1. 탐지패턴 2. 공격자 3. 결과화면

Remote os commnad injection 변수 값의 검증 미흡으로 원격에서 운영체제 명령어를 삽입할 수 있는 취약점. 1. 탐지패턴 os 커맨드 문자열인 cat,type,head 등등을 패턴에 입력시킨후 공백or + 문자열 후 ../../ 등의 문자열이 올수있기 때문에 정규표현식 .* 을 넣고, 리눅스 경로 표현 문자열 /, 윈도우 \를 탐지하는 표현식 작성(url인코딩, 헥사코드) 2. 공격자 owasp-zap -> attack -> active scan 에서 아래와 같이 os command injection 설정후 스캔을 수행한다. 3. 탐지결과 zap툴을 활용하여 시스템에 공격을 수행한 결과 해당 탐지패턴으로 정상적으로 잘 탐지되었다.

스노트에서는 PCRE(펄 호환 정규표현식)을 사용한다. 스노트의 탐지패턴(content, nocase, http옵션)으로 탐지하지 못한 패턴을 탐지하거나 content옵션의 정확도를 올리기 위해 사용됨. 메타문자 - 정규표현식에서 의미를 가지는 문자를 뜻함. 수량자 - 설정한 패턴, 클래스의 반복횟수를 결정 { } 안에 값을 설정. 클래스 - 탐지할 패턴을 결정 [ ] 안에 값을 설정. 정규표현식 옵션

포트스캔? 포트스캔이란 운영중인 서버에 열려있는 TCP/UDP 포트를 검색하는 행위. 취약점 점검이나 공격을 위한 정보수집에 활용될 수 있다. 룰옵션 스캔할 대상 시스템의 22번 포트로 들어오는 TCP 패킷중에 FIN, UPR 이거나 플래그가 설정되지 않는 패킷을 탐지한다. 공격자 nmap -sN 192.168.175.183 / NULL 스캔 nmap -sF 192.168.175.183 / FIN 스캔 nmap -sX 192.168.175.183 / XMAS 스캔 탐지결과 스노트 룰에의해 FIN, NULL, XMAS 스캔을 성공적으로 탐지

path traversal? 파일 다운로드 기능이 존재하는 웹 애플리케이션에서 파일 다운로드 시 파일의 경로 및 파일명을 파라미터로 받아 처리하는 경우에 파일에대한 접근권한이 설정되어 있지않을 경우 공격자가 파라미터를 조작하여 서버의 중요자원을 다운받을 수 있는 취약점. 탐지룰 공격대상 시스템에 path traversal 공격 패턴인 ../../etc/passwd 패턴을 대소문자 구분없이 탐지하는 룰 공격자 owasp-zap툴을 활용하여 공격대상 시스템에 path traversal 공격을 수행함. 탐지결과 스노트 탐지패턴에 의해 path traversal 공격이 잘 탐지되었다.

pingofdeath? 공격할 시스템에 비정상적인 icmp패킷을 대량으로 전송하여 시스템 자원을 무의미하게 소모시켜 대상 시스템을 충돌시킨다. 내부자원의 소모율을 높여 네트워크 성능을 저하시킴. pingofdeath 공격을 탐지하기위해 임계값 설정을 해야함. 그렇지않으면 일반적인 icmp 요청까지 탐지대상에 들어간다. 임계값 설정을 통해 정상 핑요청과 악의적 핑요청을 구분할 필요가있음. 룰패턴 출발지 모든 ip,port에서 192.168.175.183의 모든포트로 가는 icmp 패킷 중에서 매2초마다 10번 카운트 될시 한번 경고알람을 발생시킨다. 공격자 공격대상 시스템에 많은양의 ICMP 패킷을 전송함. 탐지결과 많은 양의 ICMP가 전송된것을 룰에의해 잘 탐지하고 있는것을 확인가능.