본문 바로가기

프로그래밍 학습/보안 이론

[정보보안기사 필기] 클라이언트 보안 (웹 브라우저 보안, 트로이목마, 루트킷)

728x90

ㅇ 메일클라이언트 보안


ㅁ Outlook 및 Outlook Express 

1. 주요공격기술

- 공격자에 의해 운영되는 뉴스그룹을 사용자가 방문했을 떄 Outlook Express 이메일 프로그램에 설치되어 사용자 컴퓨터를 컨트롤할 수 있는 공격기술

- 공격자가 악성스크립트를 메일에 첨부하여 보내면 수신자가 메일을 확인하거나 읽는 순간 악성스크립트에 의해 공격당할 수 있다.


2. 메일 필터링 기법

- 도구-메시지 규칙 기능을 이용하여 메일, 뉴스, 차단할 보낸사람 목록의 기능을 이용하여 제목, 내용, 첨부파일에 대한 메시지 규칙을 설정하여 메일주소 또는 도메인으로 메일을 차단


3. 첨부파일보안

- 메일의 첨부파일을 이용한 웜 및 악성스크립트를 이용한 공격이 가능하므로 송신자의 메일주소, 메일제목을 확인하여 불필요한 메일을 삭제


 

ㅁ PGP(Pretty Good Privacy) 

- PGP는 사용자가 작성한 이메일의 내용과 첨부되는 파일을 암호화하여 이메일 수신자만이 내용을 볼 수 있도록 기밀성을 제공한다. 그리고 전자서명 기능을 제공하여 송신자가 맞는지 인가를 확인해준다.


특징

- 인증 받은 메시지와 파일에 대한 전자 서명 생성과 확인작업

- 키 관리를 Graphic Interface로 지원

- 공개키를 4096 비트까지 생성할 수 있고 RSA와 DSS/Diffie-Hellman등 두 가지 형태의 공개키 생성가능


활용방법

- Setup 프로그램을 이용하여 설치하면 최초 사용자는 개인키/공개키 쌍을 생성하게 하고 개인키는 안전하게 자신의 컴퓨터에 패스워드로 암호화하여 저장하고 공개키는 다른 사용자들이 사용할 수 있도록 분배해 주어야 한다. PG는 사용자들이 공개키를 가지고 있어야만 암호문을 전송하고 생성한 전자서명을 확인 할 수 있다.


- 공개키를 등록하고 이후에 송신자가 암호화해서 메일을 송신하면 컴퓨터에 저장되어 있는 개인키를 선택하여 복호화하고 메일내용을 볼 수 있다.


공개키 분배방법

- 공개키 서버에 등록하는 방법, 이메일의 내용에 공개키를 포함시키는 방법, 별도의 텍스트 파일에 복사하는 방법


ㅇ 트로이목마 

개요 

- 트로이목마 프로그램은 바이러스와 달리 자기 복제 능력이 없으며 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자의 정보 유출이나 자료파괴 같은 피해를 입는다.


기능

- 원격조정, 패스워드가로채기, 키보드입력 가로채기, 시스템 파일파괴,


활용

- 클라이언트 프로그램 : 서버 프로그램에 접속하여 공격을 수행할 때 활용

- 서버 프로그램 : 공격대상 컴퓨터에 설치


탐지방

- 안티바이러스 프로그램에 의한 탐지

- 레지스트리를 검사하여 자동실행 설정된 내용 검사

- 사용자의 컴퓨터에서 사용하지 않는 포트가 열려져 있는지 검사

- 사용자의 컴퓨터에 설치하지 않은 프로그램이나 파일이 설치되었는지 검사


트로이목마 종류

ㅇ NetBus

- File Manager, Registry Manager, Application Redirect, 화면캡처, 키보드 입력정보 스니핑

- 서버 프로그램의 접속패스워드 설정

- 서버 프로그램의 포트변경


ㅇBack Orifice

- CDC라는 해킹그룹에서 만든 해킹도구로 파일시스템의 모든 파일에 대한 접근, 프로세스 생성/삭제/, 시스템 패스워드 유출, 키보드 모니터링, 네트워크 자원의 공유지정, 파일조작, 레지스트리조작 등의 기능

- 서버프로그램의 접속패스워드 설정


ㅇ School Bus

- 패스워드 유출, 캐쉬영역의 패스워드 추출, 파일관리, 키보드 입력 모니터링 기능

- 서버 프로그램의 접속패스워드 설정


ㅇ ackcmd

- 윈도우 2000을 위한 특수한 원격 명령 프롬프트, TCP ACK 세그먼트만 사용해서 통신을 하므로 어떤 경우 방화벽을 통과하는 연결이 가능하다.

- netstat -an 명령어로 연결세션 정보를 얻기 어려움.


ㅇ 루트킷

- 자신과 다른 소프트웨어를 보이지 않게 숨기고 사용자가 공격자의 소프트웨어를 인지하고 제거할 가능성을 피하는 것이다. 파일 서버, 키로거, 봇넷, 재전송 메일을 포함하여 모든 소프트웨어를 숨길 수 있다. 따라서 대개 감지할 수 없고 제거하기도 힘들다.


기능

- 트래픽이나 키스트로크 감시

- 시스템에 트로이목마 프로그램 설치

- 로그파일 수정

- 프로세스나 파일숨김기능

- 자동실행 설정


종류

- 윈도우용 : FU-Rootkit, Hxdef100, NTRootkit

- 리눅스용 : Suckit, lrk4, lkr5, adore


탐지

- 안티바이러스 프로그램이나 전용도구를 이용하여 탐지 및 제거 ( Rootkit Revealer 이용)