본문 바로가기
반응형

Security60

Windows 사용자 추적 방법 – RegRipper, Userassist Keys, MUICache, MRUList, Typedurls, Exchange Windows 사용자 추적 방법 현재 우리가 분석하고 있는 사고는 시스템 장애가 아닌 누군가 침입하여 조작하였다는 것을 가정으로 진행하고 있다. 따라서 누군가 침입하였다면, 분명 시스템을 사용한 흔적들이 레지스트리, 혹은 파일, 유저 데이터 영역에 남아 있게 된다. 이를 타임라인으로 통합을 통해 나누어 분석하게 되면, 사용자가 어떠한 작업을 진행하였는지 을 알 수 있다. 이와 같은 사용자 추적이 필요한 이유는 침입 경로와 실행 개체를 확인해 공격된 경로를 알아냄으로써, 사고 머신에 발견하지 못한 흔적을 찾고, 침입할 수 있었던 취약점을 함께 확인 할 수 있다. 그럼 사용자의 흔적을 추적하는데 용의한 데이터를 확인하는 방법에 대해 알아보자. 사용자와 흔적에 관련된 파일은 Ntuser.dat 파일에 저장되어.. 2022. 4. 15.
WMI - 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ''On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))="Wscript.exe") Then Wscript.Quit End If If Wscript.arguments.Count 2022. 4. 15.
Spring4Shell - Spring RCE 취약점 및 조치 방안 정리 https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 2022. 4. 1.
간편하게 IP 숨기기/속이기, 우회 접속, 프록시 종류 예전, 12년 전에 작성한 글인데, 변화한게 없어서 정리 차원으로 가져왔다. 일반적으로 자신의 IP를 보호하는 방법으로 내부에서 많이 쓰이는 방법은 proxy 서버(적은의미로는 NAT)를 두는것을 의미한다. 해커들이 IP를 숨기고자 할때 자주 사용하는 방식으로 바로 외부에 공개된 프록시 서버를 사용하는 것이다. 물론 VPN을 이용하는것도 자주 사용하는 방법중 하나 이지만, 프록시는 웹 접근 위주로 우회해서 접근할 수 있어 유용한 기술이라고 할 수 있다. 위와 같이 웹에 있는 프록시 서버를 이용하는 것으로 자신의 아이피를 감출수 있습니다. 내부에 있는 NAT, PROXY서버를 사용하는것은 노출이 쉽기 때문에 외부 인터넷에 있는 (외국 추천)에 있는 프록시 서버를 사용하면 추적하기도 힘들 뿐더러 프록시(PR.. 2022. 3. 27.
Sentinel 에서 Log4j 탐지하기 Azure Sentinel을 이용해서 Log4J를 쉽게 탐지하거나 헌팅이 가능하다. Azure 포탈을 열고 Cloud SIEM인 Sentinel을 실행하면, Content Hub(Preview)상태의 메뉴를 발견할 수 있는데, MS에서 Log4j를 보다 쉽게 대응하기 위해 만들어 놓은 Content를 Install 할 수 있다. 인스톨 과정은 Workbooks 부터 Analytic, Hunting Queries등 보안 분석에 필요한 탐지부터 대응 부분까지 담고 있는 종합팩이라고 할 수 있다. Create를 완료하고 Workbook에 들어오면, 2개의 Log4j 관련 Workbook이 생긴것을 알 수 있다. Apache Log4j Impact Assessment 먼저 살펴보면, 이는 위험을 탐지하기 위한 .. 2022. 3. 25.
러시아 - 우크라이나 사이버 DDoS 공격 IP 공개 우크라이나 공격 관련해서 확인 할 수 있는 사이트 정보 -관련 기사 https://thehackernews.com/2022/03/russia-releases-list-of-ips-domains.html Russia Releases List of IPs, Domains Attacking Its Infrastructure with DDoS Attacks Russian government has released a list of 17,576 IP addresses and 166 domains it claims are being used in a series of DDoS attacks against the country thehackernews.com 최근 러시아에서 사이버 공격으로 우크라이나 정부 기관들을 .. 2022. 3. 18.
반응형

티스토리툴바