컴퓨터/보안 (10) 썸네일형 리스트형 [시놀로지 DS220j] admin 계정 무차별 대입 공격 차단 0. 공격 확인 최근 NAS 로그를 보니 다수의 IP주소에서 admin 계정으로 DSM 로그인 시도가 있는 것을 발견했다. 어차피 admin 계정은 비활성화시켜 놓았고, 로그인 가능한 계정도 2-factor 인증을 설정해놔서 영향력은 없지만 이렇게 쓸데없이 많은 로그가 지속적으로 찍히니 보기에도 좋지 않고, 정상 관리자 로그인 로그를 보기가 힘들어진다. 1. 공격지 흥미롭게도 다수의 공격지 IP주소는 모두 Synology NAS였다. 아마 동일한 admin 계정 무작위 대입 공격으로 감염되어 좀비화된 서버라고 추정된다. 2. 공격지 차단 Synology는 DSM에 특정 시간 동안 특정 횟수 이상 로그인 시도가 있을 경우 자동 차단 기능을 제공한다. 그러나 이 공격은 한 IP주소에서 하루에 1~5회 정도로.. 슈퍼 타임라인 분석도구 - Timesketch + Plaso 0. 소개 Timesketch는 오픈소스 웹UI 타임라인 분석 도구로, 다수의 분석가들이 한 사건에 대해 다수의 타임라인을 업로드하여 협업하여 분석이 가능하다. 주석, 태그 등의 편의 기능도 제공한다. 1. Timesketch 도커 컨테이너 실행 먼저 아래 명령으로 docker-compose를 설치한다. $ sudo apt install docker-compose 이후 아래 Deployment Helper 스크립트를 다운로드하고 실행 권한을 부여한다. $ curl -s -O https://raw.githubusercontent.com/google/timesketch/master/contrib/deploy_timesketch.sh $ chmod 755 deploy_timesketch.sh Timesketc.. 슈퍼 타임라인 분석도구 - Plaso (도커 기반) 0. 소개 Plaso는 여러 형식의 로그를 한번에 묶어서 시간대별로 정렬해주는 도구로, 타임라인 분석을 할 때 유용한 아주 강력한 도구다. 시스템 상의 로그가 분석가가 예상치 못한 곳에 남는 것도 많기 때문에, 타임라인 분석도구에서 생각지 못한 유용한 정보를 얻는 경우도 많다. 과거 Plaso 버전은 '1.5.1'과 같은 식으로 버전명을 붙였으나, 최근 나오는 Plaso는 '20210213'과 같이 날짜를 버전으로 사용한다. 그리고 이전에는 윈도우 독립 실행 바이너리를 제공했는데, 최근엔 Python 소스코드나 도커 이미지 형태로 제공된다. 도커로 사용하는 방식이 간편하기 때문에 여기에서는 도커를 이용한 방법을 소개한다. 먼저 docker가 설치되어 있어야 한다. 아래의 매뉴얼에 따라 docker 설치를.. stunnel + OpenVPN 구축하기 (안드로이드 클라이언트) 이번 포스팅에서는 stunnel + OpenVPN 서버에 안드로이드 클라이언트를 이용해 접속해볼 것이다. 0. 준비물 안드로이드에서 간편하게 설정파일을 불러와 OpenVPN에 접속하기 위해서는 윈도우10 클라이언트 접속시 사용한 config.ovpn 설정 파일과 stunnel.p12 파일이 필요하다. 미리 이 두 파일을 안드로이드 휴대폰에 옮겨놓고 시작하자. 이 설정 파일 세팅 방법은 각각 아래 링크를 참고하기 바란다. config.ovpn : stunnel + OpenVPN 구축하기 (윈도우10 클라이언트) stunnel.p12 : stunnel + OpenVPN 구축하기 (Ubuntu 20.04 서버) 1. SSLDroid Google Play 스토어에서 SSLDroid를 설치한다. 앱을 실행하고 메.. 이전 1 2 3 다음
