2021.08.26

에스피오나지 공격 : 첩보활동 
제로트러스트 보안 모델 : 경계없는 보안 이라고 하는 제로트러스트 보안 모델은 IT 시스템의 설계 및 구현에 대한 접근 방식을 설명한다. 제로 트러스트 접근 방식은 위치에 관계없이 장치의 ID 및 무결성을 확인하고 사용자 인증과 함께 장치 ID 및 장치 상태에 대한 신뢰도를 기반으로 어플리케이션 및 서비스에 대한 액세스를 제공하는 등 상호 인증을 옹호한다. 즉, 엄격한 ID 확인 프로세스를 기반으로 하는 네트워크 보안 모델을 말한다. 

DNS : 
호스트의 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그반대의 변환을 수행할 수 있도록 하기위해 개발
네임서버 : 도메인 이름과 IP의 상호변환을 가능하게 해주는 서버, 인터넷에서 도메인 이름 서비스를 제공하는 서버
클라우드 컴퓨팅 : 인터넷기반의 컴퓨팅을 말한다. 인터넷 상의 가상화 된 서버에 프로그램을 두고 필요할 때마다 컴퓨터나 스마트폰 등에 불러와 사용하는 서비스

크리덴셜 스터핑 (Credential Stuffing) :
다른 곳에서 유출된 ID와 PW를 자신이 필요로 하는 웹사이트에 대입해 로그인 해보는 공격 방식

VPN (virtual private network) : 
안전한 가상통로를 생성해 사용자의 인터넷을 다른 네트워크 혹은 기기와 안전하게 연결될 수 있도록 돕는 것.
인터넷 상에 데이터가 노출되지 않도록 지켜주는 '비밀성'과 데이터가 변형되지 않는 '완전성'을 보장한다.

콜로니얼 사태 : 
송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 대형 랜섬웨어 사건

엔드포인트 (위협)탐지 및 대응(EDR,Endpoint Detection and Response) :
컴퓨터와 모바일, 서버 등 단말(Endpoint)에서 발생하는 악성행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해확산을 막는 솔루션이다. 
주로 악성코드, 랜섬웨어, 바이러스, 정보유출 차단목적으로 사용되나 ‘제로데이 공격(Zero day Exploit)’ 대응에 효과적인 것으로 알려져 있다.
▶ 작동원리
엔드포인트 : 다양한 정보 수집 수집정보 EDR 서버로 전송, 분석 악성프로세스 여부 판단
=> 악성코드로 판명된 정보 패턴을 EDR 엔진에 업데이트 사내 모든 EDR 에이전트에 적용 : 외부 클라우드 EDR 서버에서 적용되므로 제로데이 공격과 같은 최초의 악성행위에 대응 가능 
▶안티바이러스 : 시그니처 기반 / EDR : 행위기반

침해지표 (IOC, Indicator Of Compromise) :
여러 침해사고의 흔적들을 일정한 포맷으로 정리 해 놓은 문서 또는 파일

야라(YARA) :
악성코드의 시그니쳐를 이용해서 악성 코드의 종류들을 식별하고 분류하는 목적으로 사용하는 도구

이상행위 탐지엔진 (XBA) :
이상행위를 탐지하고 이를 통해 악성코드 없는 위협에 대응하기 위한 포트폴리오

패킷 응집(각 전송과 관련된 오버헤드를 줄이기 위해 여러 패킷을 단일 전송 단위 로 결합하는 프로세스): 
프레임 단편화 IP 단편화 (데이터그램의 크기를 MTU이하로 작게 만들어 전송할 수 있도록 한다)
MTU(최대 전송 단위)는 헤더와 데이터를 포함하여 네트워크 계층 프로토콜에서 지원되는 최대 패킷 크기(바이트)를 의미.

페가수스(Pegasus) :
페가수스는, 스마트폰 기기 사용자 몰래 설치된 뒤(문자 메시지 속에 포함된 악성 Link를 클릭하게 되면 사용자 몰래 설치가 됨), 기기에 대한 최고권한을 몰래 획득하며, 원격 C&C서버로부터 명령을 받아(SMS문자를 통해서도 명령을 받습니다), 기기 사용자에 대한 데이터 수집과 감시 기능을 가지고 있는 스파이웨어(Spyware) 즉 스파이앱(Spy App) 입니다.
위협 행위자가 사용자 상호 작용 없이 장치를 감염시킬 수 있다는 점에서 제로 클릭 

가상 이동 통신망 사업자(MVNO, Mobile Virtual Network Operator) :
물리적인 이동통신망을 보유하지 않고 이동 통신망 사업자로부터 임차해 자사 브랜드로 통신 서비스를 제공하는 사업자다.

유심(USIM) :
‘범용 가입자 식별 모듈(Universal Subscriber Identity Module)’의 약자로서, 집적회로(IC) 칩을 내장한 엄지 손톱만한 크기의 카드를 말한다. 휴대폰과 관련된 사용자의 모든 가입정보가 보관되어 있는 저장 카드라 할 수 있다.

류크 : 
대규모 공개된 정보를 가지고 대상으로 하는 것으로 알려진 일종의 랜섬웨어 입니다
표적공격 : 정교한 표적공격인 APT 공격은 침투, 검색, 수집 및 유출의 4단계로 실행
표적공격 :https://www.dailysecu.com/news/articleView.html?idxno=3060

이모텟 : 
지난 2014년 은행을 노린 트로이목마 악성코드로 처음 발견됐다. 이모텟을 운영하는 해커는 송장, 배송 안내, 코로나19 관련 정보 등을 사칭한 메일을 이용해 주로 금융권에 악성코드를 유포했다. 이후 감염된 기기를 대상으로 데이터 탈취, 랜섬웨어 공격 등을 수행

트릭봇 : 
좀비PC와 같은 봇의 일종. 핵심역할을하는 코어봇과 서브봇으로 나뉜다. 코어 봇은 내부전파 기능의 역할을 담당. 서브봇은 정보 유출 기능을 수행
이모텟 & 트릭봇 :https://blog.naver.com/PostView.nhn?blogId=skinfosec2000&logNo=221404780811&categoryNo=0&parentCategoryNo=0&viewDate=&currentPage=1&postListTopCurrentPage=1&from=postView

Exploit Public-Facing Application : 공개된 어플리케이션 공격
조직 내 인터넷에 공개된 서비스에 취약점 존재 시 악용 가능
주로 웹, 데이터베이스 서버에 대한 공격 대다수
https://collaborate.mitre.org/attackics/index.php/Technique/T0819

2017년에 확장자 명을 변경하지 않는 랜섬웨어로 알려졌던 ‘Hermes(헤르메스)’ : 
류크랜섬웨어와 소스코드 공유 

RDP 서버 :
원격 데스크톱 프로토콜(Remote Desktop Protocol, 줄여서 RDP)은 마이크로소프트사가 개발한 사유 프로토콜로, 다른 컴퓨터에 그래픽 사용자 인터페이스를 제공하는 프로토콜이다

Cookie :
사용자가 어떠한 웹사이트를 방문할 경우 그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일
쿠키는 웹 사이트에 접속할 때 생성되는 정보를 담은 임시 파일
쿠키는 서버가 사용자의 웹 브라우저에 저장하는 데이터를 말합니다.
쿠키의 데이터 형태는 Key 와 Value로 구성되고 String 형태로 이루어져 있습니다

Session :
일정 시간동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고, 그 상태를 일정하게 유지시키는 기술이다.
여기서 일정 시간은 방문자가 웹 브라우저를 통해 웹 서버에 접속한 시점으로부터 웹 브라우저를 종료하여 연결을 끝내는 시점을 말한다.
즉, 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고 그것을 세션이라고 한다

Cookie Vs Session

1.저장위치
쿠키 : 클라이언트에 파일로 저장
세션 : 서버에 저장

2.보안
쿠키 : 클라이언트 로컬에 저장되기 떄문에 변질되거나 request에서 스나이핑당할 우려가 있어서 보안 취약
세션 : 쿠키를 이용해서 세션id만 저장하고 그것으로 구분해서 서버에서 처리하기 떄문에 비교적 안전 (보안 면에서 쿠키보다 우수)
3.라이프 사이클(중요)
쿠키 : 만료시간은 있지만 파일로 저장되기 떄문에 브라우저를 종료해도 계속해서 정보가 남아 있을수 있음. 만료기간을 넉넉히 잡아두면 쿠키삭제 할 때까지 유지될수도 있음.
세션 : 만료기간을 정할수는 있지만 브라우저가 종료되면 그 에 상관없이 삭제됌.
4.속도
쿠키 : 쿠키에 정보가 있기 떄문에 서버에 요청시 속도가 빠르다.
세션 : 정보가 서버에 있기 떄문에 처리가 요구되어 비교적으로 느림

 

피싱(Phishing) :
개인정보를 ‘낚는다(fishing)’의 의미로,
불특정 다수에게 메일을 발송해 위장된 홈페이지로 접속하게 한 뒤,
금융정보를 비롯한 개인정보를 빼내가는 사기 수법을 말한다.

파밍(Pharming) :
피싱이 발전된 수법으로,
금융기관의 도메인 주소(DNS)를 중간에서 탈취해
사용자가 금융기관 사이트에 접속한 것 같은 착각을 하게 만들어 개인정보를 빼내가는 수법
을 말한다.

비싱(Vishing, VoIP + Phishing) :
피싱이 발전된 수법으로,
인터넷 전화(VoIP)를 이용하여 은행계좌에 문제가 있다는 자동 녹음된 메시지를 보낸 뒤,
사용자가 비밀번호 등을 입력하면 미리 설치한 중계기로 이를 빼내가는 수법을 말한다.

스미싱(Smishing, SMS + Phishing) :
인터넷이 가능한 휴대폰 사용자에게 문자 메시지를 보낸 후,
사용자가 웹사이트에 접속하면, 트로이목마를 주입해 휴대폰을 통제하는 수법

APK : 안드로이드 응용 프로그램 패키지
안드로이드 패키지 파일 표준 확장자
안드로이드 플랫폼을 가지고 있는 모바일 디바이스의 컨퍼넌트를 설치할 수 있도록 하는 포맷형태