DLP 우회?

DLP 는 정보유출방지 솔루션이다

 

개인정보 몇건 이상, 주민등록번호 포함 시 등등 보안 정책을 설정하면

해당 정책에 따라 정보 유출 행위가 모니터링 및 차단 된다 

정보 유출 행위란 프린트 한다거나 이메일로 보낸다거나 하는거겠지

 

네트워크 DLP(NDLP) 와 엔드포인트 DLP(EDLP) 가 있는데

NDLP 는 네트워크단에서 전송 중의 데이터를 모니터링 하는 것

네트워크상 모든 전송 데이터 스캔해서 정책에 위반되는 데이터 있는지(ex. 메일 보내기, 클라우드에 올리기 등)

네트워크상에서 감시하니깐 회사망 벗어나면 통제가 불가하징..

글고 네트워크단 감시니까 USB로 빼가면 못막지

 

EDLP 는 디바이스단에서 데이터 유출을 확인하는 것

디바이스에서 네트워크로 나가기 전 단계에서 제어한다(ex. 복사/붙여넣기, USB 연결, 프린트 등)

디바이스에 agent 설치 형태로 동작해서 뭐 하는지 다 막을 수 있다

근데 얘가 사용자단에서 부하를 잡아 먹는다는 단점이 있고

네트워크단에서 나가는 정보는 못잡으니깐

두개 알아서 잘 섞어 쓰는게 좋겠다

 

보안 응용프로그램을 이용한 정보누출 방지시스템의 우회방법.pdf

0.34MB

 

DLP 우회 관련해서 잘 정리된 글인데

결국 DLP 도 패턴 인식이나 키워드 비교 방식을 사용하기 때문에

패턴을 우회하는 방법(ex. 암호화 한다던지)으로 우회가 가능하다는 내용이다

 

시만텍 DLP 쓰고 있는데 정책 다음과 같다 

요기 없는거 사용해서 전송하면 우회됨

 

일단 내부 정책은..

개인정보 2건 이상부터는 탐지, 100건 이상부터는 차단

 

1. 그냥 업로드 
> 바로 걸리지

2. 압축해서 업로드
> 압축해도 걸림

3. 두번 압축
> 두번 압축해도 걸림

4. 압축해서 비번(1)
> 안걸림.. 허술쓰..

5. 파일 암호화(AES)
> 당연히 안걸리지
> AES 암호화 참고 : https://saltlee.tistory.com/225

 

6. 이미지로 올려서 문자 추출(OCR)
> 이미지 업로드시에는 탐지 못함

> OCR 은 ShareX 프로그램 사용 

7. 하나씩 여러번 전송
> 안걸림

> 엑셀 한 행씩 분할하는 매크로 : https://jdh5202.tistory.com/829

8. VDI 에 넣을때도 걸리나?
> 탐지 안함

> VDI 에서 원래 못빼야 하는데 뺄 수 있는 상태니깐..

 

9. 이메일 @ → $ 로 바꿔서 전송

> 탐지 안함

> 엑셀 같은데서 $ 일괄 바꾸기 하면 되지

 

10. URL 인코딩해서 전송

> 탐지 안함

> 근데 버프에서 해야 숫자도 인코딩 해줌 (일반 인코딩 사이트는 숫자 인코딩 안해준다)

  ex) 010-1234-1234 → %30%31%30%2d%31%32%33%34%2d%31%32%33%34

 

11. nc 리버스쉘

> 해보려했는데 시만텍에서 nc 명령어 막힘

> VM 에서 하면 된다

> 탐지 안함

 

테스트 사이트 : webhook.site

 

nc 리버스쉘 

> 수신 서버에서 방화벽 포트 열어줘야됨 (aws 는 인바운드 규칙에 추가해주고, 방화벽 설정도 해주고)

> 한글 깨지니까 UTF-8 (chcp 65001) 설정 해주면 됨