Hacking Basic

   

해킹의 유형

• Intrusion ( 침입 )
  • 불법적으로 System 자원을 사용하거나 또 다른 Hacking 을 위한 경로로 사용하는 공격
• DoS ( 서비스 거부 )
  • 특정 호스트나 네트워크가 제 기능을 수행하지 못하도록 각종 서비스를 정지 하는 공격
• 정보 유출
  • 경쟁 기업의 정보를 훔치거나 훔쳐낸 기밀을 외부에 유포하는 유형
• 정보 위조와 변조
  • 웹 사이트 및 Database 등의 내용을 위 / 변조 하는 유형
• System 파괴

   

   

• 스니핑 ( sniping ) : 통신내용 훔쳐보기
• 세션 하이재킹 ( Session Hijacking ) : TCP 세션을 중간에 가로채어 자신이 통신 해버리는 것
• 스푸핑 : 아핳
• CGI ( Commome gateway interface ) 공격
• 버퍼 오버 플로우 공격 ( Buffer Overflow Attack )

  : stack 을 공격

• 트로이 목마 ( Trojan Horse )

  : 악성코드를 일반 프로그램에 숨겨 놓는 것

• 서비스 거부 공격 ( Denial Of Service )

  : 다른 사용자들이 서비스를 못하게 혼자 서비스 포트를 독차지 하는 것

• 분산 서비스 거부 공격 ( Distribute Denial Of Service )
• 분산 반사 서비스 거부 공격 ( Distribute Reflected Of Service )
• Application 해킹

   

   

Hacking Flow

1. Target ( 공격 대상 선정 )
2. Information Gathering ( 정보 수집 )
3. Vulnerability Analyze ( 취약점 분석 )
4. Enumeration ( 권한 상승 및 정보 목록 화 )
5. ATTACK ( 공격 )
6. Covering Track ( 사후처리 흔적 지우기 )

   

   

Social Engineering ( 사회 공학 해킹 )

• 공격자들이 사람들을 속여 원하는 대로 움직이게 하는 기법

   

사회 공학적 해킹의 유형

• 엄청나게 긴급한 일 이라고 하는 사람 누가 빨리 결정하라고 하는 사람
• 다른 사람이 접근 할 수 없거나, 이미 알고 있는 정보를 요청하는 사람
• 진짜라고 믿기엔 너무 좋은 것 , 복권을 사지도 않았는데 당첨되었다는 등..
• 랜섬웨어 : 파일에 암호를 걸어 놨으니 돈을 내지 않으면 암호를 알려주지 않겠다 .
• 피싱 : 불특정 다수 대상
• 스피어 피싱 : 특정한 대상을 공격 하는 것
  • 업무나 생활패턴 분석
  • SNS 망의 정보를 이용하여 공격
  • 유명인의 경우 검색으로 정보를 쉽게 얻을 수 있음

   

사회 공학적 해킹 시나리오 A

• 공지 1 : 현재 보안 이슈가 있어서 사용자 모두 암호를 변경 해주세요 .
• 공지 2 : 암호 변경 후 >> 보안 문제가 있어서 빨리 패스워드 리셋을 해야 하니
• 복잡한 형태로 영문 숫자 / 문자 넣어서 암호를 다시 생성 후 관리자에게 메일로

  알려주시면 됩니다.

     

   

특별 이벤트를 위장한 악성코드 감염

• 해커 A 는 B 사를 해킹 하려고 한다.
• A는 B사의 직원들이 점심 때 근처 공원에 자주 간다는 걸 발견한다 .
• A는 유명 USB 메모리 제조사 직원으로 가장한다 .
• 특별 이벤트라며 고가의 USB 메모리를 싸게 판다 .
• 점심을 마치고 공원에 나간 B사 직원은 횡재라며 USB 메모리를 산다.
• 회사 컴퓨터에 USB 메모리를 꽂는 순간 내장된 악성코드가 작동된다.

  -> 백도어가 생김.

   

   

보안 회사를 위장한 악성코드 배포

• 보안회사를 가장한 전화 통화
• 안녕하세요 "안랩 시큐리티 사이트 가드 담당자입니다. " 현재 근무하시는 곳의 PC가 감염되었다는 경보를 받았습니다. 혹시 ***.acb 라는 파일이 있는지 확인해 주시겠습니까 ?
• 등등등………….

   

   

   

사회공학적 해킹의 예방

• 패스워드 공유금지
• 많은 정보를 공유하지 말 것
• 연락처 확인