해킹 공격 유형별 분석 포스팅 특정 APT 보안 장비 에서 실제 탐지 되는 다양한 해킹 공격 유형에 대해서 알아 보겠습니다. 아래 내용 외에도 수많은 해킹 공격 방법이 있으나 잘알려진 대표적인 유형에 대해서만 기술 하였습니다. APT…
IVRE Network recon Framework 활용 보안 취약점 점검
IVRE란? Shodan 이나 Censys 와 같이 포트 스캔을 기반으로 스위치,라우터,웹서버,특정 서비스 포트 등의 정보를 수집하여 결과에 대한 분석 및 취약점에 대한 보완 조치를 할수 있는 Python 기반의 OSINT 도구. 사실 위에 언급한 사이트들은 해킹 초기 단계인 정보수집 목적으로 더 많이 사용된다. Shodan 이나 Censys는 전체 정보를 보기 위해서는 비용을 지불 해야함 이에…
[모의해킹/취약점분석] 디렉토리 리스팅 취약점
해킹 사례 디렉토리 리스팅 취약점 * 현재는 모든 취약점 조치가 완료됨. 사례 1. xxx 업체 웹서비스 취약항목 : Directory Indexing /admin/과 같은 중요 디렉토리의 파일 목록 노출 아래와 같이 인증 과정 없이 개인정보…
elasticsearch 활용 사례 보안 위협 탐지
머신 러닝 및 Elasticsearch를 통한 보안 분석: Deep Dive ELK 활용 사례 / 엘라스틱서치 활용사례 전체 서비스 평일 평균 엘라스틱서치 클러스터로 쌓이는 전체 보안 이벤트 로그는 아래와 같은 상황이다 날짜별 Document 수는 3억2천~3억4천건 정도……
elasticsearch 성능 최적화 및 보안 위협 분석
elasticsearch 구성 IDC내 모든 중요 보안 이벤트 로그 -> arcsight -> ELK Stack (Elasticsearch +Logstah + Kibana) Data Index Rate : 평균 5400/s 평일 Event : 358,177,040 hits (GET /_cat/count/xxxx-2018.05.29?v) 일별 index 용량…
elasticsearch elktail script 활용 TIP 정리
현재 아래와 같이 구성하여 운영중 몇 가지 불편한점에 대한 개선책 구성 보안 이벤트 로그(F/W, IPS, WAF, 중요 보안장비) -> Arcsight -> ELK Stack (일일 평균 약 400G) 불편한점 1. kibana 검색 화면으로…
elasticsearch lucene Query 활용예
Elasticsearch Query Example https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl.html 1. 엘라스틱서치는 lucene 이라는 검색 엔진 오픈 소스를 내장하고 있음. 2. Lucene Query 문법 (몇 가지만 알고 있으면 누구나 쉽게 검색 가능) AND <- 그리고 OR …
ArcSight (SIEM) Elastic Stack Integration 보안위협 분석
현재 ArcSight 로 기업내 모든 보안 이벤트 로그를(서비스,사용자 PC) 수집중이다. ArcSight도 훌륭한 SIEM 솔루션 이나, 실무 운영 관점에서 몇가지 불편한 점이 있다. – 다중 조건 로그 검색시 숙련이 되지 않으면 사용하기가 어려움 – 운영시 초기…
[모의해킹/취약점분석] SQL 인젝션 Injection 정리
국내 모 사이트 실제 해킹 과정 본 포스팅 내용은 악의적인 목적으로 시행된것이 아님을 밝힙니다. 모의 해킹 결과는 해당 사이트 담당 관리자에게 통보하여 취약 부분에 대하여 개선.권고 조치 하였음. 1. WEB 서버 정보 알아보기 윈도우…
IP 관리 자동화 개발 (IPAM)
IP 관리 자동화 하기 핵심 TIP 총 98개 VLAN (c 클래스) 운영중 총 24,892개 IP 할당 받음 현재 10,385 개 IP 사용중 지속적으로 늘어나는 구조…. IPAM (IP관리 툴) 다양한 오픈소스가 있지만 다…