관리 메뉴

kisoo

Touchen safe DDOS 시나리오 본문

01.About Programming /13.Project

Touchen safe DDOS 시나리오

JamesK78 2012. 7. 27. 16:25
  1.  개요

    본 문서는 봇넷을 이용한 DDos 공격을 재연 하여 TouchEnsafe  Agent 에서 DDos 공격에 대한  탐지 부터

    로깅,분석,대응 까지의 침해 대응 체계에 대한 이해를 돕기 위해 작성 되었다.

  2. 환경 설정

    1)PC 3대 준비 (좀비pc,공격받을 웹서버,관제 서버,c&c 서버 )

    2)공격 받는 웹서버의 부하를 체감하기 위한 공격 대상 웹 페이지

    3)서버 IP 를 미리 확보 ( 공인 IP)

    4)터치엔세이프 데모설치 버전

    5)봇넷 app

    6)c&c  서버  app

  3.  공격 및 확인 순서

    1) 일반 사용자 PC에 봇넷 설치

    2) 봇넷 에서 C&C 서버로 접속 (실제 봇넷은 자동으로 접속 시도한다.)

    3) C&C 서버에서 공격 정책을 셋팅 하여 봇넷에 공격 명령 송신(주로 웹공격)

    4) 명령 및 정책을 수신한 봇넷이  해당 웹서버로 공격 시작

    5) 웹서버의 네트워크 트래픽 증가 확인

    6) 페이지의 접속 느려지는 현상을 유관으로 확인 (로딩 속도 표시)

    7)와이어샤크를 통한 패킷 트래픽 확인

  4. TouchEnsafe 설치 및 탐지

    • V3 및 알약이 설치 된 PC 에서 위의 공격을 탐지 하는지 확인 한다.
    • 터치엔 세이프를 설치 하고 탐지가 되는지 확인 -> 탐지 시에는 공격유형,공격서버,공격포트에 대한 탐지 팝업창 출력
    • 탐지 되었다는 것을 사용자가 인지 한 후에  치료,신고,치료및신고 중 하나를 선택 한다.
  5. 차단 및 치료 ( 미 개발 )

        디도스 탐지 시에 탐지된 프로세스를 수집 한다. 사용자가 탐지 인터페이스를 본 후에 사용자에 의해서 수집이 가능 하다. ( 강제 수집은 문제 발생 할 수 있음 )

          1)치료 : 프로세스를 종료 하고 격리 한 후  프로세스 수집 서버로 전송한다. (미개발)

          2)신고: 프로세스를 수집만 한다. ->  호스트기반 능동형 분석 시스템에서 분석 -> 봇넷 추정 -> 시그니처 생성

          3)치료및신고 : 위의 치료 , 신고를 병행한다.

      수집된 프로세스를 호스트 기반 능동형 시스템에서 2차 분석을 하여 , 봇넷으로 추정될 경우 봇넷 정보를 생성하여 DB  에 저장한다. ( 시그니처 db 생성 )

      생성된 시그니처는 TouchEnsafe Agent 에 정책으로 적용되어 시그니처 탐지 기능에 활용 된다.

  6. 공격 알림 어플리케이션 (미개발 )

    • DB 를 60초 간격으로 폴링 하여 공격이 있는지 탐지 한다.
    • 공격로그가 탐지 되면 공격 받은 서버의 관리자에게 email and smss 문자 메세지 전송

      (서버내에 메세지 박스만 띄워서 액션이 가능하다는 것만 표현해준다)

  7. TouchEnsafe 보완 해야할 기능

    • 1) DDOS 기능을 포함 하고 관내 서버로 나가는 공격을 차단 기능

      2) 관리자에게 EMAIL,SMS 형태로 공격 징후를 전달 한다.

      3) 봇넷 프로세스 수집

      4) 봇넷 프로세스 시그니처 DB 확보

      5) 봇넷 프로세스 시그니처 정책을 통한 프로세스 차단

      6)네트워크 세션 차단 ( 방화벽 기능 )

  8.  TouchEnsafe 관리자 페이지

    1) DDOS 기능을 포함 하고 관내 서버로 나가는 공격을 차단 기능

    2) 관리자에게 EMAIL,SMS 형태로 공격 징후를 전달 한다.

    3) 봇넷 프로세스 수집

    4) 봇넷 프로세스 시그니처 DB 확보

    5) 봇넷 프로세스 시그니처 정책을 통한 프로세스 차단

    6)공격 징후를 전달 받은 관리자가 확인 할 사항

    •  APP 로 부터 공격 징후 정보를 받은 보안관리자가 관리자 페이지에 접속하여 관내 공격 정보를 확인 한다.
    •  관리자는 대쉬보드를 통해서 공격 상황을 체크 하고 관 내 서버를 공격하는 IP 를 탐지 하여 공격에 대한 대비를 한다.
    •  관리 내에 있는 서버에 대한 ddos 공격 위험도를 확인 한다.

      DDoS 위험도 5단계
        DDoS 위험도는 인터넷 침해사고 경보단계 (5단계)를 기준으로 분류 한다.
        분류기준은 최근 12시간 사이 관리자가 관리하는 서버에 대해 몇 번의 공격이 있었는지를 기준으로 한다.

    • 위험도 5단계는 정상단계, 경보단계-관심, 경보단계-주의, 경보단계-경계, 경보단계-심각 으로 분류된다.
      공격 횟수 0번 = 정상 단계
      공격 횟수 1~2 회 = 경보단계: 관심
      공격 횟수 3~5 회 = 경보단계: 주의
      공격 횟수 6~10회 = 경보단계: 경계
      공격 횟수 10회 이상 = 경보단계: 심각
  9. 관리자 시스템 USE CASE

    1)제목 : 관리 내 서버의 봇넷 공격 행위 감시

    2)작업자 : 보안 관리자 , 네트워크 관리자

    3)목적 : 관리 서버 , 네트워크 내에서의 긴급 상황 발생에 대비한 봇넷 악성 행위 감시

    4)기본 상태 : 관제 시스템에 접속한 상태.

    5)최종 상태 : 주요 관심 봇넷에 대한 지속적인 감시

    6)주요 단계

    • 관리자가 관제 시스템에 로그인 한다.
    • 관리자는 관제 시스템의 대시보드를 이용하여 관리 내 서버 IP 리스트에 공격 행위를 하는 봇넷을 감시 한다.

       7)  감시방법 1

  • 관리자는 대시보드 페이지를 통해 관제 어플리케이션의 종합적인 상태를 확인 한다.
  • 대시보드에 있는 패널들의 정보를 열람하여 , 현재 관리 내 서버가 공격 받고 있는 현황을 파악한다.

    8) 감시방법 2

  • 공격 현황 그래프및 데이타를 통해서  공격 징후를 파악한 관리자는 보고서 페이지로 이동 한다.
  • 보고서 생성 옵션을 통해서 원하는 상세 보고서를 생성 한다.
  • 감시방법 1 에서 위험도가 높은 봇넷을 발견한 관리자는 해당 IP 의 지리적 위치,분포,구성을 확인한 후 이에 대해 대응 한다.
  • 맵컴포넌트를 이용하여 봇넷의 위치를 추적한다.
  • 공격자 IP 조회를 통해서 봇넷의 위치를 추적한다.
  • 네트워크 단에서 해당 공격자 IP 의 접근을 차단 한다.

12. 공격 상황 발생 시 대응 USE CASE

  1. 제목 : 봇넷 악성 행위 발생 감지
  2. 작업자 : 보안관리자 , 네트워크 관리자
  3. 목적 : 봇넷 악성 행위에 대한 인지 및 대응을 원함
  4. 기본 상태 : 관제 어플리케이션 실행 상태
  5. 최종 상태 : 봇넷 악성 행위에 대한 대응 버튼을 누름( 대응 정책 필요-> 어플라이언스와 연동 or Agent 에 정책 적용 )
  6. 주요 단계

    1)관리자가 관제 서버에 접속 하여 로그인을 한다. (인가된 보안관리자)

    2)로그인 시에 등록된 서버 아이피에 대한 공격 현황 대시보드를 확인 한다.

     

    3)관리자는 대시보드 우측 하단의 오늘의 위험도 , 마지막 로그의 기록을 확인 하여 서버의 공격 상태를 확인 한다.

    4)관리자는 관제 어플리케이션의 대시보드를 이용하여 관리 내 서버별 공격 횟수,공격 유형 ,공격자 순위를 감시한다.

    d1jpg.jpg 

    5)관리자는  메뉴를 통해 서버별 공격 정보와 공격 유형을 확인 한다.

    d2.jpg 

     d3.jpg

    6)관리자는 메뉴를 통해 공격 유형, 프로토콜 별 공격 정보를 확인 한다.

    7)Agent 에서 공격을 시도한다.

    8)Agent 에서 봇넷의 악성 행위가 감지되고 관제 어플리케이션에 로그 데이터가 전송 된다.

    9)관리자가 상황을 인지 하고 관제 봇넷 악성 행위에 대한 로그가 관제 어플리케이션에 보인다.

    10)관리자가 관제 어플리케이션에서 벗어 났을 시를 대비해 보안 관리자 ,  네트워크 관리자에게 SMS,EMAIL 을 발송 한다.

    11)관리자는 1~4를 확인 한다.

       12) 대응 방법 1:

  •   관리자는 공격 받는 서버 IP 를 클릭하여  현재 발생되고 있는 봇넷 악성 행위의 종류와 지리적 위치,구성을 확인 하여 대응 한다.

    13) 대응 방법 2:

  • 대응 방법 1 을 통해 대응을 완료 한 후에 공격이 계속 이뤄 지는지 검색 버튼을 통해서 refresh 하여 확인 한다.

 

 

  13. Touchensafe 관리자 장점

  • 능동적으로 DDOS 공격에 대한 탐지를 함으로써 보안관리자가 빠른 대응을 할 수 있도록  유도
  • 대시보드 페이지를 통해 관제 어플리케이션의 종합적인 상태를 확인한다.
  • 봇넷의 악성행위와 지리적위치 ,분포,구성을 확인한 후 이에 대응 한다.
  • 데이터 그리드 컴퍼넌트의 기능을 이용하여 봇넷의 정량적인 정보를 확인 할 수 있다.
  • 통계/리포트 페이지에서는 탐지된 악성행위 및 동향을 알아 볼 수 있다.

    또한 일자별  ,행위별,타입별 검색을 할 수 있다.

 

 14.결론

 봇넷의 공격을 원천적으로 방어 하기 위한것은 PC 가 악성코드에 감염되는 것을 막고 , PC 가 DDOS 공격에 악용 되는 것을 막는 것이다.

 터치엔세이프의 특 장점은 사용자 PC 에서 발생되는 DDOS 공격을 탐지,로깅을 통해  DOS  공격이 네트워크로 나가는 것을 제어 할 수 있으며,

 관 내 보안 관리자 또는 네트워크 관리자가 공격에 대응 할 수 있도록 상세 통계 / 리포트 기능을 제공 한다.

 최소한의 조작만을 가지고 어렵지 않게 사용할 수 있는 직관성을 통해서  인터페이스의 인터랙션 과정에서 생기는 모션 또한 사용자가 인터페이스를

사용할 때 , 업무의 흐름을 놓치지 않도록 해주기 위한 보조수단이다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

이 글은 스프링노트에서 작성되었습니다.

Comments