AD 용어 정리

NTLM

: 사용자의 신원을 인증하고 활동의 무결성 및 기밀성을 보호하기 위해 Microsoft에서 제공하는 보안 프로토콜 모음.

 

Pxexec

: 원격제어를 할 수 있는 경량 원격 제어 프로그램이다.

원격으로 정해진 시간에 프로그램을 제어하고 프로그램을 실행시킬 수 있다. 서버 패치 자동화 같은 경우에 사용하기도 함.

 

도메인 컨트롤러(Domain Controller)-DC

: 로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터.

AD에서 도메인 서비스를 구현할 경우 도메인에 하나 이상의 DC를 설치해야함.

 

글로벌 카탈로그(Grobal catalog)

: AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소.

사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 여기에 저장된다.

 

Local 계정 파일(SAM File)

: Domain 관련 작업은 수행할 수 없고 해당 컴퓨터 (Local)에서만 작업이 가능하다.

컴퓨터 이름\계정명으로 표현한다.

 

Domain 계정

: 도메인 관련 작업 및 공유 자원에 대한 접근이 가능한 계정이다.

- 도메인 이름\계정명으로 표현.

- 로컬계정명이 도메인 안에 있는 계정이 포함되어있지 않다면 접근할 수 없음.

 

Cyber-Kill Chain

: 사이버킬체인이란 군사용어 킬체인에서 비롯되어 생성된 용어로, 사이버 공격을 방어하기 위한 적극적인 방어 전략이며 여러 공격 단계들 중 일부를 무력화 또는 지연시켜 공격의 효율성을 낮추고 피해를 최소화하는데 그 목적이 있다.

프로세스상에 따른 대응이기 때문에 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명하는데 자주 언급되는 전략 중 하나.

다양한 사이버 공격 중 APT공격을 분석하면 

이와 같은 단계가 나온다. 이는 방어자의 입장에서 공격 전(before)과 공격 후(after)로 나눌 수 있으며 공격 전(before)단계에서 체인을 끊어내는 게 이 전략의 목표라고 할 수 있다.    

록히드마틴의 사이버킬체인(Cyber Kill Chain) 

사이버 보안 분야에서 킬체인이란 용어를 처음 사용한 것은 미국군수업체인 록히드마틴으로  7가지 단계로  설명하고 있음.

사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 인지하고 공격의 시작부터 종단까지의 통합된 프로세스를 보여주는 사이버킬체인 모델을 제시했다.

 

---

SIEM (Security Information and Event Management) 장비의 공통 사용 포맷으로 Sigma 룰이 활용되고 있다

Sigma 룰이란?

: 보안 사건 및 로그 데이터를 탐지 및 분석하기 위한 공개 표준.

로그를 기반으로 동작할 수 있도록 구성이되어 있으며, 네트워크 트래픽의 Snort, 파일의 YARA 와 같다고 할 수 있다.

악성코드는 YARA를 이용하여 패턴을 탐지, 단말기에서 발생하는 로그는 Sigma 룰을 이용하여탐지할 수 있다.

<특징>

- 표준화된 형식: Sigma는 보안 이벤트 및 로그 데이터를 표준화된 형식으로 정의하여 다양한 보안 도구 및 시스템 간의 상호 운용성을 증가시킨다.

- 유연성: YAML 형식을 사용하여 Sigma 규칙을 작성하면 쉽게 수정하고 확장할 수 있다.

- 다양한 보안 도구 지원: Sigma 규칙은 다양한 보안 도구 및 시스템에서 사용할 수 있으며, SIEM, EDR, IDS 등과 호환된다.

- 공동 작업과 지식 공유: Sigma는 공개적으로 공유되는 표준화된 규칙 집합을 제공하여 보안 커뮤니티 간의 지식 공유와 협업을 촉진한다.