원격코드 실행(RCE) 공격에 사용되는 리버스 쉘과 바인드 쉘의 대응 방안

"기본 보안부터 철저히 해야" 현재의 보안체계로는 정보자산을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다. 주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다. 보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 2차 인증 솔루션이다. 기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다. 원격 코드 실행(RCE, Remote Code Execution) 공격은 해커들이 계정에 대한 무차별 대입 공격 또는 네트워크, 서버 등 하드웨어 취약점을 스캔/악용하여 공격자가 조직의 컴퓨터나 네트워크..

중앙 집중식에서 벗어나 탈중앙화의 중요성

정보자산의 보안 강화를 위하여 사용자 식별.인증하기 위한 인증 시스템은 우리가 많이 적용하여 사용하고 있는 Gateway(+Proxy) 방식은 접속하기 위한 통로를 별도로 설치한 후 사용자가 해당 통로를 통해서만 접근하도록 하는 방식이다. 예를 들어, 자동차를 타고 고속도로에 진입하기 위해서 반드시 톨게이트를 거쳐 통행료 징수를 위한 체크를 하듯이 서버나 네트워크, DB에 접속, 로그인하거나 로그인 한 후에 프로세스를 수행하기 위해서는 반드시 Gateway를 거치도록 구성하여 모든 로그인과 철저하게 통제하는 방식이다. 중앙 집중식으로 중앙화 되어 있는 Gateway(+Proxy) 방식은 별도의 서버(안전성을 위해 이중화 구성 필요)를 설치한 후에 독립적인 IP 및 포트를 부여하고, 접속 시 해당 IP ..

원격 코드 실행(RCE, Remote Code Execution) 공격은 공격자가 조직의 컴퓨터나 네트워크에서 악성 코드를 실행할 수 있는 공격이다. 공격자가 제어하는 코드를 실행하는 기능은 추가 맬웨어를 배포하거나 중요한 데이터를 탈취하는 등 다양한 목적으로 사용될 수 있다. 1. 원격 코드 실행(RCE) 공격의 작동 방식 원격 코드 실행 공격은 일반적으로 웹 애플리케이션과 네트워크 인프라의 취약점을 통해 발생한다. 원격 코드 실행 취약점은 공격자가 대상 시스템에서 악성 코드를 실행할 수 있도록 허용하는 소프트웨어의 결함이다. 다음 예를 포함하여 여러 유형의 취약점을 RCE에 사용할 수 있다. 1) 삽입 취약점 SQL 삽입 또는 명령어 삽입과 같은 삽입 취약점은 잘못된 입력 삭제에 의해 활성화된다..

"기본 보안부터 철저히 해야" 현재의 보안체계로는 정보자산을 충분히 지킬 수 없다는 거, 보안 전문가라면 다 알고 있다. 주요 인프라 공격의 85%가 "패치, 2차 인증(추가 인증), 최소 권한 원칙" 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타났다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다. 보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 2차 인증 솔루션이다. 기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다. 또한, "망분리"는 새로울 것도, 특별할 것도 없는 보안 전략이자 개념이다. "망분리" 했다고 해커들의 침투를 100% 막을 수 없다는 걸 인정해야만 하는 때가 도래했다. 이 시대에는 피해를 줄이는 게..

다계층 인증 체계(Multi-layer authentication system)는 시스템의 다양한 레이어(PC, 서버, 네트워크, 애플리케이션, 저장장치 등)에서 독립된 인증 체계를 적용하여 보안 위험을 분산하고 단일 지점 공격을 방지하는 보안 전략이다. 중앙 집중식 인증 방식의 단점을 보완하고, 각 레이어별로 독립적인 인증 체계를 적용하여 더욱 강력한 보안을 구축할 수 있다. 1. 다계층 인증의 장점 1) 보안 강화 각 레이어별로 인증 체계를 적용하여 시스템 전체의 보안을 강화하고, 단일 지점 공격에 대한 위험을 줄인다. 2) 위험 분산 중앙 집중식 인증 방식의 단점인 한 곳에 집중된 위험을 분산시켜, 시스템 전체의 보안을 더 안전하게 유지할 수 있다. 3) 유연성 각 레이어별로 다양한 인증 방식을..

비밀번호 보안에 소홀한 사용자에게는 좋지 않은 소식이다. 해커는 사용자가 무심코 설정한 가장 단순하고 무작위적인 비밀번호를 영화 한 편 보는 시간 안에 알아낼 수 있다. 최근 분석에 따르면, 챗GPT 서비스를 활용해 8자리 숫자 조합 비밀번호를 무차별 대입 공격으로 해킹하는 데 걸리는 시간은 단 3시간에 불과하다. 현재 대부분의 웹사이트에서는 8자리 비밀번호를 최소 기준으로 제시한다. 그러나 단순한 숫자 조합의 8자리 비밀번호를 사용하는 경우, 해킹 위험성이 매우 높다. 비밀번호의 복잡도를 높이면 해킹에 소요되는 시간이 몇 시간에서 몇 달, 수년, 심지어 수천 년으로 대폭 늘어나긴 한다. 그러나 이 역시 위협에서 완전히 안전하다고 할 수는 없다. 숫자로만 구성된 8자리 비밀번호는 사실상 즉시 해킹 당할 ..

기본 보안부터 철저히 해야 주요 인프라 공격의 85%가 패치, 2차 인증(추가 인증), 최소 권한 원칙 등 기본적인 수준의 보안을 지키지 않아서 발생한 것으로 나타난다. 보안 강화하기 위하여 다계층 인증 체계(Multi-layer authentication system)를 지원하는 2차 인증을 적용하는 순서는 제일 첫번째로 운영체제(OS), 두번째로 관리자 계정이나 관리 콘솔, 세번째로 일반 사용자 계정이다. 랜섬웨어를 포함한 침해 사고의 80~90%가 원격 접속과 관련된 문제다. 보안 솔루션 중 도입해야 할 1순위가 우회 및 원격접속을 차단할 수 있는 솔루션이다. 기본 보안 정책만 지켜도 대부분의 공격은 막을 수 있다.

현상 : Dec 10 11:27:24 baropam sshd(pam_baro_auth)[58877]: Invalid verification code Dec 10 11:27:24 baropam unix_chkpwd[58879]: password check failed for user (baropam) Dec 10 11:27:24 baropam sshd[58877]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2 user=baropam원인 : Interactive mode를 지원하지 않음. 조치 : "/etc/pam.d/sshd" 설정 시 nullok를 ..

현상 : javax.naming.NameNotFoundException: Name [jdbc/baromost] is not bound in this Context. Unable to find [jdbc]. at org.apache.naming.NamingContext.lookup(NamingContext.java:840) at org.apache.naming.NamingContext.lookup(NamingContext.java:172) at cohttp://m.baromost.common.DBConnection.getConnection(DBConnection.java:50) at cohttp://m.baromost.common..

현상 : Linux 서버에 BaroPAM 적용 후 일회용 인증키를 입력하는 항목(Verification code: 또는 Password & Verification code:)을 스킵(Skip)하여 로그인이 안되는 현상 발생 서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상 원인 : 서버 접근제어 솔루션에서 /etc/pam.d/sshd 설정한 것 보다 BaroPAM 설정이 앞에 설정하여 발생함 조치 : 다음과 같이 /etc/pam.d/sshd 설정의 순서를 변경하면 됨. 변경 전) auth required /usr/baropam/pam_baro_auth.so nullok secret=/usr/barop..