SKS 공부 - 2026-01-19

한줄요약:

보안 관제 - **"가상화 기반의 안전한 환경에서 OSINT 도구를 통해 타겟을 식별하고, 와이어샤크 패킷 필터링과 시그니처 분석을 통해 실제 침해 사고의 공격 경로와 피해 규모를 산출하는 통합 보안 분석 프로세스를 학습했습니다."**

오늘 공부한 내용:

					

					  



---

## 🖥️ 1. 분석 환경 구축 (VMware & OS)

분석 환경은 언제든 공격 이전으로 되돌릴 수 있는 **'스냅샷'**이 핵심입니다.

* **Windows 10:** 실시간 감시와 방화벽을 끄는 이유는 분석 도구(Python, Wireshark, 해킹 툴 등)가 차단되는 것을 방지하기 위함입니다.
* **Ubuntu:** 서버용(Nginx 등)으로 최적화하여 원본(Golden Image)을 만들고, 필요할 때마다 복제(Clone)하여 사용하는 것이 효율적입니다.

---

## 🔍 2. OSINT: 보이지 않는 정보 찾기

OSINT는 공격 대상의 정보를 수집하는 첫 단계입니다.

* **핵심 도구:** Criminal IP, Shodan, Virustotal 등.
* **Shodan 활용:** 단순히 IP를 찾는 것을 넘어, `vuln`, `has_screenshot`, `port` 옵션을 조합해 보안이 취약한 IoT 기기나 데이터베이스(MongoDB 등)를 식별하는 연습이 중요합니다.
* **사고방식:** "공개된 정보만으로도 시스템의 OS, 서비스 버전, 취약점(CVE)까지 파악할 수 있다"는 점을 인지하는 것이 핵심입니다.

---

## 🧪 3. 패킷 분석 (Wireshark) 실무

패킷 분석은 발생한 사고의 '흔적'을 찾는 디지털 포렌식의 핵심 과정입니다.

### 💡 필터링 전략

* **Capture Filter:** 캡처할 때부터 거르기 (성능 최적화).
* **Display Filter:** 캡처된 데이터 중 보고 싶은 것만 보기.
* `http.request.method == "POST"`: 로그인 시도나 파일 업로드 확인.
* `http.response.code == 404`: 공격자가 경로를 찾기 위해 스캔한 흔적 확인.



### 🛡️ 공격 시그니처 판별법

패킷 내부의 텍스트(Line-based text data)에서 다음 패턴을 찾아야 합니다:

* **SQL Injection:** `union select`, `' or 1=1`
* **XSS/Webshell:** `script`, `onerror=`, `shell.jsp`
* **RCE (원격 명령 실행):** `cmd.exe`, `/bin/bash`, `wget`, `curl`

### 🔢 해시(Hash) 계산 참고

파일의 무결성이나 악성 여부를 확인할 때 사용합니다.

* **MD5** : $128\text{ bits} = \text{16진수 32자리}$
* **SHA-1** : $160\text{ bits} = \text{16진수 40자리}$

---

## 📝 4. 패킷 분석 샘플 실습 가이드

샘플 1과 2를 분석할 때 다음 흐름을 따라가면 보고서 작성이 훨씬 쉬워집니다.

1. **공격자 IP 파악:** 가장 많은 요청을 보내거나, 특정 자산에 집중적으로 에러(401, 404)를 유발하는 IP.
2. **공격 수단:** `POST` 요청의 데이터나 `URI`를 확인하여 어떤 취약점(Webshell 업로드, SQLi 등)을 썼는지 확인.
3. **파일 복원:** `Export Objects -> HTTP`를 통해 공격자가 올린 웹쉘 파일을 직접 추출하여 해시값 측정.
4. **명령어 분석:** TCP 스트림 추적(`Follow TCP Stream`)을 통해 공격자가 시스템 침투 후 입력한 명령어(ls, whoami 등) 확인.

---