728x90
10%만이 살아 남는다. 해킹을 막아내는 서버 관리자의 생존 기술
해킹 패턴과 윈도우 보안 전략을 주요 공격 유형, 대응 전략 및 점검 포인트를 제시합니다.
정보 수집(스캐닝 및 풋프린팅)
공격자는 해킹을 위해 반드시 표적에 대한 정보를 수집합니다.
🔻주요 공격기법
- 포트 스캔(port scanning): 열린 포트 확인
(예: Nmap, Win Nmap, TCP FIN 스캔 등) - 네트워크 스캔 및 지문 확인
(예: Win Fingerprint, LANguard, Retina, Shadow Security Scanner 등) - 계정 및 공유자원 열거
(예: enum, nbtscan, DumpSec, NETBIOS Auditing Tool 등)
🔷 대응전략 및 점검 포인트
- 방화벽을 통해 불필요한 포트 닫기 (정기적인 포트 점검)
- 네트워크 접근제어(ACL)를 통한 접근 권한 제한
- 시스템 및 서비스의 배너 정보 숨김
- 불필요한 네트워크 공유 및 사용자 계정 제거
- 스캔 탐지 및 차단 시스템 구축(IDS/IPS/WAF)
시스템 해킹(패스워드 크래킹 및 권한 상승)
공격자는 관리자 계정 탈취 및 시스템 권한 확보를 시도합니다.
🔻주요 공격기법
- 패스워드 추출 및 크래킹
(예: Pwdump3, John the Ripper, LC4, lsadump2) - SAM 파일 탈취 및 크랙 시도
- 물리적 접근을 통한 패스워드 리셋(chntpw)
🔷 대응전략 및 점검 포인트
- 복잡성 있는 패스워드 정책(최소 12자리 이상, 영문/숫자/특수문자 조합)
- SAM 파일 접근권한 제한 및 정기적인 패스워드 변경 정책
- 다중인증(MFA) 구현 및 원격접속 제한
- 로컬 관리자 계정 최소화 및 권한 분리 정책
네트워크 공격(서비스 거부 및 스니핑 등)
네트워크 상의 데이터를 가로채거나 서비스 장애를 유발하는 공격입니다.
🔻주요 공격기법
- DoS/DDos(서비스 거부 공격)
- 스니핑(패킷 탈취 및 도청)
(예: myNetMon, Sniffer, WinPcap) - 포트 리다이렉션 공격(FPipe, Rinetd)
- 원격 명령 실행(Psexec)
🔷 대응전략 및 점검 포인트
- 네트워크 방화벽 및 트래픽 필터링 장치 구축
- IPS/IDS를 통한 비정상적인 트래픽 탐지 및 차단
- 네트워크 트래픽 암호화(VPN, SSL/TLS)
- 포트별 접근 정책 명확히 설정
웹 해킹(IIS 및 웹 애플리케이션 취약점)
웹서버 및 애플리케이션의 취약점을 통한 공격이 주요 대상입니다.
🔻주요 공격기법
- 웹 취약점 공격(SQL Injection, XSS, 파일 업로드 등)
- IIS 서비스 취약점 활용(DLL 인젝션 등)
- 권한 상승(ISAPI 버퍼 오버플로우 등)
🔷 대응전략 및 점검 포인트
- IISLockdown, URLScan 등을 통해 웹서버 보안 설정 강화
- 웹방화벽(WAF) 도입을 통한 애플리케이션 레벨 보호
- 정기적 웹 취약점 점검(AppScan, SPIKE Proxy 등 활용)
- 웹 어플리케이션 보안코딩 가이드 준수(OWASP TOP10 기준)
응용 프로그램 공격(SQL서버 및 원격 관리 도구)
응용 프로그램과 데이터베이스를 표적으로 하는 공격입니다.
🔻주요 공격기법
- SQL Injection 및 저장 프로시저 악용
- 원격관리 도구 취약점(VNC 크랙, 터미널 서비스 공격)
🔷 대응전략 및 점검 포인트
- DB 최신 보안 패치 및 설정 강화(MS-SQL 최신 서비스팩 적용)
- DB 계정 및 접속 제한, DB 쿼리 매개변수화 적용
- 원격관리 포트 변경 및 VPN을 통한 접근제한
- 응용 프로그램의 접근 및 인증 로깅과 모니터링 강화
침해사고 대응 및 포렌식 전략
침해사고 발생 후 증거확보 및 복구 전략이 필요합니다.
🔷 대응전략 및 점검 포인트
- 침해 사고 발생 시 시간 및 접근 기록 즉각 확보
- 네트워크 연결 상태 점검 및 비정상 프로세스 확인
- 휘발성 데이터 확보(메모리 덤프, 열려 있는 포트 상태 등)
- 침해 흔적 보존 및 복구 절차 마련(시스템 이미지 백업 및 복구 매뉴얼)
윈도우 시스템 필수 보안 설정 점검리스트 (체크리스트)
- 최신 보안 패치와 업데이트 적용 상태 점검
- 방화벽 설정 및 허용 포트 점검
- 계정 관리(미사용 계정 제거, 계정 정책 적용)
- 패스워드 정책 점검(복잡도, 주기적 변경 정책)
- 원격 접속 보안 설정 점검(VPN, MFA 등)
- 웹서버 보안 설정 점검(IISLockdown 등)
- DB 접근 통제 및 SQL Injection 대응책 적용
- IDS/IPS 및 모니터링 시스템 구축 점검
- 정기적인 취약점 진단 및 보안 감사 수행 여부 확인
- 사고대응 프로세스와 포렌식 절차 문서화 여부 확인
해킹 대응을 위한 관리자의 생존 기술은 다음과 같이 요약할 수 있습니다.
- 철저한 사전 예방 및 지속적인 취약점 점검
- 발생 가능한 침해 시나리오 숙지 및 정기적 훈련
- 침해 발생 시 신속한 탐지와 정확한 증거 확보
- 명확한 침해 대응 매뉴얼 작성 및 교육 실시
이러한 전략과 체계적인 보안 관리가 해킹에서 살아남는 10%의 관리자를 만듭니다.
해킹 도구 유형별 정리
구분 | 도구 및 방법 | 기능 및 용도 | 보안 전략 및 점검 포인트 |
---|---|---|---|
정보 수집 및 스캐닝 | Teleport, HTML Link Validator, Whois 조회, Sam Spade, Win Fingerprint, Win Nmap, CIS, LANguard, N-Stealth, Retina Scanner, Solarwinds, netcat |
웹사이트 정보 수집, 네트워크/시스템 포트 스캐닝, 취약점 진단, 네트워크 자원 목록화 |
포트 관리 및 제한, 불필요 서비스 제거, 방화벽, IDS/IPS 구축 |
정보 목록화 | DumpSec, Legion, enum, GetAcct, nbtscan, SQLPing |
NetBIOS 공유 자원, 사용자 계정, 세션 및 SQL 서버 목록화 |
계정 접근 통제, 불필요 공유 제거, 접근 권한 최소화 |
시스템 해킹 (패스워드 크랙) |
ipccrack, Pwdump3, John the Ripper, LC4, chntpw, lsadump2 |
패스워드 크래킹, 해시 추출 및 리셋 도구 |
패스워드 정책 강화, SAM 파일 보호, 암호화 및 접근 제한 |
네트워크 공격 (스니핑, 리다이렉션) |
myNetMon, Sniffer, WinPcap, Rinetd, FPipe, Psexec, TCPView |
네트워크 패킷 캡쳐 및 분석, 포트 리다이렉션, 원격 실행 도구 |
네트워크 암호화(VPN), 접근 포트 관리, 트래픽 모니터링 및 IDS/IPS 구축 |
웹 해킹 및 웹 보안 | iis5crack, IISLockdown, URL Buffer Size Tool, UrlScan, graburl, Fsum, @Stake WebProxy, SPIKE Proxy, KSES, Webgoat, AppScan |
IIS 취약점 공격(ISAPI DLL), 버퍼 오버플로우, HTML/쿠키 변조, SQL Injection |
웹 방화벽(WAF), IIS 강화정책, 입력값 검증 강화(OWASP 기준), 웹서버 및 웹 앱 취약점 점검 |
응용프로그램 해킹 (DB 및 원격 관리) |
SQL Injection 도구(Mieliekoek.pl 등), MS 암호화 가이드, SQL 보안정보, VNC 크랙 도구 |
SQL Injection 및 저장 프로시저 악용, 원격 관리 도구 취약점 공격 |
DB 최신 서비스팩 적용, DB 접근 통제 및 암호화, 원격 관리도구 포트 변경 및 보안설정 |
침해사고 대응 및 포렌식 | Cryptcat, CopyPwd, NT memory, Win2K3 memory, lsadump2, Shavlik Hfnetchk Pro, Hex 편집기, 트로이목마 정보 제공 사이트 |
침해사고 증거 수집, 데이터 분석 및 복구, 메모리 덤프 분석, 법적 대응 자료 확보 |
포렌식 도구 활용, 휘발성 데이터 확보(메모리, 프로세스, 포트), 침해 시스템 복구 매뉴얼 작성 |
각 유형별 공격 및 방어 전략을 이해하고 내부적으로 필요한 보안 점검과 관리에 활용할 수 있습니다.
728x90
댓글