| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- 동적분석
- frida-client
- goormide
- checkra1n
- fridump
- 프록시
- 중요정보검색
- ios
- goorm
- frida서버설정
- 안드로이드동적분석
- frida설정
- 모바일보안
- irunit
- 위변조탐지
- IDE
- 웹ide
- 3utools
- Frida
- checkrain
- fowarding
- android
- 무결성검증
- 메모리취약점
- m5go
- frida-server
- reverse shell
- m5stack
- 모바일해킹
- 무료웹ide
- Today
- Total
WhiteHat Security
제15회 HDCON 해킹방어대회 올가미팀 참가 후기(예선-1) 본문
제 15회 HDCON 해킹방어대회 참가 후기를 적어보려고 한다.
이 글을 보고 다음 대회에 참여하는 참가자들이 어느정도 도움을 받을 수 있었으면한다.
이번 HDCON 해킹방어 대회는 침해사고 분석 및 대응능력 향상을 목표로 정보보호 분야의 다양한 침해사고 해결책(아이디어) 발굴을 위한 목적으로 진행되었다고 한다.
대회공지 링크 : http://www.kisa.or.kr/notice/notice_View.jsp?cPage=1&mode=view&p_No=4&b_No=4&d_No=2254&ST=T&SV=hdcon
올 하반기 개인적으로 많은 일들이 있었지만, 그중에서도 가장 기억에 남는일이었다.
(그만큼 고생도 많이 했다라는 말과 같다.)
대회에 참가하면서 예선 제안서도 내고, 본선도 치뤘지만 제안서나 본선에 담아내지 못한 이야기를 개인적 공간인 이곳에 풀어보려고 한다.
P.S. 틀린 내용이나 보완할 내용, 근거있는 비판은 얼마든지 환영합니다.
(저는 항상 부족하다고 생각하기에 남들보다 더 노력하고 더 배워야 한다고 생각합니다)
1. 예선개요
- 팀 구성 : 한 팀당 최대 4명까지 가능(복수 문제 선택 가능)
- 신청기간 : 2018. 10. 1(월) ~ 19(금) 17:00
- 예선심사발표 : 2018년 11월 초
- 약 3주간의 예선기간이 있었다고 보면되겠다.
2. 문제출제 (링크 : http://www.kisa.or.kr/jsp/common/downloadAction.jsp?bno=4&dno=2254&fseq=2)
- 문제 유형은 세가지였다. (1) Supply Chain Security , (2) 계정도용, (3) 내부망 침투 이 세가지 문제중 본인의 팀이 문제를 선택하여 제출할 수 있었으며 여러문제에 대한 제안서를 내는것도 가능하였다.
- 우리는 그 중에서도 내부망 침투에 대한 문제를 선택하였다. 본인은 취약점 분석평가, 모의해킹 업무를 주로 하고 있다.
- 따라서 공격자의 심리를 잘알고 방어를 할 수 있다는 판단이 들어서였다.
- 그리고 1, 2 번문제는 기술적 방안과 관리적 방안을 같이 제안하지 않고서는 사실 풀어나가기 힘든 문제라고 생각했다. 그리고 이거다 하는 아이디어도 떠오르지 않았다.
(세문제 다 정답은 없다. 대회 의도 자체가 우리가 직면하고 있는 어려운 문제에 대한 좋은 아이디어를 발굴하기 위한 대회였기 때문이다.)
3. 내부망 침투 문제 개요
(배경/전제사항)
- 내부망 침투 문제는 5000대 이상의 호스트를 가진 국가기술정보를 생산/관리하는 업체에 예방체계(DLP/DRM/NAC/백신 등)를 우회하여 이미 100여대의 호스트를 공격자가 확보한 상태이다.
- 공격자는 비콘형 명령채널과, 체인형 백도어를 이용하여 침투한 내부망을 관리하고 있다.
- 그리고 내부망에서 수집된 정보를 10MB 이상 외부 발송을 차단하는 정책을 우회하여 5MB단위로 분할하여 외부로 유출하는 상태이다.
(제약조건)
- 시그니처기반 장비를 구매, 외부전문가에게 의뢰 할수 없음
- 방어자는 Netflow에 접근할 수 있음
- 위협모델링 및 변화하는 공격에 대응할 수 있도록 제시하시오
4. 문제 분석 및 예선 전략
- 제출된 문제를 통제 유형에 따라 분석해보면 예방통제(시그니처기반 보안프로그램)에 집중되어있고, 탐지/적발 통제 대책은 다소 빈약해보였다.
- 따라서 예방대책을 그대로 활용하고, 탐지/적발 통제 대책을 보완할 수 있는 전략을 선택하기 위해 Layered Security 를 구현하려고 노력했다.
- 예전에 기업에서 보안담당업무를 할때 정말 말도안되게 보안장비에 대한 관제 모니터링을 혼자 해야만 했던 기억을 떠올리며,
(사실 그게 되겠는가..하지만 많은 기업들이 당면한 현실임을 종종 봐왔다.)
- 중소기업 혹은 1인이 대응한다고 생각하고 전략을 짜려고 노력했다.
(문제 출제의도에도 중소기업에서도 저비용으로 할 수 있고, 대기업에서도 활용가능한 솔루션을 원했다.)
- 따라서 탐지 이벤트를 줄이고 확실한 공격 징후를 탐지하기 위해서는 공격자의 허를 찌를 수 있는 허니팟을 통해 구현을 통해 가능하리라 생각했다.
(나는 항상 공격자 입장에서 일을 하기 때문에 내가 걸려들 수 있을 만한 허니팟을 만들어야 했다. 그렇지 않으면 쓸모가 없다.)
- 또한 1명이 빠른대응을 하기 위해서는 시각화가 필수라고 판단했다.(지구본 돌아가는거말고!)
- 그래서 우리는 세가지 핵심 전략을 가지고 접근했다. Layered Security, Honeypot, Visualization.
다음 글에서는 팀원구성, 예선제안서 작성에 대해 쓸 예정이다.
'보안 > 대회' 카테고리의 다른 글
| 제15회 HDCON 해킹방어대회 올가미팀 참가 후기(예선-2, 본선-1) (0) | 2018.12.17 |
|---|
