그인 기록, 최종 패스워드 변경일 확인할 것. - 시스템 사용이 만료된 계정인지, 패스워드를 장기간 변경하지 않았는지 확인 조치방안 1. 담당자와의 인터뷰를 통해 불필요한 계정 존재시, 계정 제거 혹은 "계정 사용 안 함" 설정 체크할 것. 2. cmd 에서 net user 명령어 활용할 것. ne..
[MSIT] W-02. Guest 계정 비활성화 [내부링크]
점검 목적 시스템에 임시로 액세스하는 Guest 계정을 사용해 비인가자의 접근을 차단하기 위함. 보안 위협 Guest 계정은 삭제가 불가능한 built-in 계정으로 비 인가자의 접근 및 정보 유출 등 보안 위험이 따름. 권한이 없는 사용자가 시스템에 익명으로 접근이 가능함. 판단기준 양호 : Guest 계정 비활성화인 경우 취약 : Guest 계정 활성화인 경우 점검 방법 1. "계정 사용 안 함" 속성 확인할 것. - "계정 사용 안 함" 체크 해제 되어 있으므로 취약 조치방안 1. "계정 사용 안 함" 체크해줄 것.
[MSIT] W-01. Administrator 계정 이름 변경 또는 보안성 강화 [내부링크]
점검 목적 윈도우즈 기본 관리자 계정인 Administrator의 계정을 통해 악의적인 패스워드 추측 공격을 차단하고자 계정명 변경 또는 보안을 고려한 비밀번호 설정 여부를 점검하기 위함. 보안 위협 윈도우즈 최상위 관리자 계정 Administrator는 기본적으로 삭제 및 잠금이 불가능하여 주요 공격 목표가 됨. 변경하지 않을 시 공격자가 패스워드 추측 공격으로 인해 권한 상승의 위험이 존재함. 관리자를 유인하여 침입자의 액세스를 허용하는 악성코드 실행할 우려가 존재함. 판단기준 양호 : Administrator Default 계정 이름 변경 or 강화된 비밀번호 적용 경우 or Administrator Default 계정 비활성화인 경우 취약 : Administrator Default 계정 이름 변경..
[보안뉴스] 랜섬웨어 단체 다크파워, 생소한 프로그래밍 언어로 공격해.. [내부링크]
한줄 정리 랜섬웨어 단체 '다크파워(Dark Power)' 가 한달 만에 10개의 조직을 침해했다. 공격 단체는 생소한 프로그래밍 언어인 '님(Nim)'을 사용하며 방어 솔루션을 우회하기 위해 활용하는 것으로 알려졌다. 핵심 키워드 # 다크파워 # 님(Nim) https://www.boannews.com/media/view.asp?idx=115538&page=1&kind=1 새로 나타난 다크파워 랜섬웨어, 한 달 만에 10개 조직 침해 등장한 지 얼마 되지 않는 한 해킹 단체가 무서운 속도로 피해자를 늘리고 있다. 한 달도 되지 않는 시간에 최소 10개 조직을 침해했다고 한다. 보안 업체 트렐릭스(Trellix)는 이들을 다크파워(Dark www.boannews.com
[보안뉴스] FBI, 브리치포럼 일망타진해.. [내부링크]
한줄 정리 FBI가 정보 유출 사건 관련 범죄자들이 활동하는 '브리치포럼(BreachForums)'을 폐쇄시켰다. 해커들이 훔친 데이터를 거래하던 가장 주요한 장소였으며 이로 인해 다크웹 일대에 혼란이 주어진 것으로 알려졌다. 핵심 키워드 # 브리치포럼 # FBI # 다크웹 https://www.boannews.com/media/view.asp?idx=115521&page=1&kind=1 FBI의 브리치포럼 일망타진으로 다크웹 일대 혼란 IT 외신 사이버스쿱에 의하면 얼마 전 FBI가 정보 유출 사건과 관련된 범죄자들이 활동하는 곳인 브리치포럼(BreachForums)을 폐쇄시킨 것 때문에 지하 범죄 시장에 적잖은 혼란이 발생하고 있다고 www.boannews.com
[보안뉴스] 북한 라자루스, 국내 공인 인증 솔루션 취약점 악용해.. [내부링크]
한줄 정리 북한 라자루스가 국내에서 제작한 Non-ActiveX 공동인증서 프로그램인 'MagicLine4NX'에서 RCE 취약점을 악용했다. 공격자는 svchost.exe 프로세스에 인젝션 후, 악성 프로그램 다운로드 및 실행가능한 것으로 밝혀졌다. 핵심 키워드 # RCE(원격 실행 취약점) # 라자루스 # svchost.exe 용어 정리 svchost.exe : 모든 서비스를 하나의 프로세스로 그룹화해서 리소스 사용량을 줄이는 역할을 함. https://www.boannews.com/media/view.asp?idx=115500&page=1&kind=1 공인 인증 솔루션 ‘MagicLine4NX’ 취약점... 북한 라자루스의 악용 흔적 발견 국내 보안기업인 드림시큐리티 사에서 제작한 Non-Activ..
[보안뉴스] CHM 이용한 APT 공격 발견돼.. [내부링크]
한줄 정리 CHM(Compiled HTML Help File)을 이용한 APT 공격이 발견됐다. 해당 공격은 파워쉘 형태의 백도어가 실행되고 지속성 유지를 위해 자동 실행 레지스트리 Run키 등록 행위를 수행하는 것으로 밝혀졌다. 핵심 키워드 # APT 공격 # CHM # 지속성 유지 용어 정리 CHM(Compiled HTML Help File) : HTML 형식의 도움말 파일로, HTML 파일을 내부에 포함하기 때문에 악의적인 스크립트 코드를 HTML 에 삽입 가능함 https://www.boannews.com/media/view.asp?idx=115473&page=2&kind=1 김수키 해커조직, 약력 양식 파일로 위장한 악성코드 유포 북한 해커조직 김수키가 특정 대학 교수를 사칭해 악성코드를 유포하..
[보안뉴스] 김수키, 대학 교수 사칭해 악성코드 유포.. [내부링크]
한줄 정리 북한 해커조직 김수키가 특정 대학 교수를 사칭해 악성코드를 유포하고 있다. 악성 VBA 매크로가 포함된 워드 문서를 이메일을 통해 유포하며 파일 열람 시 웹브라우저 정보를 수집하는 것으로 알려졌다. 핵심 키워드 # 김수키 # 깃허브 API https://www.boannews.com/media/view.asp?idx=115473&page=2&kind=1 김수키 해커조직, 약력 양식 파일로 위장한 악성코드 유포 북한 해커조직 김수키가 특정 대학 교수를 사칭해 악성코드를 유포하고 있는 것으로 드러났다. 약력 양식 내용으로 위장한 악성 워드 문서를 이메일을 통해 유포하고 있는 것. 확인된 워드 문서 www.boannews.com
[보안뉴스] 국내 대형 뷰티 카페에서 개인정보 100만 건 노출돼.. [내부링크]
한줄 정리 국내 대형 뷰티 콘텐츠 카페에서 약 100만 명의 개인정보가 유출됐다. 아무런 보호 장치 없이 회원들의 개인정보가 인터넷에 공개되었으며 인증 관련 토큰도 100만 개 이상 노출된 것으로 밝혀졌다. 핵심 키워드 # 개인정보 유출 https://www.boannews.com/media/view.asp?idx=115472&page=2&kind=1 한국의 대형 뷰티 플랫폼 파우더룸, 개인정보 DB 방치해 노출됐었다 보안 블로그 시큐리티어페어즈에 의하면 한국의 뷰티 콘텐츠 카페인 파우더룸(PowderRoom)에서 약 100만 명의 개인정보가 유출됐다고 한다. 파우더룸의 회원은 350만 명이라고 하는데, 이런 사용자 www.boannews.com
CentOS8 failed to download metadata for repo 'appstream' 에러 [내부링크]
yum 명령어로 설치 시, 아래와 같은 에러를 확인할 수 있다. 찾아보니, CentOS EoS로 인해 CentOS Mirror site가 vault로 전환되어 Mirror site를 찾기 못해서 발생하는 문제이다. 해당 명령어를 통해 기존 Mirror site를 vault로 전환하여 사용하도록 해야 한다. # sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-* # sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-* @@@ EoS(End of Service) : 서비스 혹은 판매가 중단된 상태 EoL(End of ..
CentOS 8 ifconfig 명령어 안될 때 [내부링크]
CentOS 8에서 ifconfig 명령어 입력 시, ens33이 아닌 lo 만 출력됨. ip addr 명령으로 확인해봐도 ens33 ip 주소 확인이 불가함. ifup ens33 명령어 입력 시, connection activation failed no suitable device found for this connection 문구만 뜬다. # nmcil networking on # ifconfig 입력 시 ip 주소가 뜬 것을 확인할 수 있다. @@@ nmcli - Linux Network Manager를 제어하는 명령어 @ 참고자료 https://www.lesstif.com/system-admin/linux-network-manager-nmcli-77955300.html Linux Network M..
[보안뉴스] MS 아웃룩 제로데이 취약점 발견돼.. [내부링크]
한줄 정리 모든 버전의 윈도우용 아웃룩(Outlook)에서 제로데이 취약점이 발견됐다. 해당 취약점은 사용자와의 상호작용이 필요 없는 즉, 메일을 열람하지 않아도 발생하는 치명적인 EoP(권한상승)인 것으로 알려졌다. 핵심 키워드 # 아웃룩 # 제로데이 취약점 # EoP(Elevation of Privilege) https://www.boannews.com/media/view.asp?idx=115278&page=1&kind=1 MS 아웃룩 제로데이 취약점 패치 발표... 메일 읽지 않아도 탈취 가능 러시아 정보총국(GRU) 연계 해킹 그룹이 악용한 것으로 추정되는 아웃룩(Outlook) 제로데이 취약점(CVE-2023-23397) 패치가 발표됐다. 마이크로소프트는 보안을 유지하려면 모든 고객이 ‘윈도우용..
[보안뉴스] 커널웨어(Kernelware), 21GB 데이터 훔쳐.. [내부링크]
한줄 정리 '커널웨어(Kernelware)' 공격자가 보안 업체 '아크로니스(Acronis)'를 공격했다. 침해된 서버는 트러블 슈팅과 원격 고객 지원에 사용되었던 것으로 21GB의 데이터를 훔친 것으로 밝혀졌다. 핵심 키워드 # 커널웨어 # 데이터 유출 https://www.boannews.com/media/view.asp?idx=115083&page=1&kind=1 보안 업체 아크로니스 침투한 해커, 21GB 데이터 유출시켜 보안 외신 핵리드에 의하면 최근 에이서(Acer)라는 컴퓨터 제조사와 HDFC라는 인도 은행을 해킹한 인물이 보안 업체 아크로니스(Acronis)까지 침해하는 데 성공했다고 한다. 공격자는 커널웨어(Kernelw www.boannews.com
[보안뉴스] 미국 대형 통신사, 9백만 고객 정보 유출돼.. [내부링크]
한줄 정리 미국 대형 통신사 'AT&T’가 서드파티 침해를 통해 개인정보 유출 사고를 당했다. 공격의 종류나 공격자는 아직 확인되지 않았지만 사용자 이름, 통신 상품 등에 대한 9백만 고객들의 정보가 유출된 것으로 확인됐다. 핵심 키워드 # 개인정보 유출 # 서드파티 침해 https://www.boannews.com/media/view.asp?idx=115082&page=1&kind=1 AT&T, 서드파티 침해 통해 9백만 고객 정보 유출됐다고 경고 IT 외신 사이버뉴스에 의하면 미국의 대형 통신사인 AT&T가 데이터 침해 사고에 연루된 것으로 보인다고 한다. AT&T 측은 최근 고객들에게 보내는 서신을 통해 파트너사 한 곳에서 침해 사고가 발 www.boannews.com
[보안뉴스] 중국 스마트 인터콤 제품, 13개 취약점이 발견돼.. [내부링크]
한줄 정리 중국 스마트 인터콤 제품 '아쿠복스(Akuvox)' 에서 다량의 취약점이 발견됐다. 총 13개의 취약점이 발견되었으며 약한 암호화 알고리즘, 하드코딩 된 암호화 키, 민감 정보 누출의 취약점이 존재하는 것으로 밝혀졌다. 핵심 키워드 # 약한 암호화 알고리즘 # 하드코딩 된 암호화 키 # 민감 정보 누출 https://www.boannews.com/media/view.asp?idx=115079&page=1&kind=1 중국의 아쿠복스 스마트 인터콤에서 10개 넘는 취약점 발견돼 보안 외신 시큐리티위크에 의하면 아쿠복스(Akuvox)라는 중국 기업이 만드는 스마트 인터콤 제품에서 다량의 취약점이 발굴됐다고 한다. 이 중에는 사용자를 염탐할 수 있게 해 주는 심각한 취약 www.boannews.com
[보안뉴스] 악성 플러그인으로 페이스북 계정 탈취 당해.. [내부링크]
한줄 정리 대규모 '페이스북(Facebook)' 계정 탈취 사건이 발생했다. 공격자는 ‘크롬 챗GPT 브라우저’ 플러그인을 활용하여 기업용 계정을 포함한 수만 개의 계정들을 확보한 것으로 추측된다. 핵심 키워드 # 챗GPT # 계정 탈취 # 개인정보 유출 https://www.boannews.com/media/view.asp?idx=115085&page=1&kind=1 챗GPT 테마로 삼은 악성 플러그인, 페이스북 계정 탈취해 대규모 페이스북 계정 탈취 사건이 발생했다. 공격자들은 크롬 챗GPT 브라우저 플러그인들을 활용하여 이번 주 초까지 공격을 실시했으며 이 과정을 통해 기업용 계정을 포함해 수천~수만 개의 www.boannews.com
[보안뉴스] 이모텟 멀웨어, 스팸메일 첨부파일 형태로 유포되고 있어.. [내부링크]
한줄 정리 금융정보 탈취 멀웨어 ‘이모텟(Emotet)’이 스팸메일의 첨부파일 형태로 유포되고 있다. 해당 파일 실행 시 공격자가 지정해 놓은 명령제어(C&C) 서버에 접속하여 악성 dll 파일을 다운로드하는 것으로 알려졌다. 핵심 키워드 # 멀웨어 # 스팸메일 # 악성 dll 파일 https://www.boannews.com/media/view.asp?idx=115069&page=1&kind=1 금융정보 탈취 전문 악성코드 이모텟, 스팸메일 첨부파일로 재유포 이모텟(Emotet) 악성코드가 3개월의 휴식기를 지나 다시 유포되기 시작했다. 이모텟 악성코드는 2014년 처음 발견된 금융정보 탈취 악성코드로서 지금까지 꾸준히 유포 중인데, 최근 스팸메일의 첨 www.boannews.com
[보안뉴스] 소닉월 게이트웨이 장비가 중국에 공격당해.. [내부링크]
한줄 정리 '소닉월(SonicWall)'의 게이트웨이 장비가 중국 사이버 스파이에 공격을 당했다. 크리덴셜을 훔치는 멀웨어가 공격에 활용되었으며 피해 장비에는 다양한 CVE 취약점들이 발견되었다. 핵심 키워드 # 멀웨어 # CVE https://www.boannews.com/media/view.asp?idx=115050&page=1&kind=1 중국의 사이버 스파이들, 패치되지 않은 소닉월 장비 노려 IT 외신 사이버뉴스에 의하면 중국의 스파이들로 의심되는 해커들이 소닉월(SonicWall)에서 만든 게이트웨이 장비들 중 최신화가 되지 않은 것들을 계속해서 노려 왔다고 한다. 공격에 활용된 것은 www.boannews.com
[보안뉴스] 아이스파이어 랜섬웨어, 파일 공유 소프트웨어 이용해.. [내부링크]
한줄 정리 '아이스파이어(IceFire)’ 랜섬웨어가 리눅스 기반 시스템과 네트워크에 공격을 시도했다. 최초 침투를 위해 파일 공유 소프트웨어 '아스페라파스펙스(Aspera Faspex)'의 제로데이 취약점을 이용한 것으로 밝혀졌다. 핵심 키워드 # 랜섬웨어 # 제로데이 취약점 https://www.boannews.com/media/view.asp?idx=115048&page=1&kind=1 아이스파이어 랜섬웨어, IBM의 아스페라파스펙스 익스플로잇 해 보안 외신 해커뉴스에 의하면 아이스파이어(IceFire)라는 랜섬웨어가 리눅스를 기반으로 한 시스템과 네트워크를 노리기 시작했다고 한다. 원래는 윈도 기반 시스템들을 감염시키던 멀웨어였다. www.boannews.com
[보안뉴스] 멜록스 랜섬웨어, MS-SQL 서버 대상으로 유포되고 있어.. [내부링크]
한줄 정리 '멜록스(Mallox)’ 랜섬웨어가 취약한 MS-SQL 서버를 대상으로 유포되고 있다. DirectPlay 관련 프로그램으로 위장하여 레지스트리 삭제, 복구 비활성화, SQL 관련 서비스 및 프로세스 종료 명령 등을 수행하는 것으로 밝혀졌다. 핵심 키워드 # 랜섬웨어 # 멜록스 # DirectPlay https://www.boannews.com/media/view.asp?idx=115068&page=1&kind=1 멜록스 랜섬웨어, DirectPlay 관련 프로그램으로 위장해 국내 유포중 멜록스(Mallox) 랜섬웨어가 DirectPlay 관련 프로그램으로 위장해 유포되고 있는 것이 확인됐다. 해당 랜섬웨어는 취약한 MS-SQL 서버를 대상으로 유포되고 있다. www.boannews.com
[보안뉴스] 오픈시 NFT 시장에 XS 검색 취약점 발견돼.. [내부링크]
한줄 정리 유명 NFT 시장 ‘오픈시(OpenSea)’에서 'XS(cross-site search) 검색 취약점'이 발견됐다. 해당 취약점은 간단한 검색엔진 조작으로 지갑 정보에 접근해 개인정보 탈취가 가능한 것으로 알려졌다. 핵심 키워드 # XS 검색 취약점 용어 정리 XS-Search 공격? 다른 오리진(출처가 다른)의 비밀 정보를 SOP 우회하여 쿼리 형태로 한 글자씩 유출하는 형태의 공격. SOP(Same-Origin-Policy)? 동일 출처 정책이란 뜻으로 동일한 출처의 리소스만 상호작용을 허용하는 정책. 예를 들면, A 출처에서 온 문서가 B 출처에서 가져온 리소스를 상호작용하는 것을 차단하는 보안 정책 https://www.boannews.com/media/view.asp?idx=11504..
[보안뉴스] GlobeImposter 랜섬웨어, RDP 통해 확산되고 있어.. [내부링크]
한줄 정리 ‘글로브임포스터(GlobeImposter) 랜섬웨어’가 확산되고 있다. 구체적인 경로는 확인되지 않았지만 스캐닝을 통해 RDP(Remote Desktop Protocol)가 활성화된 시스템에 유포하는 것으로 추정된다. 대응방안으로 RDP를 미사용 시 비활성하고, RDP 서비스 사용 시에는 계정 비밀번호를 복잡한 형태로 사용하고 주기적인 변경으로 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 백신을 최신 버전으로 업데이트하여야 한다. 핵심 키워드 # 랜섬웨어 # GlobeImposter # RDP https://www.boannews.com/media/view.asp?idx=114832&page=1&kind=1 GlobeImposter 랜섬웨어, RDP 통해 재확산 중... Medusa..
[보안뉴스] 다크웹 카딩 서비스, 신용카드 정보 공개해.. [내부링크]
한줄 정리 다크 웹 유명 카딩 서비스 '바이든캐시' 에서 신용카드 정보 200만 건 이상이 공개됐다. 카드 소유자 이름, 은행 세부 정보, 카드 번호, 거주지 주소, 이메일 주소 등이 공개된 것으로 밝혀졌다. 핵심 키워드 # 신용카드 정보 노출 # 바이든캐시 https://www.boannews.com/media/view.asp?idx=114825&page=3&kind=1 다크웹의 카딩 시장 바이든캐시, 신용카드 정보 200만 건 이상 공개해 보안 외신 핵리드에 의하면 다크웹의 유명 카딩 서비스인 바이든캐시(BidenCash)에서 신용카드 정보 200만 건 이상이 공개됐다고 한다. 서비스 개시 1주년을 기념하기 위한 행사였다. 카드 소유자의 www.boannews.com
[보안뉴스] 중국 해커, 백도어로 탐지 장치 회피해.. [내부링크]
한줄 정리 중국 사이버 공격 단체 '무스탕판다'가 새로운 백도어를 개발했다. 'MQsTTang' 멀웨어는 완전히 새롭게 제작되어 탐지 엔진으로 발견하기 어렵도록 하였으며 계속해서 공격을 진행하고 있는 것으로 알려졌다. 핵심 키워드 # 백도어 # MQsTTang 멀웨어 https://www.boannews.com/media/view.asp?idx=114830&page=1&kind=1 중국 해커들, 새로운 백도어 사용해 탐지 장치 회피 IT 외신 블리핑컴퓨터에 의하면 중국의 사이버 공격 단체인 무스탕판다(Mustang Panda)가 새로운 백도어를 개발해 사용하고 있는 모습이 발견됐다고 한다. 이 백도어에는 MQsTTang이라는 이름이 붙었 www.boannews.com
[보안뉴스] 온라인 여행사 취약점, 사용자 계정 탈취 공격 가능하게 ... [내부링크]
한줄 정리 온라인 여행 에이전시 '부킹닷컴(Booking.com)'에서 위험 취약점들이 다수 발견되었다. 페이스북과 연계된 오오스(OAuth) 구축 과정에서 생성된 취약점은 익스플로잇 성공 시 회원들의 계정이 탈취당할 가능성이 있는 것으로 판단된다. 핵심 키워드 # OAuth https://www.boannews.com/media/view.asp?idx=114829&page=1&kind=1 온라인 여행사 부킹닷컴의 취약점, 사용자 계정 탈취 공격 가능하게 해 보안 외신 시큐리티위크에 의하면 온라인 여행 에이전시인 부킹닷컴(Booking.com)에서 위험한 취약점들이 다수 발견되어 패치됐다고 한다. 취약점을 익스플로잇 하는 데 성공할 경우 부킹닷컴 회 www.boannews.com
[보안뉴스] WH 스미스, 사이버 공격을 당해... [내부링크]
한줄 정리 영국의 잡지, 신문 등 간식거리 체인 WH 스미스(WH Smith)가 사이버 공격에 피해를 입었다. 공격자는 기업 내부 정보에 일부 접근이 가능했으며 전/현 근무자들의 개인정보가 노출된 것으로 판단된다. 핵심 키워드 # 사이버 공격 # 개인정보 노출 https://www.boannews.com/media/view.asp?idx=114828&page=1&kind=1 영국 기차역마다 있는 WH스미스, 사이버 공격으로 피해 입어 IT 외신 레지스터에 의하면 영국의 잡지, 신문, 사탕 및 간식거리 체인인 WH스미스(WH Smith)가 최근 사이버 공격에 당했다고 한다. 공격자들은 기업 내부 정보 일부에 접근하는 데 성공했으며, 이 www.boannews.com
[보안뉴스] 중국 해커조직 '샤오차잉' 악용한 취약점 공격코드 [내부링크]
한줄 정리 중국 해커조직 샤오치잉(Dawn Cavalry)이 텔레그램을 통해 공유한 여러 취약점 공격코드가 여전히 보안위협으로 남았다. 해당 공격코드는 RCE 취약점, 서버와 관련된 취약점들이 발견되었으며 최신 업데이트를 수행한 보안장비(IPS/WAF)에서 일부 공격이 탐지되지 않은 것으로 밝혀졌다. 핵심 키워드 # 샤오치잉 # 텔레그램 # RCE 용어 정리 텔레그램? 인터넷 모바일 메신저로 큰 절차와 개인정보 없이 가입과 설치가 가능하여 보안에 뛰어난 강점을 보이며 비밀대화의 경우 암호화되어 상대방 이외의 사람은 확인이 불가능하도록 하며 타이머 설정도 가능함 https://www.boannews.com/media/view.asp?idx=114625&page=1&kind=1 中 해커조직 ‘샤오치잉’ 악용..
[보안뉴스] 피싱 사이트 직접 제작 및 운영. 검찰 사칭 보이스피싱! [내부링크]
한줄 정리 피싱 사이트를 직접 제작 및 운영하는 검찰 사칭 보이스피싱이 발견됐다. 사이트 내 비회원 인증 방법만 가능하게 하여 주민등록번호 입력을 유도하고 해당 정보 그대로 이미지에 포함시켜 실제 구속영장처럼 속인 것으로 밝혀졌다. 또한 'Trojan.Android.Banker' 앱을 다운로드하게 하여 연락처, 갤러리, 문자 내역, 통화 기록을 탈취하고 실시간 문자 확인, 명령제어 또한 가능한 것으로 밝혀졌다. 핵심 키워드 # 피싱 사이트 # 악성 앱 # 연락처, 갤러리, 문자, 통화 기록 탈취 https://www.boannews.com/media/view.asp?idx=113974&page=5&kind=1 더욱 교묘해지는 검찰 사칭 보이스피싱 주의보! 피싱 사이트 직접 제작·운영 최근 음성 전화로 개..
[보안뉴스] 총기 거래 사이트, 개인정보 56만 5천 개 유출 돼.. [내부링크]
한줄 정리 총기류 거래 사이트 '건옥션'이 사이버 침해 공격을 당했다. 50만 명이 넘는 각종 신상 정보와 계정 비밀번호까지 평문으로 노출된 것으로 알려졌다. 핵심 키워드 # 사이버 공격 # 계정 유출 https://www.boannews.com/media/view.asp?idx=114827&page=1&kind=1 건옥션, 해킹 당해 56만 5천 개 계정 유출돼 보안 블로그 시큐리티어페어즈에 의하면 총기류를 거래하는 사이트인 건옥션(GunAution.com)이 사이버 공격자들의 침해 공격에 당했고, 이 때문에 수많은 계정 정보가 유출됐다고 한다. 계정에는 www.boannews.com
[보안뉴스] MS마저 속인 피싱 공격자들, 여러 겹으로 덫을 놓은 것으로.. [내부링크]
한줄 정리 해킹 그룹이 마이크로소프트 클라우드 파트너 프로그램(MCPP)을 통해 공인 퍼블리셔 지위를 획득하여 계정 탈취, 데이터 유출, BEC 공격을 실행하였다. MS Azure 가 제공하는 푸른색 안전 표시로 악성 오오스(OAuth) 앱을 공식 인증 받은 것처럼 꾸며 피해자 계정에 대한 접근 권한을 광범위하게 얻어낸 것으로 밝혀졌다. 방어 대책으로 악성 애플리케이션을 탐지하는 솔루션 구축 및 OAuth 관련 수법, 동의 피싱 공격에 대한 교육을 실시하고 서드파티 OAuth 앱의 권한 요구 시 허용해주지 말아야하며 누가 서명을 했건 과도한 권한 요구 시 응하지 말아야 합니다. 핵심 키워드 # MCPP # 계정 탈취 # OAuth # 동의 피싱 공격 용어 정리 BEC 공격? 진짜인 첫 하는 공격으로서, ..
[보안뉴스] 새로운 POS 멀웨어 프릴렉스, NFC 기반 신용카드 노리는 것으로... [내부링크]
한줄 정리 POS 멀웨어가 최근 업그레이드를 통해 NFC 기반 신용카드를 노리는 사건이 발생했다. '프릴렉스(Prilex)'로 명명한 멀웨어는 신용카드를 POS 단말기에 삽입 또는 비접촉식으로 이뤄지는 거래에서 카드사로 전송되는 정보를 가로채는 기능을 가진 것으로 알려졌다. 핵심 키워드 # 프릴렉스 # POS 멀웨어 https://www.boannews.com/media/view.asp?idx=113920&page=1&kind=1 새로운 POS 멀웨어 프릴렉스, NFC 기반 신용카드들도 노려 보안 블로그 시큐리티어페어즈에 의하면 프릴렉스(Prilex)라는 POS 멀웨어가 최근 업그레이드를 통해 NFC 기반 신용카드들도 노릴 수 있게 되었다고 한다. 보안 업체 카스퍼스키(Kaspersky)가 발표한 www..
[보안뉴스] 유명인사 타깃 SNS 계정 해킹 이어지고 있어 [내부링크]
한줄 정리 대만 중화항공이 사이버 공격을 받아 정치, 경제인, 영화배우, 모델 등 개인정보가 유출되는 사건이 발생했다. 유명인사를 표적으로 하거나 유명인사인 것처럼 위장해 타인을 공격하는 '웨일링 공격'으로 해킹 후 트위터에 금전적 요구를 하는 내용을 게시하는 것으로 알려졌다. 핵심 키워드 # 웨일링 공격 # 스피어 피싱 # 개인정보 유출 용어 정리 웨일링 공격이란, 스피어 피싱의 한 종류로 CEO, CFO 등 기업 내 고위 경영진, 정치인이나 연예인 등 대중에 잘 알려지거나 영향력있는 유명인사를 사칭하고 이들의 이름을 빌어 대중에게 미끼를 던져 중요 정보나 금전적 갈취를 하는 공격 스피어 피싱은 사회공학적 공격 기법으로 인간 상호 작용의 신뢰를 바탕으로 사람을 속여 정상적인 보안 절차를 무너뜨리기 위한..
[보안뉴스] 원격제어 악성코드, 사설 HTS 프로그램 주의 [내부링크]
한줄 정리 사설 홈트레이딩 시스템(HTS)을 통해 콰사르랫 악성코드가 유포되고 있다. 콰사르랫은 닷넷으로 개발된 오픈소스 RAT 멀웨어로 공격자가 감염 시스템에 대한 제어 권한을 획득해 정보를 탈취하거나 악의적인 행위를 수행할 수 있으며 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능을 수행하는 것으로 밝혀졌다. 최근 공격자들이 멀웨어 설치 용도를 PC 제어 및 피해자 개인정보 탈취를 목적으로 하는 것으로 알려졌다. 핵심 키워드 # HTS(Home Trading System) # 콰사르랫(Quasar RAT) # RAT 악성코드 용어 정리 HTS(Home Trading System) 란, 개인 투자자가 객장에 나가지 않고, 집이나 사무실에서 PC를 통해 주식 거래를 할 수 있는 프로..
네이버 블로그
티스토리
커뮤니티