DFIR
-
래터럴 무브먼트(Lateral Movement)DFIR 2020. 1. 3. 19:53
래터럴 무브먼트란 쉽게 얘기하면 내부확산이다. 주로 APT(Advanced Persistent Threat)공격에 쓰이며, 기업의 내의 A 컴퓨터에서 중요한 정보를 담고있는 내부의 다른 시스템으로 이동해나가며 확산해나가는데 이 과정이 래터럴 무브먼트라고 생각하면 될 것 같다. 대부분의 보안장비들은 외부에서 내부로 진입하는데에만 집중된 상태라 내부망에서 내부에서 내부로 이동하는 것은 자유로운 편이다. 내부망 이동시 공격자들이 주로 사용하는 방법은 시스템 접근을 위해 인증정보(크리덴셜)를 훔친 후 이를 이용해 내부망의 다른 시스템으로 이동하는 것이다. 훔친 인증정보가 해시일 경우 이를 패스 더 해시(Pass-the-hash)공격이라고 부른다. 크리덴셜을 훔치기 위한 도구는 주로 미미카츠(Mimikatz)가 ..
-
DGA(Domain Generation Algorithm)DFIR 2020. 1. 3. 17:52
DGA 기법: C2서버의 도메인을 무작위로 생성하는 기법이다. 피해 PC(봇넷)에 설치된 악성코드가 C2의 명령을 받기위해 C2서버로 접속을 해야한다. 이때 악성코드 내부(소스코드)에 C2서버의 Domain, IP 정보가 하드코딩되어야 접속을 할 수 있다. 악성코드 분석가는 이러한 점을 이용하여 악성코드를 분석하여 하드코딩 된 Domain, IP 정보를 얻어 탐지 또는 차단을 할 수 있다. ( 접속방지 기법 ) 이로인해 C2 서버와 통신을 하지못해 명령을 못받으면 악성행위 수행이 어렵기 때문에 DGA기법을 통해 Domain을 무작위로 생성하여 이러한 방어를 우회한다. DGA에서 매일 수 많은 Domain을 무작위로 생성하는데 이러한 기법을 "DNS based domain fluxing" 이라 한다. DG..
-
kimsuky_악성 HWP 한글DFIR/malware review 2019. 10. 24. 23:53
악성 한글 문서 내용 - 한반도 대북 정책 관련 한미/한중 외교에 관한 질문 내용 공격 대상 - 국내 주요 공공기관 및 기업 은 정확히 확인하지 못하였으나, 관련 전문가 또는 참가자를 대상으로 했을 것이라 한다. 공격자 - CVE-2017-8291 고스트스크립트 취약점을 이용한 학성 EPS 이미지 포맷 파일을 문서에 삽입하여 악성 기능을 실행함. 파일정보 - 파일 타입: 한글 워드프로세서 문서 - 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp - MD5: ~ - SHA256: ~ 주요행위 - 프로세스에 악성코드 인젝션 악성 한글 문서는 인젝션을 두 번 수행한다. 인젝션 결과 프로세스 트리는 위와 같이 그려진다. 이 과정은 최근 확인되고 있는 kimsuky 유형 hwp 악성코드의 특징..
-
-
-
Three Thieves Threw Trumpets Through TreesDFIR/DF with CTF 2019. 2. 7. 15:50
목표를 향해 나아가자 Image1.jpg 상자를 클릭하면 위와 같은 화면으로 이동하게 된다. 파일의 내용을 확인하는 게 이 문제의 핵심으로 보인다.Image1.jpg파일 내용을 확인해보면 Base64 인코딩 값으로 확인된다. Base64 디코딩 방법 (1, 2) 1. Online 2. Pythonimport base64 # Encode string datadef stringToBase64(s): return base64.b64encode(s.encode('utf-8')) def base64ToString(b): return base64.b64decode(b).decode('utf-8') # Encode binary file datadef fileToBase64(filepath): fp = open(fil..