윈도우 운영체제
UAC(User Account Control)
- 강제적 접근 제어를 수행한다.
- 낮은 권한을 가진 사용자가 소프트웨어 설치 시에 관리자 암호를 요구한다.
UAC는 일반 사용자가 관리자 권한을 부여하기 전에 확인을 받는 기능으로 윈도우 비스타부터 추가된 기능이다.
즉, 관리자 계정과 사용자 계정을 분리한 후 사용자 계정이 관리자 권한을 필요로 하는 경우 윈도우 시스템에 안내창을 실행하여 관리자 권한으로 실행한다.
CPU 취약점
Spectre - 사이버 공격의 원인이 하드웨어 기반인 것
인텔의 CPU 취약점 (Meltdown & Spectre)
CVE-2017-5753으로 등록된 것으로, 인텔 CPU가 최적화(Speculative Execution)
윈도우 운영체제의 기본 공유
C$
D$
ADMIN$
IPC$ - Null Session 취약점. 패스워드를 null로 설정하여 접속할 수 있는 보안 취약점. 공격자는 인증없이 윈도우 운영체제의 사용자명, 공유정보 등을 열람할 수 있고 레지스트리에 접근할 수 있다.
랜섬웨어
- 피해자의 파일을 암호화시키고 금품을 요구하는 공격
- 크립토락커(CryptoLocker)는 주로 이메일 첨부와 같은 형태로 감염되는데 구 버전 인터넷 익스플로러, 플래시의 취약점을 이용하여 Drive by Download 방식으로 감염된다.
- 랜섬웨어는 이미지, 문서 등을 암호화하며, 백신으로 해결되지 않는다.
리눅스 디렉터리
/etc - 리눅스 운영체제에서 시스템 환경 설정에 관한 디렉터리
/tmp - 여러 프로그램이 사용할 수 있는 임시 디렉터리
/dev - 리눅스 운영체제에서 장치에 관련한 정보를 가지고 있는 디렉터리
윈도우 LSA (Local Security Authority)
모든 계정 로그인에 대해서 접근 권한을 검사한다.
SRM을 생성하고 감사로그를 기록한다.
윈도우 계정명과 SID를 매칭하고 SRM이 생성한 감사로그를 기록한다.
보안 서브시스템(Security Subsystem)이라고도 한다.
접근 권한 검사 시에 로컬 및 원격 로그인에 대해서도 수행된다.
SRM (Security Reference Monitor)
SRM은 인증된 사용자에게 SID를 부여한다.
SID(Security ID)는 파일 및 디렉터리에 대한 접근을 허용할지를 결정하고 감사 메시지를 생성한다.
SID 정보에 500번은 Administrator, 501번은 Guest, 일반 User는 1000번 이상의 값을 가진다.
경쟁 조건(Race Condition)이란, 다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행할 때 발생되는 비정상적인 상태를 의미하며, 임의의 공유 자원을 여러 개의 프로세스가 경쟁하기 때문에 발생한다.
Race Condition: 다중 프로세스 환경에서 백도어를 만들고 백도어에 setuid를 설정한 후에 심볼릭 링크를 생성한다. 공격자는 심볼릭 링크를 사용해서 공격하는 것이다.