Time for Security

 KITRI의 침해대응 과정도 결국 취업을 하기 위한 과정이기 때문에 오늘은 취업에 도움될 자기소개서를 쓰는 법에 대한 교육을 받았습니다.

 교재는 따로 있으나 직접 만든 교재이기 때문에 공개하지는 못해요. 

 이 교육 내용도 물론 쉬운 내용은 아니지만 2달 동안 맨날 보안과 관련된 내용만 수업듣다보니 쉬어가는 느낌이 들었습니다.

 딱 중간에 알맞게 들어있는 것 같다는 생각을 했어요.

 그리고 요즘 검색을 해보니 kt, LG CNS 등 많은 곳에서 신입직원을 뽑더라구요.

 그 생각을 하니 더 알맞게 짜여진 커리큘럼인 것 같아요.

 사실 자소서라는 게 쓰는 법을 모르지는 않지만 생각처럼 잘 안되는 부분인 것 같습니다.

 하지만 언어영역 인강과 비슷한 것 같아요. 이 자소서도 말이에요.

 언어영역 인강은 수리영역 인강과는 다르게 딱히 완벽한 공식이 있어 매번 정확하게 적용되는 것은 아니지만 자꾸 듣다보면 성적이 향상되잖아요? 

 이 침해대응 전문가 양성 과정을 듣기 위해서도 자소서를 써봤었는데, 2달만에 다시 자소서를 써보게 되네요.

 한발짝 더 취업 전선에 가까워지고 있는 느낌을 받는 하루였습니다. 

 오늘은 간단히 레지스터에 대해 알아보는 시간을 가지고, 스택 자료 구조를 공부하는 시간을 가졌습니다.

 가벼운 이론뿐인줄 알고, 레지스터를 소홀히 했더니 스택 자료를 배울 때 포인터로 등장을 하네요.

 스택 구조나 큐 구조에 대해서는 알고 있었지만 자료가 차례대로 나왔다 빠져나가는 과정을 자세히 다뤄본 적은 없었기 때문에 헷갈렸습니다.

 한 달 뒤에 시스템 해킹을 자세히 배우게 될거라 오늘은 맛만 봤는데요.

 학교에서 수업으로 들을 때도 어려웠었는데, 오늘도 역시나 였습니다.

 스택은 지역변수를 저장하거나 매개변수를 전달하고, 임시데이터 백업 및 함수 호출과 복귀 정보를 저장하는 역할을 하는 자료 구조 입니다.

 그나마 학교에서 2학년 때 자료 구조를 수강했었던 게 조금 도움이 된 것 같아요. 

 그리고 내일부터 이틀간은 입사지원, 자기소개, 면접 등의 취업과 관련된 교육을 수강하게 돼요.

 원래는 없었던 교육 과정인데, 취업률을 상승시키기 위해 학원에서 새롭게 넣은 교육 과정이라고 해요.

 교육을 다닌 지 딱 2개월째 되는 날이니 만큼 벌써부터 취업에 대한 생각이 조금씩 올라오고 있어요.

 열심히 교육을 듣고 노하우를 전수 받아 봐야겠습니다. 

 41일차에 접어들게 된 교육날이었습니다.

 오늘은 간단한 war game 몇개와 시스템 해킹 개론에 대해 학습하였습니다.

 SQL Injection이나 파일 업로드 취약점에 관해서는 몇 번 다뤄본 적이 있는데요.

 오늘의 war game은 wireshark를 이용해 패킷을 분석해야하는 종류였습니다.

 저번 주와 저저번주에 계속해서 wireshark를 공부했기 때문에 엄청 난감한 문제까지는 아니였습니다.

 war game이란 비유를 하자면 방탈출 게임을 하는 것과 비슷한 느낌입니다.

 보안에 대한 전문적인 지식도 필요하지만 직관적인 센스와 창의적인 생각도 필요하기 때문이죠. 

 지난 주에 이어 네트워크 해킹을 어제까지 배웠는데요.

 사실 우리가 배워볼 수 있는 네트워크 해킹은 전부 같은 네트워크 상이란 전제조건이 들어가기 때문에 신기하고 재미있긴 하지만 실제로는 불가능하고 어려운 공격이었습니다.

 그래서 오늘 오후 시간에는 강사님께서 시스템 해킹에 대한 개론을 설명해주셨어요.

 진법변환과 논리연산, 엔디언, C언어, 어셈블리어 등 많은 사전 지식이 필요한 공격이란 것을 알았답니다.

 내일 나갈 진도 때문인지 오늘은 C언어에 대한 간단한 문제도 풀어보았어요.

 1학년때 다뤄보고 그 뒤로는 사용해 본적이 없는 언어라 새로운 느낌이 들었습니다.

 몇 문제 풀어보니 금방 감도 되찾고, 몰입할 수 있었어요.

 왠지 1학년때로 돌아간 느낌이 들었답니다. 

 다시 시스템 해킹으로 넘어가서 요즘 대표적인 취약점은 4가지라고 해요.

 스택 오버 플로우, 포맷 스트링 버그, 레이스 컨디션 공격, 해제된 메모리 참조.

 저는 앞에 3가지는 들어보고 몇 번 실습해본 경험이 있지만 해제된 메모리 참조는 처음들어보는 공격이었습니다.

 내일까지 오늘의 강사님과 함께하고 다음주는 파이썬 수업이 있는데요.

 파이썬이 끝나고 강사님과 다시 만나 시스템 해킹을 다루게 될 것이라고 합니다.

 벌써 기대가 되는 수업입니다. 

 오늘은 40일차를 맞이하는 한 주의 시작 월요일이었습니다.

 벌써 40대의 숫자로 넘어와버렸네요. 

 7월 13일부터 시작했으니 어느 덧 2달 정도가 지난 것 같습니다.

 오늘은 저번 주에 이어 네트워크 해킹 공격에 대해 교육 받았습니다.

 강사님은 그대로이시구, 공개는 할 수 없지만 잘 만들어진 PPT로 강의해주시기 때문에 교재는 없답니다.

 수업시간에 shodan에 대해 잠시 알려주셨었는데요.

 shodan은 간단히 말해, IoT 검색엔진입니다.

 세계 최초로 만들어졌다고 하는 이 엔진은 보안에 취약한 IoT 기기들을 검색할 수 있어 '어둠의 구글'이라고 부른다고해요.

 수년에 걸친 코딩 작업으로 완성되었다고 합니다.

 다음으로는 DDoS의 개념에 대해 학습하고 실습해보는 시간을 가졌습니다.

 DDoS는 꼭 보안 쪽의 공부를 하고 있지 않아도 한번쯤은 들어봤을 법한 용어일텐데요.

 Distributed Denial of Service의 약자로 여러 대의 공격자를 분산 배치시켜 동시에 작동하게 함으로 특정 사이트를 공격하는 해킹 방식의 하나입니다.

 SYN Flooding, UDP Flooding, ICMP Flooding, Ping of Death, Teardrop, LAND 등 많은 방식의 공격이 있는데요.

 수업 시간에는 이 중에서 몇가지만 골라 실습을 해보았습니다.

 SYN Flooding 공격으로 직접 구성되어진 사이트를 공격해 접속을 마비시켜보았는데요.

 실제 손으로 해보고, 눈으로 보게 되니 머릿속에 더 잘 들어올 수 있었던 것 같습니다.

 3일의 연휴가 끝난 후라 더욱 힘든 일주일이 될 것만 같습니다. 

 오늘도 어제와 마찬가지로 네트워크 해킹 공격에 대해 교육 받았습니다.

 중간자 공격과 터널링 및 SSL Strip을 실습했습니다.

 어제부터 실습을 했던 내용이 학교를 다니며 혼자 실습해 본 내용이기도 한데요.

 제가 실습했던 방식과 조금씩 달랐습니다.

 같은 공격이지만 사용하는 도구나 방식이 여러가지 있었어요.

 오늘까지 기본적인 네트워크 해킹에 대한 개념을 잡은 것 같습니다.

 내일은 개원기념일?로 학원이 쉬게 되었네요.

 황금같은 주말이 찾아왔어요. 하하.. 

 푹 쉬고 충전하여 다음주에 있을 교육에 더 집중할 수 있도록 해야겠습니다.

 안녕하세요.

 이번 포스팅은 Sniffing에 대한 내용입니다.

 네트워크 해킹의 가장 기본적인 형태라고 볼 수 있는 공격인데요.

 이번 실습에서는 랜카드로 들어오는 모든 신호를 감시해 다른 이의 패킷을 관찰해볼거에요.

 그저 감시하는 공격이기 때문에 수동적인 공격에 속합니다.

 실습으로 들어가기 전에 windows 7은 희생자이며, kali는 공격자입니다.

 그리고 무작정 실습을 진행하고, 따라하기 보다는 상황을 알면 더 이해가 쉽겠죠? 

 이번 Sniffing 공격의 개요를 미리 말씀드리면, 사용자가 사이트에 접속해서 로그인하는 패킷을 wireshark로 잡아 ID와 비밀번호를 알아내는 실습입니다.

 그럼 바로 실습으로 들어가보도록 하겠습니다. 

 우선 kali에서 wireshark를 실행시켜줍니다.

 아까 전에 말씀드렸듯이 kali는 공격자입니다.

 패킷을 훔쳐보기 위해 wireshark를 동작시켜주는거에요.

 wireshark를 실행시킨 후, 인터페이스를 골라 들어가줍니다.

 저는 eth0이네요.

 kali에서 인터넷이 제대로 되고 있다면 이처럼 패킷이 잡힐 겁니다.

 만약 잡히지 않는다면 인터넷 설정을 다시 해주어야해요.

 다음은 windows 7을 실행시켜줍니다.

 물론, windows 7은 회생자입니다.

 제가 다니고 있는 kitri 홈페이지로 접속해보겠습니다.

 로그인을 할 수 있는 화면으로 이동해주세요.

 ID는 kitri, 비밀번호도 kitri로 접속해보겠습니다.

 물론, 존재하지 않는 ID이기 때문에 위와 같은 화면이 나올거에요.

 하지만 실습을 진행하는데는 문제되지 않습니다.

 그 이유는 kitri 홈페이지에서 이 ID가 잘못됐다는 것을 판정하기 위해서는 서버로 우리가 입력한 ID와 비밀번호를 보냈기 때문이죠.

 따라서, 우리는 이 지어낸 ID와 비밀번호의 패킷을 훔쳐볼 수 있게되는 거에요. 

 그럼 다시 kali로 돌아와볼까요?

 kali는 계속해서 Sniffing중이기 때문에 정지 버튼을 눌러 멈춰줍니다.

 실수로 정지 버튼 누르는 사진을 미쳐 찍지 못했는데요.

 좌측 상단의 File 밑에 파란 상어 지느러미의 오른쪽 정사각형 모양이 정지 버튼입니다.

 위에 필터링 창에 http를 입력해줍니다.

 다른 패킷은 볼 필요없이 http 프로토콜만 관찰하면 되기 때문이죠.

 그러고나선 특정 문자열을 검색해줄건데요.

 이 wireshark내에서도 Ctrl + F 가 작동됩니다.

 패킷들에서 찾고 싶은 내용을 빨리 찾을 수 있는 기능이에요.

 제가 찾을 내용은 post 메소드이기 때문에 post라고 입력해줍니다.

 처음에는 String이 아니라 Display Filter로 설정되어 있을텐데요.

 제가 찾을 post 메소드라는 내용은 Info라는 컬럼에 속해있기 때문에 String으로 변환해주는거에요.

 그리고 Find 버튼을 눌러 검색해주다보면 Info쪽에 login과 관련된 내용을 찾아보실 수 있을거에요.

 아마 windows 7에서 별다른 행동없이 바로 kitri 홈페이지로 들어오셔서 로그인을 하셨다면 4~5번 안에 찾으실 수 있을거에요.

 여기까지 잘 따라오셨다면 usrid에 kitri, pwd에 kitri가 입력된 것을 확인하실 수 있을거에요.

 길다면 길고, 짧다면 짧은 실습이 끝났는데요.

 몇가지 더 알아보고 마치도록 하겠습니다.

 오늘 한 실습은 http라고 시작되는 사이트에서 밖에 되지 않습니다.

 https라고 시작되는 사이트의 경우 보안이 적용되어 있기 때문에 이와 같은 Sniffing 방법으로는 패킷을 볼 수 없습니다.

 요즘 대부분의 사이트는 https로 바뀌어가는 추세입니다.

 그리고 또 하나, 오늘 실습이 가능하기 위해서는 같은 네트워크에 있는 패킷만 캡쳐하실 수 있습니다.

 서로 다른 네트워크라면 패킷을 캡쳐하실 수 없어요.

 wireshark에서 아무런 설정없이 다른 컴퓨터의 패킷을 볼 수 있었던 이유는 바로 wireshark는 프로그램 실행시 자동으로 promiscuous mode로 전환되기 때문이랍니다.

 여기까지 오늘의 Sniffing 포스팅이었습니다. 

 ※ 실습은 꼭 가상머신에서 진행해주셔야됩니다. 악용의 경우 본 블로그에서는 절대 책임지지 않습니다.

 이번 시간은 네트워크 패킷 분석의 마지막 시간이었습니다. 

 오늘은 3가지의 패킷을 분석해봤는데요.

 어제와 마찬가지로 랜섬웨어에 대한 분석이었습니다.

 어제부터 분석한 랜섬웨어는 전부 이메일의 첨부파일을 통해 감염되는 형태였습니다.

 대놓고 zip파일 안에 vbs파일이 존재하는 랜섬웨어도 있었지만 영수증 pdf파일 안에 vbs가 숨겨져있는 랜섬웨어도 있었습니다.

 그리고 Wireshark외에 Network Miner라는 프로그램도 사용해봤는데요.

 이번에 공부하면서 분석한 패킷들은 딱 정해진 IP만 공격자로 의심되는 상황이었지만 실제의 경우에는 수 많은 IP중 어떤 IP가 공격자인지 알 수 없기 때문에 패킷 분석이 더 어려워지게 됩니다.

 그럴 경우 이 Network Miner라는 프로그램을 사용하면 Wireshark보다 더 쉽고 빠르게 의심되는 패킷을 찾을 수 있습니다. 

 구글에서 network forensic network miner라고 검색하시면 http://www.netresec.com라는 사이트를 찾아보실 수 있는데요.

 유료버전은 900달러나 하지만 무료버전도 있기 때문에 무료버전을 이용해보시면 좋을 것 같습니다.

 이처럼 이 날까지 대략 7일간 네트워크 패킷을 분석해보았는데요.

 이제는 조금 어떻게 분석 방향을 잡아야할지 감이 조금 잡히는 것 같습니다.

 이번주는 독특하게 강의 단위가 나뉘는데요. 

 이번주 수요일부터 다음주 수요일까지는 네트워크 해킹 공격에 대해 나갈 예정입니다.

 안녕하세요!

 이번 포스팅에서는 wireshark라는 프로그램을 좀 더 편리하게 사용하기 위한 간단한 설정 방법을 소개해드리도록 하겠습니다.

 지금까지 있는 그대로의 wireshark를 사용하셨다면 이번 포스팅으로 좀 더 편하게 사용하실 수 있게 되실거에요.

 그럼 바로 시작해보도록 할까요? 

 우선 첫번째로 할 일은 위의 사진처럼 'View' 탭에서 'Time Display Format' 부분의 'Date and Time of Day'와 'Seconds'에 체크해주시는 거에요.

 이렇게 체크를 해주시면 wireshark에서 패킷을 보실때 시간이 확실하게 초 단위까지 표시된답니다.

 특정 패킷이 언제 들어왔나 확인할 때 굉장히 유용한 기능입니다. 

 다음은 'Edit' 탭에서 'Preferences'를 선택해주세요.

 그러고 난 뒤, 위의 화면처럼 'Columns'를 선택해주세요.

 눈치채신 분들도 계시겠지만 이 부분은 wireshark에서 패킷 분석을 할 때 보이는 항목들의 종류입니다.

 새로운 컬럼을 생성하려면 하단의 + 표시를 눌러주시면 됩니다.

 새롭게 생성해주시고, 'Number'라고 되어 있는 부분을 더블클릭 해주시게 되면 어떤 항목을 표시할 것인지 선택하는 창이 나옵니다.

 캡처를 하려 했으나 이상하게도 창이 계속 꺼져 캡쳐하지는 못했지만 아마 다들 잘 하실 수 있을거에요. 

 여기서 출발지 포트를 보다 쉽게 보기 위해 Src port (unresolved)를 선택해줍니다.

 참고로 resolved 옵션과 unresolved 옵션이 있는데, resolved는 포트 번호를 풀어서 써주는 기능이에요.

 예를 들어 80번이면 http로 나오게 됩니다.

 하지만 패킷에 따라 번호를 다른 것으로 바꿀수도 있고, 알아보기에 더 불편할 수도 있으므로 unresolved 옵션을 사용해줍니다.

 위와 같은 방식으로 도착지 포트도 추가해줍니다.

 보시면 저는 출발지 포트는 title을 sport로, 도착지 포트는 dport로 설정해주었습니다.

 title은 패킷 분석시에 컬럼의 이름으로 보여지는 부분입니다.

 자신이 알아볼 수 있도록 설정해주시면 됩니다.

 여기까지 해주신 다음 자리를 이동시켜줘야 알아보기 편해요.

 위에서 부터 차례대로 놓여지기 때문에 지금의 상황이라면 출발지와 도착지 포트만 맨 끝에 나오게 되어 더 불편할 수 있어요.

 위의 화면처럼 출발지 포트는 출발지 주소 다음에, 도착지 포트는 도착지 주소 다음에 위치해주시는 게 가장 최고의 선택입니다. 

 한 가지 설정을 더 해줄건데요.

 GET 메소드를 사용해주는 패킷으로 이동해 'Host'부분을 우클릭해줍니다.

 여러 보기가 보이실텐데요.

 그 중에서 'Apply as Column'을 눌러주면 컬럼에 host가 추가돼요.

 'Edit' 탭의 'Preferences'를 눌러 컬럼을 확인해보시면 host가 추가됨을 보실 수 있습니다.

 이처럼 설정해주시면 위의 화면처럼 더 알아보기 쉽고 깔끔해진 wireshark를 만나보실 수 있을거에요.

 여기까지 wireshark의 간단한 설정이었습니다.

 wireshark를 이용하다보면 정말 많은 패킷을 보게 되는데요.

 오늘과 같은 설정으로 더 빠르고, 편하게 패킷 분석을 하실 수 있을거에요. 

 오늘 교육을 끝으로 순수 교육 시간이 60일 남게 되었습니다.

 벌써 1/3의 교육 시간이 끝나고, 순수 2달 정도의 시간이 남게 되었습니다.

 아직 많이 배우지 못한 것 같은 데 1/3이 끝났다니 믿어지지 않네요... 

 남은 교육 시간은 더 분발하도록 해야겠습니다.

 오늘은 저번 주에 이어 네트워크 패킷을 분석하였습니다.

 이번 패킷 분석은 조금 특별했는데요.

 그 이유는 요즘 핫한 랜섬웨어에 대한 분석이었기 때문입니다. 

 저희가 분석을 한 상황은 이메일을 통해 zip파일을 받게 되고 그 안의 vbs파일을 이용해 랜섬웨어를 다운받아 실행시키는 방식이었습니다.

 네트워크 공격에 대해 아직 자세히 아는 것이 아니라 완전히 이해하는 것은 힘들었지만 어느 정도 진행 방식은 이해할 수 있었습니다.

 그리고 이 패킷 속에서 랜섬웨어를 추출해 가상머신에서 실행도 시켜보았는데요.

 말로만 듣고, 동영상으로만 봤었던 랜섬웨어를 실제로 접해볼 수 있어서 신기했습니다. 

 내일은 일단 마지막 패킷 분석 시간이 될 것 같습니다.

▶ 이 블로그의 [Wireshark] 사용자 편의를 위한 설정 보러가기

 오늘은 한 주의 마지막이자 한 달의 시작인 하루였습니다.

 뭔가 엄청난 의미가 있었던 날 같네요...

 인터넷을 보니 해리포터 시리즈 속에서의 마지막 날과 같은 날이네요. 하하.. 

 오늘도 Wireshark를 통한 패킷 분석을 하였습니다.

 수요일부터 금요일인 오늘까지 계속 패킷 분석을 했는데요.

 전체적인 느낌을 말씀드리자면 '문제적 남자'라는 프로그램에 나오는 어려운 문제를 푸는 것과 비슷해요. 

 처음엔 어떻게 접근해야 할까 하고 난감하지만 시간이 흐르고 지날수록 방향이 잡히는 느낌이랄까요.

 3일동안 분석한 패킷의 양이 그렇게 많은 것은 아니지만 패킷 분석의 기초를 다질 수 있었던 시간인 것 같습니다.

 다음 주는 네트워크 공격에 대한 교육을 나갈 것 같은데요.

 그 교육 후에 한 번 더 패킷 분석을 하게 된다면 확실히 더 도움이 될 것 같습니다.

 시원해지려던 날씨가 다시 더워지고 있는데요.

 주말에 휴식을 통해 체력을 좀 회복하고 와야겠습니다.