보안이벤트대응

[운영제체 취약점 이해 및 대응]윈도우 시스템의 이해 및 보안

D4tai1 2019. 9. 2.

운영체제를 업데이트 해주지 않는다면?

KISA에서는 상위버전의 윈도우를 사용하라고 권장합니다.

 

그러면 바로 서비스 종료된 OS를 안 쓸 수 있을까요?

 

수십억을 들여서 Windows7에서 만들어놨는데

Windows10으로 변경할 수 없겠죠?

 

변경했을 때 솔루션이 운영체제랑 충돌할 수도 있구요.

 

지하철에서 쓰는 프로그램만 해도

현재 XP를 사용하는 경우도 있습니다.

 

종료된 OS에 대한 취약점은

전부 제로데이겠죠?

 


 

1) 윈도우 아키텍처

▶ 윈도우 시스템은 크게 사용자 모드 (User mode)와 커널 모드(Kernel mode)로 구분됩니다.
▶  운영체제의 중심에 Kernel이 위치합니다.
▶  Kernel은 인터럽트(Interupt) 처리, 프로세스 관리, 메모리 관리, 파일 시스템 관리 등

운영체제의 기본 기능을 제공하는 핵심입니다.

▶  커널 모드는 기본적으로 일반 사용자가 접근할 수 없는 영역
▶ 윈도우 커널 관련 취약점 꾸준히 발표
예) CVE-2018-1038, CVE-2018-0897

 

[1] 사용자모드

 

[2] 커널모드

 

클라우드는 하이퍼바이저가 없습니다.

필요한 기능만 사용하지요.

도커가 그렇게 구성되어 있죠.

 

커널분야를 공부하면 몸 값이 비싸고,

이유는.. 어렵기 때문이죠.

굉장히 deep 합니다.

 

 


스크립트를 알아야하는 이유는 무엇일까요?

 

공격자들이 공격해서 얻고 싶은 것

먼저 cmd창을 획득하려고 합니다.

 

계정을 알고 권한상승을 하려고 하겠죠?

그러나 명령어를 모른다면?

help를 칠까요?

 

모냥빠지기때문에

명령어는 알아둡시다.

 


 

3) 계정 및 패스워드

[1] 최소 암호 사용 기간이 있는 이유?

a -> b -> a

비밀번호로 a를 쓰다가

바꾸라고해서 b로 바꿨다가

다시 a로 바꾸면 의미가

바꾸는 의미가 없겠죠?

 

그래서 최소암호사용기간을

설정합니다.

 

[2] 해독 가능한 암호화를 사용하여 암호저장에서

사용안함으로 설정되어있는데

이것은 해시를 사용해서 복호화할 수 없도록

한다는 말입니다.

 

레인보우테이블을

해시에 salt를 추가하는 방법이 있지요.

 

모든 방어기법은

막고 차단하는 기법을 사용하지는 않습니다.

시간을 지연시키는 방법도 사용합니다.

 

암호와 관련된 공격은 막기가 함들고

시간을 지연시키는 방법입니다.

brute force attack의 경우도

비밀번호가 길고 복잡한경우 오래걸리겠죠?

 

공격자가 들이는 시간과 노력을 들여서

뚫으려고 하겠지만

뚫기위해 드는 cost(비용)이 높다면

공격자는 뚫으려고하지 않겠죠?

 

그래서

책에서는 brute force attack을 막기위해서

복잡하게 설정한다고 할 수도 있지만

실제로는 지연시켜서 공격자가

10년의 시간을 들여서 뚫었다고 하더라도

10만원의 이득도 볼 수 없다면

공격을 하지 않을 것이라고 예상됩니다.

 

※ 웹사이트에서는 패스워드에 해시를 걸어서 저장합니다.

검증할 경우 이전 비밀번호의 해시와 비교해서 같으면 다시 입력받을 수 있습니다.


 

엘런튜링이 2차세계대전에서 한 일은?

메세지를 도청해서 복호화하고

복호화할 수 있다는 말은 암호화도 할 수 있다는 말입니다.

암호화해서 적군한테 한 곳으로 모이라고 합니다.

거기에 빵 터트렸었죠.

 

튜링테스트란?

인공지능인지 증명하기 위해서는 가려진상태로 대화를 했을 때 사람인지 컴퓨터인지 증명할 수 없을 때

즉, 카톡으로 대화를 했는데 나중에 보니까 AI가 한 것을 말합니다.


암호학을 악용한 사례?

보안을 하려고 만들어 놓았고

복호화를 최대한 못하도록 하려고 합니다.

랜섬웨어가 퍼지면?

복호화를 하려고 노력을 할 것입니다.

그렇다면 그 알고리즘은 앞으로 사용하기 힘들거구요.

 

공격자는 복호화를 해도 좋고

안해도 좋습니다.

 

결국은 보안하려고 복호화하기 힘들도록 만들었지만?

결국 보안하기위해서 복호화하기위한 노력을 하고 있습니다.

참 아이러니한 상황이죠..?

 


4) 윈도우의 인증요소

SAM은 파일로도 있지만

LSA, SAM, SRM은 전부 프로세스로 돌아갑니다.

 

[1] LSA(Local Security Authority)
▶ 모든 계정의 로그인에 대한 검증, 시스템 자원 및 파일 등에 대한

접근 권한 검사, 로컬, 원격 모두에 해당,

이름과 SID(Security Identifier)를 매칭하며, SRM이 생성한 감사 로그 기록


[2]  SAM(Security Account Manager) 

▶ 윈도우에서 패스워드 암호화하여 보관하는 파일의 이름과 동일

아이디와 패스워드가 해시화해서 들어가있습니다.

 

※ 예전에는 Windows 패스워드를 잊었을 때

SAM파일을 계정정보 아는 Windows의

SAM파일로 교체해서 로그인이 가능했습니다.


[3] SRM(Security Reference Monitor) 

▶ SAM이 사용자의 계정과 패스워드 일치 여부를 확인하여 알리면 사용자에게 SID(Security Identifier) 부여, SID에 기반하여 파일이나 디렉터리에 대한 접근(access) 허용 여부 결정, 이에 대한 감사 메시지 생성

 

처음에 SID를 부여한 이후에는 SID로 접근권한에 대해 확인합니다.

로그를 보면 SID가 어떤 파일에 접근을 했다 실패했다는 로그가 있겠죠?

즉, 로그를 보려면 SID를 알아야합니다.

 

 

서버에서 로그인 할 때

Ctrl+Alt+Delete를 누르죠?

 

https://www.zdnet.co.kr/view/?no=20170921152618

 

빌 게이츠 "ctrl+alt+del가 가장 후회스럽다"

“ctrl+alt+del가 가장 후회스럽다.”마이크로소프트(MS)를 통해 PC 시대를 화려하게 열었던 빌 게이츠. 그에게 가장 되돌리고 싶은 결정은 뭘까?빌 게이츠는 20일(현지시간) 블룸버그 글로벌 비즈니스 포럼에...

www.zdnet.co.kr

빌게이츠는 후회스럽다고 했습니다.

빌게이츠는 "1개나 2개의 버튼을 사용했으면 좋았겠다"라는

후회했지요.

 

로그인 하기 전에 왜

Ctrl+Alt+Delete을 누르도록 했을까요?

사람만 누를 수 있도록 한 것이지요.

 

사람인지 인증하려고..

봇은 누를 수 없으니

 

 


 

액티브디렉터리

서버가 계정을 가지고 있습니다.

작업그룹에 보면 같은 그룹이면

정책설정을 통합적으로 할 수 있습니다.

 

로컬인증을 사용하지 않는 이유는

정책이 바뀔 경우 매 번

2000대면 2000대를 전부 설정할 수 없기 때문에

 

 

도메인인증을 사용해서

정책서버에서 권한을 걸어서 줍니다.

 

그러나 네트워크를 통해서 패킷을 전송하기 때문에

도메인인증이 로컬인증보다는 위협에 노출될 수 있겠죠?

 


레지스트리가 하는 일은?

설정정보

 

악성코드가 레지스트리를 건드는 이유?

자동실행되도록하기 위해서..

reg edit등으로 배치파일로 만들어놓습니다.

 

 

 

용어관련 꿀팁!!

최신 용어를 많이 접하려면

컨퍼런스를 가서

모르는 단어가 있다면 싹 적어서 옵니다.

 

외국에서 발표할 때 꿀팁!!

만약 외국에서 발표할 일이 있다면?

발표는 어떻게 했다고 하더라도

Q&A시간에는 질문을 들어도

못 알아들으니까..?ㅎㅎ

시간관계 상 여기서 종료하고,

자세한 것은 이메일로 보내주시면

답변해드리겠습니다.

라고 하면 좋답니다.

댓글