snort12 LD_PRELOAD 악용 기반 네트워크 장비 백도어 탐지 및 대응 방안 LD_PRELOAD를 악용하는 백도어는 네트워크 장비나 리눅스 기반 시스템에서 시스템 프로세스를 후킹해 공격자가 제어권을 장악할 수 있도록 설계된 악성코드 유형입니다. 해당 유형의 보안 위험 요소, 탐지 및 모니터링 방법, 그리고 대응 방안 예시를 통해 설명합니다.LD_PRELOAD를 이용한 백도어의 보안 위험 요소1. LD_PRELOAD 개념과 악용 방식LD_PRELOAD는 리눅스 환경에서 특정 공유 라이브러리를 로드할 수 있도록 허용하는 환경 변수입니다. 공격자는 이를 이용해 정상 프로세스(/bin/sshd 등)를 후킹하여 다음과 같은 작업을 수행할 수 있습니다:특정 네트워크 트래픽(ICMP)을 모니터링해 C2(명령 제어) 서버와 연결.SSH 연결을 후킹하여 악성 쉘이나 패킷 캡처를 수행.원격 SOC.. 2025. 1. 25. 네트워크 트래픽 sFlow 수집 및 샘플링 분석을 통해 성능 및 보안 모니터링 sFlow는 대규모 네트워크에서 트래픽 샘플링을 통해 성능 및 보안 모니터링을 수행할 수 있는 산업 표준 기술입니다. sFlow는 네트워크 장비에서 트래픽을 지속적으로 모니터링하여 네트워크의 성능, 트래픽 패턴, 보안 위협 등에 대한 실시간 분석을 제공합니다. 이를 위해 sFlow 에이전트가 장비에 내장되어 있거나 소프트웨어로 구현되어 있어야 하며, 이 에이전트는 네트워크를 통과하는 패킷의 샘플을 취해 sFlow 콜렉터로 전송합니다. 콜렉터는 이 데이터를 분석하여 사용자가 이해하기 쉬운 형태로 정보를 제공합니다.sFlow 데이터 수집 및 분석을 위한 도구sFlowTrend: 무료 및 사용하기 쉬운 sFlow 네트워크 모니터링 소프트웨어로 실시간 트래픽 모니터링, 트렌드 분석, 알람 설정 등을 제공합니다... 2024. 5. 17. SnortDLP - an open source DLP solution utilizing snort OverviewSnortDLP a.k.a. "Pig Pen" is an open source data loss prevention project that utilizes Snort to detect the exfiltration of sensitive data.FeaturesWeb based applicationWritten in PHP and utilizes a MySQL backend for cross operating system portabilityAdministrative login to protect unauthorized accessDetermines a unique fingerprint forfree textindividual documentseach document in a reposit.. 2014. 7. 8. Testing Snort IDS with Metasploit vSploit Modules One of my key objectives for developing the new vSploit modules was to test network devices such as Snort. Snort or Sourcefire enterprise products are widely deployed in enterprises, so Snort can safely be considered the de-facto standard when it comes to intrusion detection systems (IDS). So much that even third-party intrusion detection systems often import Snort rules. Organizations are often.. 2011. 7. 11. Snort 2.9.0.5 is available for download! This is the changelog for Snort 2.9.0.5: * src/build.h: Increment Snort build number to 134 * src/: decode.h, encode.c: * src/dynamic-plugins/sf_engine/: sf_snort_packet.h: * src/preprocessors/: spp_sfportscan.c, spp_frag3.c: * src/output-plugins/: spo_alert_fast.c: * src/preprocessors/Stream5/: stream5_common.c: Updated portscan to set protocol correctly in raw packet for IPv6 and changed the e.. 2011. 4. 8. 이전 1 2 3 다음 728x90
