Polaris

1. APT 대응 장비의 핵심 작동 원리: 샌드박스 (Sandbox)APT 장비의 가장 큰 특징은 파일을 '실행해 본다'는 점입니다. 기존의 백신(Vaccine)이나 IPS(침입방지시스템)는 이미 알려진 나쁜 놈들의 목록(Signature)과 대조하는 방식이라 신종 공격에는 무력했습니다.이를 극복하기 위해 APT 장비는 내부 네트워크로 들어오는 수상한 파일을 가로채 가상 공간(Sandbox)에서 미리 실행합니다.트래픽 수집: 네트워크 게이트웨이에서 유입되는 이메일 첨부파일, 웹 다운로드 파일 등을 복사해옵니다.가상 환경 구성: 윈도우, 리눅스, Android 등 실제 사용자가 쓰는 환경과 똑같은 OS를 가상으로 구현합니다.동적 분석 (Dynamic Analysis): 가상 환경에서 파일을 실행한 뒤 다음..

1. 인라인 방식의 성능 이슈와 해결책인라인으로 설치하면 파일이 유입될 때 장비가 이를 가로채서 분석이 끝날 때까지 사용자에게 전달하지 않는 'Hold-and-Release' 방식을 취합니다. 이때 발생하는 지연을 줄이기 위해 다음과 같은 기술을 사용합니다. ① 하이브리드 분석 (선별적 샌드박싱)모든 파일을 샌드박스에 넣으면 네트워크가 마비됩니다. 그래서 다음과 같이 필터링합니다.1단계 (화이트리스트): MS, 구글 등 신뢰할 수 있는 제조사의 서명이 있는 파일은 통과.2단계 (알려진 악성코드): 기존 시그니처 DB로 1초 내에 판별하여 즉시 차단.3단계 (미확인 파일): 위 단계에서 걸러지지 않은 '알 수 없는 파일'만 샌드박스로 보냅니다. 실제 전체 트래픽 중 샌드박스까지 가는 비중은 생각보다 낮습니..

1. 공격자의 wtmp 변조 방법 (로그 와이핑) wtmp는 바이너리 파일이므로 텍스트 에디터(vi 등)로는 깨져서 보이지만, 공격자들은 전용 도구나 스크립트를 사용하여 정교하게 조작합니다. 변조 유형 실행 방법 및 특징 위험도 전체 삭제 - rm /var/log/wtmp 또는 cat /dev/null > /var/log/wtmp- 파일 자체를 날리거나 내용을 0으로 만듦.- 특징: 너무 눈에 띄어서 초보적인 공격자가 주로 사용. 중 특정 기록 삭제 (Selective Editing) - 로그 와이퍼(Log Wi..

1. 공격자의 wtmp 변조 방법 (로그 와이핑)wtmp는 바이너리 파일이므로 텍스트 에디터(vi 등)로는 깨져서 보이지만, 공격자들은 전용 도구나 스크립트를 사용하여 정교하게 조작합니다. 변조 유형 실행 방법 및 특징 위험도 전체 삭제 - rm /var/log/wtmp 또는 cat /dev/null > /var/log/wtmp- 파일 자체를 날리거나 내용을 0으로 만듦.- 특징: 너무 눈에 띄어서 초보적인 공격자가 주로 사용. 중 특정 기록 삭제(Selective Editing) - 로그 와이퍼(Log Wiper) 도구 사용 (zap, wipes, cloak 등)- 특정 계정, 특정 시간대, 특정 IP..

1. 리눅스 (Linux) 서버 로그리눅스 시스템은 /var/log 디렉터리에 대부분의 로그가 위치합니다. 텍스트 로그와 바이너리 로그(별도 명령어로 확인)로 구분됩니다. 로그 분류 파일 위치 (일반적 경로) 주요 확인 사항 (Check Point) 비고 인증/보안 /var/log/secure (RHEL 계열)/var/log/auth.log (Debian 계열) - 실패한 로그인 시도 (Brute Force)- sudo 명령어 실행 이력- 새로운 사용자 계정 생성 이력 1순위 확인 명령어 이력 ~/.bash_history/root/.bash_history - 공격자가 실행한 악성 명..