2023. 8. 25. 13:24ㆍ보안/packet tracer
security onion
"Security Onion"은 네트워크 보안 모니터링 및 이상 징후 탐지를 위한 오픈 소스 플랫폼이다. 이 도구는 네트워크 트래픽 분석, 로그 관리, 이상 징후 탐지 등 다양한 보안 기능을 제공하여 조직이 네트워크 내에서 발생할 수 있는 보안 위협을 식별하고 대응할 수 있도록 돕는다.
주요 특징과 구성 요소
- Packet Capture (PCAP) : Security Onion은 네트워크 트래픽을 캡처하여 저장하고 분석하는 기능을 제공한다. 이를 통해 네트워크 활동을 실시간으로 모니터링하고, 필요할 때 패킷을 검토하거나 분석할 수 있다.
- Intrusion Detection System (IDS) : Security Onion은 Snort와 Suricata와 같은 인트러전 디텍션 시스템을 사용하여 네트워크 내의 이상 행위나 악성 트래픽을 감지한다.
- Network Security Monitoring (NSM) : 네트워크 보안 모니터링을 위한 다양한 도구와 인프라를 제공하여 네트워크 상의 이상 징후를 탐지하고 대응하는 데 도움을 준다.
- 로그 수집 및 분석 : Security Onion은 Elastic Stack (Elasticsearch, Logstash, Kibana)을 통해 로그를 수집하고 분석한다. 이를 통해 시각화된 로그 데이터를 통해 보안 이벤트를 식별할 수 있다.
- Zeek (구 Bro) 인프라 : Zeek는 네트워크 트래픽을 분석하고 네트워크 활동을 모니터링하는 데 사용되는 강력한 도구다. Security Onion은 Zeek를 활용하여 네트워크 상의 이벤트와 연결을 탐지한다.
- 원격 감시 및 분석 : Security Onion은 원격으로 다양한 센서를 배치하여 분산된 환경에서도 통합된 보안 모니터링 및 분석을 지원한다.
- 사전 구성된 VM 이미지 : 보다 쉬운 배포를 위해 사전 구성된 가상 머신 이미지도 제공된다.
실습
traffic analysis exercises 예제를 가지고 실습을 해봤다.
용어 정리는 간단히 해보자.
CnC 서버 : 악성코드와 통신하는 서버
payload : 컴퓨터 내부에 들어가서 무엇을 실행시킬 것인지를 나타냄
exploit kit(EK) : 페이로드를 실행시켜주는 것
페이로드와 EK가 함께 동작하며 EK는 주로 자바스크립으로 이뤄져있다.
EK가 난독화를 제공해서 페이로드에 접근하는 것을 어렵게 한다.
AlphaCrypt : 모든 Windows 버전을 대상으로 파일 암호화 랜섬웨어 프로그램
정리해보면 SGUIL을 통해
공격자 64.20.39.203
CnC 72.55.148.19
client 192.168.137.239
이 파악 가능하고 AlphaCrypt를 통해 랜섬웨어 공격을 하려는 것이 페이로드다.
또한 networkminer에서 각 ip 주소의 hostname을 바로 알 수 있다.
"iframe"은 "inline frame"의 줄임말로, 웹 페이지 내에서 다른 웹 페이지나 문서를 포함시키기 위해 사용하는 HTML 요소다.
따라서 redirect 주소는 46.108.156.181이다.
'보안 > packet tracer' 카테고리의 다른 글
| malware traffic exercise2 (0) | 2023.08.25 |
|---|---|
| xplico (0) | 2023.08.25 |
| 패킷 검사2 (0) | 2023.08.25 |
| 패킷 검사1 (0) | 2023.08.24 |
| networkminer (0) | 2023.08.24 |