ㅇ 메일클라이언트 보안
ㅁ Outlook 및 Outlook Express
1. 주요공격기술
- 공격자에 의해 운영되는 뉴스그룹을 사용자가 방문했을 떄 Outlook Express 이메일 프로그램에 설치되어 사용자 컴퓨터를 컨트롤할 수 있는 공격기술
- 공격자가 악성스크립트를 메일에 첨부하여 보내면 수신자가 메일을 확인하거나 읽는 순간 악성스크립트에 의해 공격당할 수 있다.
2. 메일 필터링 기법
- 도구-메시지 규칙 기능을 이용하여 메일, 뉴스, 차단할 보낸사람 목록의 기능을 이용하여 제목, 내용, 첨부파일에 대한 메시지 규칙을 설정하여 메일주소 또는 도메인으로 메일을 차단
3. 첨부파일보안
- 메일의 첨부파일을 이용한 웜 및 악성스크립트를 이용한 공격이 가능하므로 송신자의 메일주소, 메일제목을 확인하여 불필요한 메일을 삭제
ㅁ PGP(Pretty Good Privacy)
- PGP는 사용자가 작성한 이메일의 내용과 첨부되는 파일을 암호화하여 이메일 수신자만이 내용을 볼 수 있도록 기밀성을 제공한다. 그리고 전자서명 기능을 제공하여 송신자가 맞는지 인가를 확인해준다.
특징
- 인증 받은 메시지와 파일에 대한 전자 서명 생성과 확인작업
- 키 관리를 Graphic Interface로 지원
- 공개키를 4096 비트까지 생성할 수 있고 RSA와 DSS/Diffie-Hellman등 두 가지 형태의 공개키 생성가능
활용방법
- Setup 프로그램을 이용하여 설치하면 최초 사용자는 개인키/공개키 쌍을 생성하게 하고 개인키는 안전하게 자신의 컴퓨터에 패스워드로 암호화하여 저장하고 공개키는 다른 사용자들이 사용할 수 있도록 분배해 주어야 한다. PG는 사용자들이 공개키를 가지고 있어야만 암호문을 전송하고 생성한 전자서명을 확인 할 수 있다.
- 공개키를 등록하고 이후에 송신자가 암호화해서 메일을 송신하면 컴퓨터에 저장되어 있는 개인키를 선택하여 복호화하고 메일내용을 볼 수 있다.
공개키 분배방법
- 공개키 서버에 등록하는 방법, 이메일의 내용에 공개키를 포함시키는 방법, 별도의 텍스트 파일에 복사하는 방법
ㅇ 트로이목마
개요
- 트로이목마 프로그램은 바이러스와 달리 자기 복제 능력이 없으며 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자의 정보 유출이나 자료파괴 같은 피해를 입는다.
기능
- 원격조정, 패스워드가로채기, 키보드입력 가로채기, 시스템 파일파괴,
활용
- 클라이언트 프로그램 : 서버 프로그램에 접속하여 공격을 수행할 때 활용
- 서버 프로그램 : 공격대상 컴퓨터에 설치
탐지방법
- 안티바이러스 프로그램에 의한 탐지
- 레지스트리를 검사하여 자동실행 설정된 내용 검사
- 사용자의 컴퓨터에서 사용하지 않는 포트가 열려져 있는지 검사
- 사용자의 컴퓨터에 설치하지 않은 프로그램이나 파일이 설치되었는지 검사
트로이목마 종류
ㅇ NetBus
- File Manager, Registry Manager, Application Redirect, 화면캡처, 키보드 입력정보 스니핑
- 서버 프로그램의 접속패스워드 설정
- 서버 프로그램의 포트변경
ㅇBack Orifice
- CDC라는 해킹그룹에서 만든 해킹도구로 파일시스템의 모든 파일에 대한 접근, 프로세스 생성/삭제/, 시스템 패스워드 유출, 키보드 모니터링, 네트워크 자원의 공유지정, 파일조작, 레지스트리조작 등의 기능
- 서버프로그램의 접속패스워드 설정
ㅇ School Bus
- 패스워드 유출, 캐쉬영역의 패스워드 추출, 파일관리, 키보드 입력 모니터링 기능
- 서버 프로그램의 접속패스워드 설정
ㅇ ackcmd
- 윈도우 2000을 위한 특수한 원격 명령 프롬프트, TCP ACK 세그먼트만 사용해서 통신을 하므로 어떤 경우 방화벽을 통과하는 연결이 가능하다.
- netstat -an 명령어로 연결세션 정보를 얻기 어려움.
ㅇ 루트킷
- 자신과 다른 소프트웨어를 보이지 않게 숨기고 사용자가 공격자의 소프트웨어를 인지하고 제거할 가능성을 피하는 것이다. 파일 서버, 키로거, 봇넷, 재전송 메일을 포함하여 모든 소프트웨어를 숨길 수 있다. 따라서 대개 감지할 수 없고 제거하기도 힘들다.
기능
- 트래픽이나 키스트로크 감시
- 시스템에 트로이목마 프로그램 설치
- 로그파일 수정
- 프로세스나 파일숨김기능
- 자동실행 설정
종류
- 윈도우용 : FU-Rootkit, Hxdef100, NTRootkit
- 리눅스용 : Suckit, lrk4, lkr5, adore
탐지
- 안티바이러스 프로그램이나 전용도구를 이용하여 탐지 및 제거 ( Rootkit Revealer 이용)
'프로그래밍 학습 > 보안 이론' 카테고리의 다른 글
| [정보보안기사 필기] 서버보안 (인증과 접근통제, PAM) (0) | 2018.03.26 |
|---|---|
| [정보보안기사 필기] 클라이언트보안(크래킹, 포트스캐닝, 키로그) (0) | 2018.03.26 |
| [정보보안기사 필기] 클라이언트 보안 (바이러스, 백신, 레지스트리) (0) | 2018.03.09 |
| [정보보안기사 필기] 클라이언트 보안 (설치 및 파일시스템) (0) | 2018.03.09 |
| [정보보안기사 필기] 유닉스 및 리눅스 운영체제 특징 및 주요기능 (0) | 2018.03.09 |