K . N . H :: BLOG

악성코드 테스트 환경을 구성하기 위해선 아래 2가지 조건이 선행되야 합니다.

   1. 윈도우(Windows) 자동 업데이트 중지

   2. 변조 방지 및 모든 맬웨어 방지 솔루션을 비활성화

첫번째로 윈도우 자동 업데이트를 중지시키는 방법은 아래 포스팅을 참고하시면 됩니다.

이번 포스팅에서는 <변조 방지 및 모든 맬웨어 방지 솔루션을 비활성화>하는 방법에 대해 공유드리겠습니다.

1. Windows 보안 설정

1) 검색창 > Windows 보안 입력 > 클릭

2)  Windows 보안 > 바이러스 및 위협 방지 > 실시간 보호 & 변조 보호 (2가지)를 비활성화

2. GPO(gpedit.msc) 설정 변경

1) 실행 > gpedit.msc 실행

2) 컴퓨터 구성 > 관리 템플릿 > Microsoft Defender 바이러스 백신 > 사용으로 변경 - "Microsoft Defender 바이러스 백신 끄기"

3) 컴퓨터 구성 > 관리 템플릿 > Microsoft Defender 바이러스 백신 > 실시간 보호 기능 > 사용으로 변경 - "실시간 보호 기능 끄기"

도움이 되셨기를 바랍니다.

caul334@gmail.com

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

정보보안을 담당하는 곳에서 한 통의 메일을 받았는데 그 내용인 즉...

"DNS서버의 Open Resolver 설정이 활성화된 것을 탐지" 되었다는 메일을 받았습니다.

  Open DNS Resolver ?

DNS 서버에 A라는 도메인에 대한 질의가 들어왔을때 A라는 도메인의 IP 정보가 없으면

상위 DNS에게 질의하여 A 도메인의 IP를 알아내는 DNS 서버이다.

  Open Resolver 활성화/비활성화 차이점

Open Resolver 활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 물어봐서 알려줌

Open Resolver 비활성화 : 모르는 도메인을 물어보았을 때 상위 DNS에 질의 하지 않고 거부 (Refuse)

  Open DNS Resolver에 따른 공격

DNS 서버의 Open Resolver가 활성화 되게 되면

공격자는 해당 DNS 서버를 공격의 경유지로 사용하여 DNS Amplication 공격을 함으로

피해자 서버에 DDoS 공격을 할 수 있습니다.

참고) DNS Amplication(증폭) 공격의 원리

  검증 (Demonstration)

  Open Resolver 활성화된 DNS 서버

• 커맨드 창 실행 후 nslookup 입력
• server는 KT DNS (168.126.63.1)로 지정
• set type은 ANY로 설정
• google.com 을 질의 했을 때 "권한 없는 응답"이라는 메시지가 뜸으로 KT DNS에는 없는 도메인 정보지만 상위 DNS에 질의하여 아래처럼 google.com에 대한 도메인 정보를 응답해줌

  Open Resolver 비활성화된 DNS 서버

• 커맨드 창 실행 후 nslookup 입력
• server는 Open Resolver를 지원하지 않는 서버로 지정    예)115.22.33.61)
• set type은 ANY로 설정
• google.com 을 질의 했을 때 아래와 같은 메시지 뜸

  Open Resolver 여부 테스트 사이트

간편하게 자신의 DNS 서버가 Open Resolver가 활성화/비활성화 여부를 알 수 있는 사이트를 소개해드리겠습니다.

사이트 주소는 아래와 같습니다.

https://openresolver.com/

소개해드린 사이트에서 DNS 서버의 IP를 조회해보면 Open Resolver 여부를 간단하게 알 수 있습니다.

내용이 유용하셨다면 좋아요&댓글 부탁드립니다.
이 블로그를 이끌어갈 수 있는 강력한 힘입니다!

caul334@gmail.com