일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- System
- JavaScript
- 윈도우즈
- Call-by-reference
- 노드
- windows
- c++
- request
- Kafka
- algorithm
- C
- 자료구조
- CSS
- beans
- OOP
- 투자
- WebProgramming
- meta
- query
- jsp
- 악성코드
- CLASS
- API
- function
- Sort
- HTML
- array
- 포인터
- UTF-8
- java
- Today
- Total
hahahia
악성코드 파일 수집(허니팟) 본문
기존 허니팟의 종류
1. 크래커의 공격을 유인으로 내부 정보자원을 보호한다.
=> 취약해 보여야 함
=> 시스템을 통과하는 모든 패킷 감시(관리자)
=> Trapserver1, BackOfficer Friendly
2. 방어기법 연구를 위한 목적으로 공격기법을 로그기반으로 수집한다.
=> 공격유도(기본기능)
=> 실제와 동일한 네트워크 환경(다수의 허니팟으로 구성된 허니넷 구성)
최근 크래커의 공격형태
=> 불특정 다수 공격, 악성코드 유포
따라서 허니팟의 유형도 변화 필요
가상화 기술을 통해 분석
=> 취약한 시스템과 관리자 시스템 분석
기존 허니팟과 악성코드 수집용 허니팟의 비교
기존 허니팟 => 크래커가 착각하도록 허니넷 구성(허니넷 안에서만 활동)
공격기법 분석을 위해 시스템 로그 수집
패킷 분석(악성코드 행위를 알기 위함)
악성코드 수집용 허니팟 => 생성된 파일, 변경된 파일, 시스템 로그 수집
자체Outboud 트래픽 차단(외부 누출 피해방지)
악성코드 수집용 운영체제, 시스템 관리용 운영체제(두개 이상의 운영체제)
패킷 및 파일 동작, 프로세스 동작
악성코드 수집용 허니팟이 갖추어야 할 8대 요구조건
1. 악성코드를 유도하기 위해 취약점을 내포해야 한다
2. 악성코드 수집용 시스템과 허니팟 관리를 위한 시스템이 분리되어야 한다
3. 악성코드 수집용 네트워크와 허니팟 관리용 네트워크가 분리되어야 한다
4. 악성코드 감염으로 인한 피해 확산을 방지하는 기능을 제공해야 한다
5. 악성코드 감염으로 인한 시스템 Freezing 방지 기능을 제공해야 한다
6. 악성코드 의심파일을 전송하기 위한 보안 채널을 제공해야 한다
7. 시스템에 침입하는 모든 패킷을 감시할 수 있어야 한다
8. 시스템을 침입한 악성코드 의심파일의 행위를 감시해야 한다
악성코드 수집용 허니팟의 구성
host system
- patched : 보안패치 완료된 상태
- firewall : 외부 공격 보호를 위한 방화벽
- PE validation check : 실행되는 파일인지 체크(악성코드는 실행되는 파일이라고 전제)
guest system
- non-patch : 악성코드 수집을 위한 취약점이 드러난 상태
vmm - 가상화 기술(vm ware), host와 guest를 따로 구성
management
- 파일 무결성 체크(file integrity check)를 실시간(scheduler)으로 해야한다
- 기존에 진단된 악성코드는 제거(anti-virus)
- 악성코드에 의한 공격이 외부로 나가지 않게 차단(firewall, outbound 트래픽 차단)
- freezing 증상 방지(prevent freezing)
- 수집된 악성코드 안전하게 전송(보안 채널보유, 암호화)
remote control - 허니팟은 보통 다른 지역에 설치된다(원격 관리)
수집 비율-> 해외>국내
악성코드 수집용 허니팟 시스템을 구축하기 위해서 고려해야 할 사항
1. 보안이 상대적으로 취약한 외부 네트워크 단에 허니팟 설치를 고려해야 한다
2. 국내보다는 해외에서 악성코드 발생률이 높으므로, 해외 위주의 허니팟 시스템 구현을 고려
3. 해외 허니팟 설치 시, 해당 국가의 환경에 따라 네트워크 품질이 상이함으로, 사전에 국가별 제공되는 네트워크 품질을 고려해야 한다
4. VLAN으로 네트워크 대역을 구분한 경우에는 내부 네트웍 단에 여러 대의 허니팟 설치를 고려하거나, IDS, IPS에 탐지된 경우 허니팟으로 트래픽을 전환하는 방식을 고려해야 한다.
'Security > Research' 카테고리의 다른 글
알아두면 유용한 사이트(정리) (0) | 2012.11.14 |
---|---|
정상파일과 취합 및 판단기준(정상파일을 악성코드를 구분할 수 있는 기준) (0) | 2012.07.16 |