해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 시스템 보안 / 5. 버퍼 오버플로우 공격

힙 버퍼 오버플로우 (Heap Buffer Overflow)

쉘 코드를 사용하기 위하여 함수의 반환 주소를 단순히 덮어 쓰는 방법은 사용할 수 없고, 버퍼에 할당된 포인터 값을 덮어 쓰는 공격 방법이다. 

스택 버퍼 오버플로우(Stack Buffer Overflow)

프로그램에서 특정 함수를 실행시키면 스택에 이전 함수로 돌아가기 위한 주소가 기록되고, 버퍼에 큰 값을 넣게 되면 이 스택 영역을 침범하게 됩니다. 리턴 주소가 들어갈 곳에 쉘코드나 다른 프로그램의 주소를 넣으면 그것이 실행되게 되는데, 이를 스택 버퍼 오버플로우라고 합니다.

관련 문제

10회 다음 지문에서 설명하는 공격은? 3
[보기]
- 이 공격에 사용되는 메모리 영역은 malloc, free 등의 함수로 제어함
- 쉘 코드를 사용하기 위하여 함수의 반환 주소를 단순히 덮어 쓰는 방법은 사용할 수 없고, 버퍼에 할당된 포인터 값을 덮어 쓰는 방법이 일반적으로 사용됨

① 스택 버퍼 오버플러우
② 레이스 컨디셔닝
③ 힙 버퍼 오버플로우
④ RTL(Return To Libc)


8회 스택 버퍼 오버플로우 공격의 수행절차를 순서대로 바르게 나열한 것은?3

[보기]
ㄱ. 특정 함수의 호출이 완료되면 조작된 반환 주소인 공격셸 코드의 주소가 반환된다.
ㄴ. 루트 권한으로 실행되는 프로그램 상에서 특정 함수의 스택 버퍼를 오버플로우시켜서 공격 셸 코드가 저장되어 있는 버퍼의 주소로 반환 주소를 변경한다.
ㄷ. 공격 셸 코드를 버퍼에 저장한다.
ㄹ. 공격 셸 코드가 실행되어 루트 권한을 획득하게 된다.
① ㄱ→ㄴ→ㄷ→ㄹ
② ㄱ→ㄷ→ㄴ→ㄹ
③ ㄷ→ㄴ→ㄱ→ㄹ
④ ㄷ→ㄱ→ㄴ→ㄹ

7회 다음 내용은 어느 공격기법에 관한 설명인가?1

보기
침해 시스템을 부넉하던 중 test라는 계정의 홈 디렉터리에서 C언어로 작성된 Exploit 코드와 컴파일된 바이너리파일을 발견할 수 있었다. 이 Exploit은 stack에 할당되어진 변수에 데이터 사이즈를 초과 입력하여 RET를 덮어 씌워 ShellCode를 실행하는 코드였다.
① Buffer Overflow
② Format String
③ Race condition
④ Brute force

6회 메모리 오류를 이용해 타깃 프로그램의 실행 흐름을 제어하고, 최종적으로는 공격자가 원하는
임의의 코드를 실행하는 것을 무엇이라 하는가? 2
① 포맷 스트링 ② 버퍼 오버플로우
③ 레이스 컨디셔닝 ④ 메모리 단편화

4회 다음 중 버퍼오버플로우 대한 설명으로 올바르지 못한 것은?1
①버퍼에 저장된 프로세스 간의 자원 경쟁을 야기해 권한을 획득하는 기법으로 공격하는 방법이다.
②메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하는 기법을 사용하여 해킹을 한다.
③스택 버퍼오버플로우와 힙 오버플로우 공격이 있다.
④버퍼오버플로우가 발생하면 저장된 데이터는 인접한 변수영역까지침범하여 포인터 영역까지 침범하므로 해커가 특정코드를 실행하도록 하는 공격기법이다.

8회 버퍼 오버플로우 공격의 대응수단으로 적절하지 않은 것은? 2
① 스택상에 있는 공격자의 코드가 실행되지 못하도록 한다.
② 프로세스 주소 공간에 있는 중요 데이터 구조의 위치가 변경되지 않도록 적재 주소를 고정시킨다.
③ 함수의 진입(entry)과 종료(exit) 코드를 조사하고 함수의 스택 프레임에 대해 손상이 있는지를 검사한다.
④ 변수 타입과 그 타입에 허용되는 연산들에 대해 강력한 표 기법을 제공하는 고급수준의 프로그래밍 언어를 사용한다.

정보보안기사 필기 독학 / 시스템 보안 / 4. 논리폭탄, 레이스 컨디션 공격

논리폭탄

정 조건이 만족될 때까지 잠복하고 있다가 조건이 만족되면 트리거 되어 해커가 원하는 동작을 실행하는 공격방법입니다.

레이스 컨디션 공격(Race Condition)

버그가 가고 있는 System Program과 침입자의 Exploit Program이 거의 같은 시간대에 실행되어 System Program이 갖는 권한으로(Set-User ID가 붙은 경우 Root, Bin 등…) File에 대한 Access를 가능하게 하는 공격 방법입니다.

관련 문제

10회 논리폭탄에 대한 특징을 설명하고 있는것은? 3
① 프로그래머나 시스템 관리자가 그들만이 사용할 수 있도록 소프트웨어에 보안 hole을 만들어 놓는다.
② 컴파일러 개발자가 컴파일러 안에 악성코드를 삽입하여 유포함으로써, 소프트웨어의 소스코드에서는 악성코드를 찾을 수 없도록 하였다.
③ 프로그램 환경변수들이 사전 정의된 값과 일치되면 악성행위를 수행 한다.
④ 자기 복제기능을 갖고 있다.

9회 특정 조건이 만족될 때까지 잠복하고 있다가 조건이 만족되면 트리거 되어 해커가 원하는 동작을 실행하는 공격방법은? 3
① 트로이 목마
② 키로거
③ 논리 폭탄
④ 백도어 (Backdoor)

10회 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상을 이용하는 공격은 무엇인가? 4
① SQL 인젝션 공격
② LADP 인젝션 공격
③ XML 인젝션 공격
④ 레이스 컨디션 공격

8회 다음 설명에 해당되는 공격 유형은? 3
[보기]
버그가 가고 있는 System Program과 침입자의 Exploit Program이 거의 같은 시간대에 실행되어 System Program이 갖는 권한으로(Set-User ID가 붙은 경우 Root, Bin 등…) File에 대한 Access를 가능하게 하는 방법을 말한다.
① Stack Based Buffer Overflow
② Format String
③ Race Condition
④ Synchronization

6회 다음 중 레이스 컨디셔닝 공격에 대한 설명으로 올바르지 않은 것은? 4
① Setuid가 설정되어 있어야 한다.
② 임시 파일을 생성해야 한다.
③ 임시 파일을생성할 때 레이스 컨디셔닝에 대응하지 않아야 한다.
④ 임시 파일 이름을 공격자가 몰라도 된다.

14회 다음에서 설명하는 취약점(또는 공격 메커니즘)은 무엇인가? 3
공유 자원에 대해 여러 개의 프로세스가 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과값에 영향을 줄 수 있는 상태로, 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다
①Drive by download
②Exploit
③Race Condition
④Buffer Overflow

정보보안기사 필기 독학 / 시스템 보안 / 3. 악성코드, 루트킷, 바이러스

악성코드

제작자가 의도적으로 다른 사람에게 피해를 주기 위해 만든 모든 악의적인 프로그램, 매크로, 스크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태의 코드입니다.

루트킷(RootKIT)

해커들이 컴퓨터나 또는 네트워크에 침입한 사실을 숨긴 채 관리자용 권한을 획득하는데 사용하는 도구로 프로그램 모음입니다. 

바이러스

자기 또는 자신의 변경코드를 실행하는 프로그램으로 시스템 영역 등 실행 가능한 부분에 복제하는 프로그램입니다.

관련 문제

13회 다음 악성코드에 대한 설명 중 옳지 않은 것은? 3
① 루트킷(Rootkit)은 단일 컴퓨터 또는 일련의 컴퓨터 네트 워크에 대해 관리자 레벨의 접근을 가능하도록 하는 도구의 집합이다.
② 원(Worm)은 네트워크 등의 연결을 통하여 자신의 복제품을 전파한다.
③ 트로이목마(Trojan Horse)는 정상적인 프로그램으로 가장한 악성프로그램으로 보통 복제 과정을 통해 스스로 전파된다.
④ 트랩도어(Trapdoor)는 정상적인 인증 과정을 거치지 않고 프로그램에 접근하는 일종의 통로이다.

* 트로이목마는 복제 과정을 통해 스스로 전파되지 않습니다.

10회 Visual Basic 스크립트를 이용한 악성코드에 대한 설명으로 맞는 것은? 4
① 웹브라우저에서 실행될 경우 스크립트가 브라우저에 내장되므로 파일의 내용을 확인하기 어렵다.
② 독립형으로 개발할 경우 파일 생성에 제한을 받아 윔형 악성코드를 만들지 못한다.
③ 확장자는 VBA다.
④ 이메일에 첨부되어 전파될 수 있다.

6회 다음 중 루트킷에 대한 설명으로 올바르지 못한 것은? 2
① 로그 파일을 수정한다.
② 루트킷은 자기 복제가 가능해 다른 PC에도 설치된다.
③ 시스템 흔적을 제거한다.
④ 기존 시스템 도구들을 수정한다.

6회 다음 중 안티 루트킷의 주요 기능이 아닌 것은? 4
① 숨김 파일 찾기
② 수정된 레지스트리 찾기
③ 프로세스 보호 해제
④ 로그 파일 흔적 제거

5회 다음 중 루트킷에 대한 특징으로 올바르지 못한 것은?2
① 트래픽이나 키스트로크 감시
② 커널 패치
③ 로그 파일 수정
④ 시스템 흔적 제거

11회 다음 중 컴퓨터 바이러스에 대한 설명으로 옳지 않은 것은? 2
① 부트 바이러스란 플로피디스크나 하드디스크의 부트섹터를 감염시키는 바이러스를 말한다.
② 파일 바이러스는 숙주 없이 독자적으로 자신을 복제하다른 시스템을 자동으로 감염시켜 자료를 유출, 변조, 삭제하거나 시스템을 파괴한다.
③ 이메일 또는 프로그램 등의 숙주를 통해 전염되어 자료를 변조, 삭제하거나 시스템을 파괴한다.
④ 최근 들어 암호화 기법을 기반으로 구현된 코드를 감염 시 마다 변화시킴으로써 특징을 찾기 어렵게 하는 다형성 (Polymorphic) 바이러스로 발전하고 있다

9회 다음 중 운영체제와 무관하게 매크로 기능이 있는 MS 오피스 제품과 같은 프로그램을 통해 활동하는 컴퓨터 바이러스에 해당하는 것은? 1
① 매크로(Macro) 바이러스
② 다형성(Polymorphic) 바이러스
③ 은폐형(Stealth) 바이러스
④ 암호형(Encryption) 바이러스

*1세대 원시형 바이러스 : 프로그램 구조가 단순하고, 분석이 상대적으로 쉬운 바이러스입니다.

*2세대 암호화 바이러스 : 백신 프로그램이 진단할 수 없도록 바이러스 프로그램의 일부 또는 대부분을 암호화시켜 저장한 바이러스입니다. 

*3세대 은폐형 바이러스 : 기억장소에 존재하면서 감염된 파일의 길이가 증가하지 않은 것처럼 보이게 하고, 백신 프로그램이 감염된 부분을 읽으려고 할 때 감염되기 전의 내용을 보여줘 바이러스가 없는 것처럼 은폐를 하는 바이러스입니다. 

*4세대 갑옷형 바이러스 : 여러 단계의 암호화와 다양한 기법들을 동원하여 바이러스 분석을 어렵게 하는 바이러스입니다.

*5세대 매크로 바이러스 : 운영체제와 관계없이 동작하는 응용 프로그램 내부에서 동작하는 바이러스입니다.

정보보안기사 필기 독학 / 시스템 보안 / 2. 랜섬웨어, 멜트다운

랜섬웨어(Ransomware)

컴퓨터 시스템에 저장된 사용자 문서 파일을 암호화하거나 컴퓨터 시스템을 잠그고 돈을 요구하는 악성 프로그램으로 전자메일이나 웹사이트 등 다양한 경로를 통해 감염된다.

멜트다운(Meltdown)

인텔 x86 마이크로프로세서, IBM 파워 마이크로프로세서 및 일부 ARM 기반 마이크로프로세서에 영향을 주는 하드웨어 취약점이다. (CPU 취약점)

스펙터(Spectre)

분기 예측이 적용된 모든 현대 마이크로프로세서에 영향을 주는 하드웨어 보안 취약점이다. (CPU 취약점)

관련 문제

14회 랜섬웨어의 특징으로 옳지 않은 것은? 3
①CryptoLocker는 중요 파일을 암호화하고 돈을 요구한다.
②Browlock은 경찰로 위장하여 불법사이트 접속에 대한 벌금 납부를 유도한다.
③주로 파일 암호화 알고리즘인 RSA를 이용한다.
④돈을 지급하더라도 복구가 제대로 이루어지지 않는 경우가 많다.

8회 악성코듸의 종류는 무엇인가? 4
[보기]
이 악성코드는 컴퓨터 시스템에 저장된 사용자 문서 파일을 암호화하거나 컴퓨터 시스템을 잠그고 돈을 요구하는 악성 프로그램으로 전자메일이나 웹사이트 등 다양한 경로를 통해 감염된다. 이러한 악성코드로는 크립토월, 크립토락커, CoinVault 등이 대표적으로 알려져 있다.
① 바이러스
② 루트킷
③ 웜
④ 랜섬웨어

25. 암호가 걸려 해당 자료들을 열지 못하게 하는공격을 의미하는 것은? 1
① Ransomware
② DRDos
③ Stuxnet
④ APT

14회 멜트다운 취약점의 특징으로 잘못된 것은? 2
①CPU 성능을 높이기 위한 메커니즘을 악용하는 취약점이다.
②메모리보다 하드디스크 영역에 접근하는 것이 빠른 점을 이용했다
③사용자가 커널에서 관리하는 메모리영역에 접근할 수 있다
④부채널 공격의 일종이다

14회 다음 중 하드웨어에 기반한 보안 취약점 및 공격은? 4
①shellshock
②heartbleed
③WannaCry
④spectre