본문 바로가기

Network

네트워크 보안 사전 탐지 기술 30가지


관련 링크 :: http://www.enisa.europa.eu/act/cert/support/proactive-detection 

2011 겨울 enisa (European Network and Information Security Agency), 유럽연합 CERT에서 그들이 이용하고 있는 네트워크 보안 관련 기술(툴,서비스) 들을 총 정리한 문서를 발표했다. 아래 리스트는 문서에 있는 서비스들의 웹 주소와 간단하게 설명을 요약한것이며, 실제 필자가 접속해보고 필요한 정보를 첨언하였다.
대게 악성 도메인, IP, 피싱, 봇, 스팸메일 정보들이다. 각종 외부 위협 DB를 참고해야 하는 경우 아래 30가지 웹으로 제공해주는 서비스를 이용하면 좋을 것이다 :)

1. 악성 도메인 차단 리스트, DNS-BH Malware Domain Blocklist ::    
    http://www.malwaredomains.com   

2. MalwareURL :: http://www.malwareurl.com
   VirusTotal, Wepawet, Anubis, Threat Expert 서비스를 이용하여 악성 URL 정보를 제공한다.

3.  Dshield :: http://www.dshield.org/
   방화벽 사용자들이 침해탐지정보(intrusion detection information)를 공유하기 위한 서비스이다. 

4. Google Safe Browsing Alerts :: http://safebrowsingalerts.googlelabs.com
    autonomous system (AS) 를 등록 해두면 구글 세이프 브라우징에서 탐지 되는 경우 메일로 관련 정보를 받는다. 

5.  HoneySpider Network :: http://www.honeyspider.net
허니팟에서 분류된 URL 정보를 제공하는 서비스로, info@cert.pl 에게 메일을 보내서 서비스를 받아볼 수 있다고 한다. 허니스파이더는 WOMBAT 프로젝트의 일부라고 한다.
(※ WOMBAT 프로젝트 관련 내용 :: http://v0nsch3lling.tistory.com/category/v2n.%20Security/Malware?page=16 )

6. AusCERT :: http://www.auscert.org.au
호주 연합 CERT 팀이 운영하는 사이트로, 교육과 악성 URL FEED를 제공한다. 하지만 이 역시 멤버에게만 접근 가능하다. 모든 멤버가 international Forum for Incident Response and Security Teams (FIRST), Asia Pacific Computer Emergency Response Team (APCERT) 이다. 

7. Cert.br Distributed Honeypot Project :: http://honeytarg.cert.br/honeypots/

브라질에서 운영되는 허니팟에서 나온 통계정보를 볼 수 있는 곳이다.

일별 국가 통계 :: http://honeytarg.cert.br/honeypots/stats/flows/current/ 
일별 TCP/UDP 포트 통계 :: http://honeytarg.cert.br/honeypots/stats/portsum/24-hour/current/ 
 
8.  FIRE (Finding Rogue nEtworks)  :: http://www.maliciousnetworks.org

WOBAT 프로젝트의 일부로 봇넷이나 다운로드를 유도하는 웹사이트나 피싱 악성 호스트들의 ASNUM 목록을 제공한다. 

9. Team Cymru – TC Console :: https://www.tcconsole.com

웹에서 TSV 파일로 제공해준다. 가입절차가 필요하다.
 
10. EXPOSURE ::  http://exposure.iseclab.org

 WOBAT 프로젝트의 일부로 웹에서 악성 도메인 리스트를 확인할 수 있다. 또한 각 도메인정보에 관련 IP,AS,국가 상세정보가 링크되어있다.

 11. Zeus/SpyEye Tracker :: https://spyeyetracker.abuse.ch , https://zeustracker.abuse.ch

인터넷뱅킹 트로잔인 제우스, 스파이아이를 트랙킹하는 웹사이트이다. 악성 DNS,IP 정보 등을 제공한다.

※참고  SpyEye Bot versus Zeus Bot :: http://www.symantec.com/connect/blogs/spyeye-bot-versus-zeus-bot 

12. AMaDa ( abuse.ch Malware Database) :: http://amada.abuse.ch

abuse.ch에서 만든 위의 제우스, 스파이아이 외 여러 C&C 서버 정보를 제공하는 웹사이트이다.

13. Malware Domain List :: http://www.malwaredomainlist.com/

XML이나 CSV포맷으로 악성 URL, IP 리스트를 제공한다

14. [접속안됨] The Spamhaus Project (Spamhaus DNSBL Datafeed) :: http://www.spamhaus.org/ , http://www.spamhaustech.com/datafeed/

15. Shadowserver Foundation :: http://www.shadowserver.org
 
SHA1/MD5 해쉬값으로 API를 통해 AV 업체들의 진단여부를 알아 볼 수 있다. 그리고 봇,봇넷, DDoS, 말웨어 등의 통계리포트를 제공해준다. 또한 보안에 관한 기초 정보들이 페이지에 간단히 설명되어 있어 초보자들에게 도움이 될것이다.

16. SGNET / Leurre.com Honeynet Project 

SGNET은 Leurre.com 플랫폼을 대체하는 프로젝트로 네트워크 트래픽을 모두 캡쳐하여 데이터베이스에 저장한다. 모든 데이터는 WAPI 를 통해 접근할 수 있다. 자세한 내용은 아래 pdf를 참고하면 된다.

http://wombat-project.eu/WP3/FP7-ICT-216026-Wombat_WP3_D13_V01-Sensor-deployment.pdf
http://www.leurrecom.org/
http://www.wombat-project.eu
http://www.few.vu.nl/argos/
http://wombat-api.sourceforge.net/ 

 17. ARAKIS :: http://arakis.pl/en/index.html

폴란드 NASK / CERT 에서 운영되는 사전 경보 시스템으로, 악성행위에 대한 정보를 제공해준다. 해당 시스템에 접근하려면 arakis@nask.pl 에 이메일을 통해서 권한을 얻을 수 있다.
 
18.  Malc0de database :: http://malc0de.com/database/

악성이라고 판단되는 URL정보와 다운로드된 악성파일의 MD5값으로 ThreatExpert Report 의 링크를 제공해준다.

19.  ParetoLogic URL Clearing House / malwareblacklist.com :: http://malwareblacklist.com/

허니팟에서 수집된 악성 URL 과 파일을 다운로드 받을 수 있도록 제공하고 있다. 일부는 스팸으로부터 수집된다고 한다. 또는 우선순위는 낮지만 일반적인 사이트들을 크롤링 하기도 한다.  
 

20. SpamCop ::  http://www.spamcop.net/ 

스팸 메일주소를 리포팅해주는 서비스로 거의 실시간 이메일을 통해 전달된다

21. Arbor ATLAS :: http://atlas.arbor.net/

위협레벨 분석 시스템으로 봇네, DoS, 피싱의 통계정보를 제공해준다.
상세정보는 로그인후 사용가능한데, 현재는 ATLAS 파트너들에게만 계정이 제공된다.

22. Composite Blocking List :: http://cbl.abuseat.org/

스팸 메일을 보내는 악성 DNS 리스트를 제공한다.

23. Team Cymru’s CSIRT Assistance Program :: http://www.team-cymru.org/Services/CAP/
 
메일로 데일리 리포트를 받아 볼 수 있는 서비스 이다. outreach@cymru.com 로 메일을 보내 등록이 가능하다. Team Cymru는 RSS 피드로도 받아볼 수 있으며 트위터도 운영하고 있다. 


24. CERT.BR Spampots :: http://honeytarg.cert.br/spampots
 
honeyTARG Honeynet 프로젝트의 일부이다. 스팸팟을 어떻게 구성하는지에 대한 정보가 사이트에 나와있다.

 25. Project Honeypot :: http://www.projecthoneypot.org (허니넷(honeynet.org)과는 무관함)

이것도 스패머들을 잡기위한 일환으로 시작된 프로젝트로 보여진다. 악성행위를 하는 IP 리스트를 제공한다.

26. Malware Threat Center :: http://www.mtc.sri.com
 
오탐의 소지가 있지만 모든 정보는 공개되어있고, 잘 탐지된 스노트 룰명, IP 정보들을 제공한다.

27. Smart Network Data Services(SNDS) :: https://postmaster.live.com/snds/

윈도우 라이브 핫메일에서 시작된것으로  스팸이나 말웨어, 바이러스로부터 자신의 IP 영역을 보호하기 위함이다. 마이크로소프트 윈도우 라이브 ID로 접속 가능하다.

28. Malware Patrol :: http://www.malwarepatrol.net

비영리 목적으로 제공되는 정보로, 바이러스 웜 트로잔 등의 악성행위를 하는 URL리스트를 제공한다.

29 Zone-H :: https://www.zone-h.org/

침략당한 사이트 주소목록을 제공하고 침해당했던 화면을 미러링해준다.

30. Cisco IronPort SenderBase Security Network :: http://www.senderbase.org/

스팸, 바이러스메일을 보낸 정보등을 제공해주며, IP /CIDR/도메인이름 등으로 검색이 가능하다.