본문 바로가기
반응형

Security64

SEARCH ENGINES FOR PENTESTERS SNS에서 올라온 주요 모의해킹에서 이용할 수 있는 Search Engine 모음이다. 1. shodan.io (Server) 2. google.com (Dorks) 3. wigle.net (WiFi Networks) 4. grep.app (Codes Search) 5. app.binaryedge (Threat Intelligence) 6. onyphe.io (Server) 7. viz.greynoise.io (Threat Intelligence) 8. censys.io (Server) 9. hunter.io (Email Addresses) 10. fofa.info (Threat Intelligence) 11. zoomeye.org (Threat Intelligence) 12. leakix.net (Th.. 2022. 9. 24.
Security - 취약점 검색 사이트 Shodan Shodan Search Engine 인터넷에 연결된 장치를 검색 Wigle WiGLE: Wireless Network Mapping 무선 네트워크 데이터베이스 검색 Grep App-Search grep.app | code search Git Code 기반 검색 Binary Edge-Scans BinaryEdge 인터넷의 노출된 위협 인텔리전스 정보 제공 ONYPHE-Collects ONYPHE - Cyber Defense Search Engine 사이버 위협 인텔리전스 정보 제공 GreyNoise-Search GreyNoise 인터넷에 연결된 자산 정보 제공 Censys Censys Search 인터넷에 연결된 자산 정보 제공 Hunter-Search Find email addresses .. 2022. 9. 12.
AWS - Guardduty 멜웨어 탐지 차단 기능 AWS에 추가된 기능중 보안적으로 유용한 기능이 추가되었다. GuardDuty Malware Protection 이 기능은 운용중인 EC2에서 스냅샷을 생성하여 디스크의 존재하는 멜웨어를 확인한다. 이후 확인된 멜워에가 있다면 알림을 통해 확인이 가능하다. 알림 카테고리는 아래와 같다. Execution:EC2/MaliciousFile Execution:ECS/MaliciousFile Execution:Kubernetes/MaliciousFile Execution:Container/MaliciousFile Execution:EC2/SuspiciousFile Execution:ECS/SuspiciousFile Execution:Kubernetes/SuspiciousFile Execution:Containe.. 2022. 7. 27.
MITRE Att@ck - T1569.002 - Will execute a command on the remote host with Impacket psexec.py script MITRE Att@ck 공격 기법중 psexec.py script를 통한 방법이 새로 업데이트 되어 공유한다. 새로 업데이트된 공격 기법은 Linux에서 psexec.py를 Python 모듈중 impacket이라는 윈도우 SMB 인증 도구를 통해 원격 컴퓨터를 공격을 시도 하는 방식이다. 공격 코드는 다음과 같다. psexec.py '#{domain}/#{username}:#{password}@#{remote_host}' '#{command}' 실행을 위해서는 impacket을 설치해야 한다. sudo pip3 install impacket 탐지방안 따라서 impacket 설치를 탐지하거나, psexec.py의 실행, 혹은 네트워크상의 SMB 인증중 리눅스 시스템에서 발생하는 건에 대해 탐지하는 방안을 .. 2022. 4. 15.
Powershell - Exchange 메일 추척 익스체인지(Exchange) 서버에서는 관리 도구에서 사용자가 전송한 메일 추적이 가능하다. 메일 추적이 중요한 이유는 특정 사용자의 장애상황이거나, 특정 사용자가 어떤 메일을 전송하였는지 감사할 때 유용하다. 만약 보안 사고가 발생하였고, 특정 유저의 계정이 해킹되어 사용되었다면, 메일을 통해 외부로 전송한 정보들이 존재하지 않은지 확인할 필요가 있겠다. 익스체인지에서는 메일 추적을 위해 GUI 도구도 제공하지만 입력 부분이 많고, 익숙하지 않아 시간이 걸리므로, 가독성이 좋은 CLI 도구인 Powershell을 사용하여 파일로 저장시키는 방법이 유용하다. 다음 명령을 통해 SEND라는 이벤트에 대한 특정 날짜 범위의 값을 파일로 추출 할 수 있다. get-messagetrackinglog -Event.. 2022. 4. 15.
Windows 사용자 추적 방법 – RegRipper, Userassist Keys, MUICache, MRUList, Typedurls, Exchange Windows 사용자 추적 방법 현재 우리가 분석하고 있는 사고는 시스템 장애가 아닌 누군가 침입하여 조작하였다는 것을 가정으로 진행하고 있다. 따라서 누군가 침입하였다면, 분명 시스템을 사용한 흔적들이 레지스트리, 혹은 파일, 유저 데이터 영역에 남아 있게 된다. 이를 타임라인으로 통합을 통해 나누어 분석하게 되면, 사용자가 어떠한 작업을 진행하였는지 을 알 수 있다. 이와 같은 사용자 추적이 필요한 이유는 침입 경로와 실행 개체를 확인해 공격된 경로를 알아냄으로써, 사고 머신에 발견하지 못한 흔적을 찾고, 침입할 수 있었던 취약점을 함께 확인 할 수 있다. 그럼 사용자의 흔적을 추적하는데 용의한 데이터를 확인하는 방법에 대해 알아보자. 사용자와 흔적에 관련된 파일은 Ntuser.dat 파일에 저장되어.. 2022. 4. 15.
WMI - 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ''On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))="Wscript.exe") Then Wscript.Quit End If If Wscript.arguments.Count 2022. 4. 15.
MITRE Att@ck - T1555.004 Credentials from Password Stores: Windows Credential Manager MITRE Att@ck 공격 기법중 Credentials from Password Stores: Windows Credential Manager를 통한 방법이 새로 업데이트 되어 공유한다. 새로 공유된 내용은 Vault 에 저장되어 있는 크리덴셜을 검색하는 공격 기법이다. 만약 SIEM과 같은 위협 모니터링 시스템이 있다면 Valut 사용시 등록하여 Vault에 저장된 주요 정보에 엑세스 시도를 막을 수 있을 것이다. Credentials from Password Stores, Technique T1555 - Enterprise | MITRE ATT&CK® Credentials from Password Stores, Technique T1555 - Enterprise | MITRE ATT&CK® atta.. 2022. 4. 5.
반응형