ARTIFEX ;)

# 허니팟 해커를 유인하기 위해 고의로 취약한 서버를 만들어 이를 모니터링하는 시스템 공격자의 공격 경로와 공격 수법을 알아내기 위한 목적으로 사용한다. 취약점에 대한 패치 이전에 발생하는 제로데이 공격을 탐지하기 위한 목적으로 사용된다, 허니팟으로 네트워크를 구성한 것을 허니넷(HoneyNet)이라 한다.

# 디피-헬먼 키 교환(Diffie-Hellman key Exchange) : 이산대수의 어려움을 이용한 알고리즘. 쉽게 말해 주어진 g,x,p 를 이용하여 y=g^x mod p 를 구하기는 쉽지만 g,y,p 값을 이용하여 원래의 x를 찾기 어렵다는 원리를 이용한 것. 공개키 알고리즘에서 사용되는 키 교환 방식. 상대방의 공개키와 나의 개인키를 이용하여 비밀키를 생성한다. A의 공개키와 B의 개인키를 DH연산하면 B의 비밀키가 되며 B의 공개키와 A의 개인키를 DH연산하면 A의 비밀키가 된다. 이산대수법에 의거한 수학적 공식에 의해 A의 비밀키와 B의 비밀키는 같아진다. 송신자와 수신자는 안전하게 교환된 비밀키를 사용하여 데이터를 암호화한 후 전달한다. # 취약점 - 신분위장 공격에 취약하다. (+중간자..

# ARP 스푸핑 Local에서 통신하고 있는 서버와 클라이언트의 MAC 주소를 공격자의 MAC 주소로 속인다. 같은 대역에 있을 경우에만 가능하며, 주로 스니핑에 이용된다. # 과정 공격자는 다른 호스트 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply를 망에 지속적으로 브로드캐스트한다. 피해자는 ARP Reply 메시지를 받고 자신의 ARP Cache Table에 있는 해당 IP의 MAC 주소를 공격자의 MAC 주소로 바꾼다. 피해자는 원래 다른 호스트로 전송해야 할 메시지를 공격자에게 전송하게 된다. # 확인 - ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보이면 ARP 스푸핑을 의심할 수 있다. (다른 IP와 같은 MAC 주소의 관계) # 대응 - ARP Cach..

# 포트 스캔(Port Scan): 운영 중인 서버에서 열려 있는 TCP/UDP를 검색하는 것을 의미한다. # Open Scan : * TCP OPEN: - 포트가 열려 있을 경우 SYN+ACK가 되돌아 온다. * UDP OPEN: - 포트가 열려 있을 경우 응답이 오지 않는다. - 포트가 닫혀 있을 경우 ICMP Unreachable 패킷을 수신 받는다. # Stelth Scan: - TCP FIN SCAN FIN 플래그를 설정하여 보낸다. 응답이 없으면 열려 있는 것으로 판단한다. RST 패킷이 되돌아 오면 닫혀 있다는 것이다. - TCP ACK SCAN 포트의 오픈 여부를 판단하는 것이 아닌, 방화벽 정책을 테스트하기 위한 스캔 대상 방화벽이 상태기반(Stateful)인지 여부, 대상 포트가 방화벽..

# APT(Advanced Persistent Threat) : 특정 목표대상에 대해 취약점을 파악하고 지속적으로 다양한 방법을 이용하여 공격하는 기법 일률적인 공격기법이 아니라 대상과 상황에 따라 적절한 공격을 시도하므로 탐지 및 차단이 어렵다. 공격 기술이 아닌 공격 절차이기에 단편적인 기술로 대응할 수 없다. # 공격 절차 침투 탐색 수집 공격 유출 # 관련 유형 : 워터링 홀 : 합법적인 웹사이트를 미리 감염시킨 뒤 잠복하였다가 피해자가 접속 시 감염시키는 공격. 사이버 킬 체인 : APT에 대응하기 위해 제시된 방법. 공격 단계 중 사전에 하나만 확실히 제거해도 실제 공격까지 이어질 수 없다는 점에서 착안된 방어전략. TTPs ATT&CK