본문 바로가기
반응형

Security61

MITRE Att@ck - T1569.002 - Will execute a command on the remote host with Impacket psexec.py script MITRE Att@ck 공격 기법중 psexec.py script를 통한 방법이 새로 업데이트 되어 공유한다. 새로 업데이트된 공격 기법은 Linux에서 psexec.py를 Python 모듈중 impacket이라는 윈도우 SMB 인증 도구를 통해 원격 컴퓨터를 공격을 시도 하는 방식이다. 공격 코드는 다음과 같다. psexec.py '#{domain}/#{username}:#{password}@#{remote_host}' '#{command}' 실행을 위해서는 impacket을 설치해야 한다. sudo pip3 install impacket 탐지방안 따라서 impacket 설치를 탐지하거나, psexec.py의 실행, 혹은 네트워크상의 SMB 인증중 리눅스 시스템에서 발생하는 건에 대해 탐지하는 방안을 .. 2022. 4. 15.
Powershell - Exchange 메일 추척 익스체인지(Exchange) 서버에서는 관리 도구에서 사용자가 전송한 메일 추적이 가능하다. 메일 추적이 중요한 이유는 특정 사용자의 장애상황이거나, 특정 사용자가 어떤 메일을 전송하였는지 감사할 때 유용하다. 만약 보안 사고가 발생하였고, 특정 유저의 계정이 해킹되어 사용되었다면, 메일을 통해 외부로 전송한 정보들이 존재하지 않은지 확인할 필요가 있겠다. 익스체인지에서는 메일 추적을 위해 GUI 도구도 제공하지만 입력 부분이 많고, 익숙하지 않아 시간이 걸리므로, 가독성이 좋은 CLI 도구인 Powershell을 사용하여 파일로 저장시키는 방법이 유용하다. 다음 명령을 통해 SEND라는 이벤트에 대한 특정 날짜 범위의 값을 파일로 추출 할 수 있다. get-messagetrackinglog -Event.. 2022. 4. 15.
Windows 사용자 추적 방법 – RegRipper, Userassist Keys, MUICache, MRUList, Typedurls, Exchange Windows 사용자 추적 방법 현재 우리가 분석하고 있는 사고는 시스템 장애가 아닌 누군가 침입하여 조작하였다는 것을 가정으로 진행하고 있다. 따라서 누군가 침입하였다면, 분명 시스템을 사용한 흔적들이 레지스트리, 혹은 파일, 유저 데이터 영역에 남아 있게 된다. 이를 타임라인으로 통합을 통해 나누어 분석하게 되면, 사용자가 어떠한 작업을 진행하였는지 을 알 수 있다. 이와 같은 사용자 추적이 필요한 이유는 침입 경로와 실행 개체를 확인해 공격된 경로를 알아냄으로써, 사고 머신에 발견하지 못한 흔적을 찾고, 침입할 수 있었던 취약점을 함께 확인 할 수 있다. 그럼 사용자의 흔적을 추적하는데 용의한 데이터를 확인하는 방법에 대해 알아보자. 사용자와 흔적에 관련된 파일은 Ntuser.dat 파일에 저장되어.. 2022. 4. 15.
WMI - 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ''On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))="Wscript.exe") Then Wscript.Quit End If If Wscript.arguments.Count 2022. 4. 15.
MITRE Att@ck - T1555.004 Credentials from Password Stores: Windows Credential Manager MITRE Att@ck 공격 기법중 Credentials from Password Stores: Windows Credential Manager를 통한 방법이 새로 업데이트 되어 공유한다. 새로 공유된 내용은 Vault 에 저장되어 있는 크리덴셜을 검색하는 공격 기법이다. 만약 SIEM과 같은 위협 모니터링 시스템이 있다면 Valut 사용시 등록하여 Vault에 저장된 주요 정보에 엑세스 시도를 막을 수 있을 것이다. Credentials from Password Stores, Technique T1555 - Enterprise | MITRE ATT&CK® Credentials from Password Stores, Technique T1555 - Enterprise | MITRE ATT&CK® atta.. 2022. 4. 5.
Spring4Shell - Spring RCE 취약점 및 조치 방안 정리 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 2022. 4. 1.
간편하게 IP 숨기기/속이기, 우회 접속, 프록시 종류 예전, 12년 전에 작성한 글인데, 변화한게 없어서 정리 차원으로 가져왔다. 일반적으로 자신의 IP를 보호하는 방법으로 내부에서 많이 쓰이는 방법은 proxy 서버(적은의미로는 NAT)를 두는것을 의미한다. 해커들이 IP를 숨기고자 할때 자주 사용하는 방식으로 바로 외부에 공개된 프록시 서버를 사용하는 것이다. 물론 VPN을 이용하는것도 자주 사용하는 방법중 하나 이지만, 프록시는 웹 접근 위주로 우회해서 접근할 수 있어 유용한 기술이라고 할 수 있다. 위와 같이 웹에 있는 프록시 서버를 이용하는 것으로 자신의 아이피를 감출수 있습니다. 내부에 있는 NAT, PROXY서버를 사용하는것은 노출이 쉽기 때문에 외부 인터넷에 있는 (외국 추천)에 있는 프록시 서버를 사용하면 추적하기도 힘들 뿐더러 프록시(PR.. 2022. 3. 27.
Sentinel 에서 Log4j 탐지하기 Azure Sentinel을 이용해서 Log4J를 쉽게 탐지하거나 헌팅이 가능하다. Azure 포탈을 열고 Cloud SIEM인 Sentinel을 실행하면, Content Hub(Preview)상태의 메뉴를 발견할 수 있는데, MS에서 Log4j를 보다 쉽게 대응하기 위해 만들어 놓은 Content를 Install 할 수 있다. 인스톨 과정은 Workbooks 부터 Analytic, Hunting Queries등 보안 분석에 필요한 탐지부터 대응 부분까지 담고 있는 종합팩이라고 할 수 있다. Create를 완료하고 Workbook에 들어오면, 2개의 Log4j 관련 Workbook이 생긴것을 알 수 있다. Apache Log4j Impact Assessment 먼저 살펴보면, 이는 위험을 탐지하기 위한 .. 2022. 3. 25.
반응형