반응형 Security58 Windows IR Opensource Tool - Chainsaw https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/ New Chainsaw tool helps IR teams analyze Windows event logs Incident responders and blue teams have a new tool called Chainsaw that speeds up searching through Windows event log records to identify threats. www.bleepingcomputer.com Windows 사고 분석을 도와주는 오픈소스 도구가 최근 뉴스를 통해 알 수 있었다. 자세히 살펴보지는 .. 2021. 9. 8. Splunk Phantom REST API 기본 사용 최근 Splunk를 사용하는 회사가 늘고 있다. 여기에 Splunk회사에서 인수한 Phantom이라는 SOAR(Security Orchestration, Automation, and Response) 솔류션이 있는데, 사용법이 초반에 익숙해 지는데 시간이 좀 필요하다. 기본적인 개념은 Container라는 것이 하나의 인스턴스이고 여기에 Artifact(인스턴스 관련증적)을 넣은 사전에 만들어 놓은 App등을 통해 조사를 진행하는 방식이 기본 구조라 할 수 있다. 여기에 최근 필자가 REST API를 사용할 일이 있어 여기에 정리해 본다. 기본적으로는 https://docs.splunk.com/Documentation/Phantom/4.10.4/PlatformAPI/Using 에 어떻게 활용할 수 있는지.. 2021. 8. 19. Microsoft 365 Defender Ninja August 2021 special edition 공개 지난 몇 개월 동안 Microsoft는 Microsoft Defender 제품과 Microsoft Cloud App Security 전반에 걸쳐 중대한 제품 발표를 했는데 해당 내용을 아래에 정리되어 있다. 아래 리소스를 통해 속도를 높일 수 있으며 마지막에 지식 확인을 통해 학습 내용을 확인할 수 있다. 또한 Ninja 여름 또는 겨울 특별판 재미 인증서를 요청이 가능하니, Ninja 인증서 컬렉션을 만들어보아도 좋겠다. https://techcommunity.microsoft.com/t5/microsoft-365-defender/microsoft-365-defender-ninja-august-2021-special-edition/ba-p/2643022 Microsoft 365 Defender Ninj.. 2021. 8. 18. CVE-2021-3156 sudo 취약점 확인 및 조치 sudo의 힙 오버플로우 취약점이 최근 발생하였다. 요약 정리하고자 글을 남긴다. 본 취약점을 이용하면, Root 권한을 유저가 Root 권한을 획득할 수 있다. 취약점 내용을 보면 핵심은 아래와 같다. When sudo runs a command in shell mode, either via the -s or -i command line option, it escapes special characters in the command’s arguments with a backslash 즉 쉘 모드에서 sudoedit를 -s 또는 -i 실행하는데, 백슬레쉬에 특수기호를 입력함으로써 힙 오버 플로우를 일으켜 Root 권한을 획득하게 된다. 아래 글을 보면 도움이 될 것이다. CVE-2021-3156: Heap.. 2021. 1. 28. 윈도우 - 로컬 계정을 통한 네트워크 공격 보호 멜웨어에 감염되어 있는 경우 현재 사용자의 권한을 이용하여 다른 컴퓨터에 로그인을 시도하는 경우가 많이 발생한다. 보통 동일한 계정명/비밀번호를 사용하는 로컬 계정의 경우라면 다른 컴퓨터 역시 공격을 성공하게 된다. 이러한 공격을 쉽게 방어할 수 있는 방안이 있는데, Windows에서 기본적으로 제공하는 로컬 계정 거부 정책을 설정하면 된다. 이를 설정하면, 네트워크에서 설정한 계정에 대해서는 로그인을 거부하게 된다. 만약 로컬 계정이라는 그룹을 선택한다면, 모든 로컬 계정에 대해서 거부하므로, 네트워크 공격에 보다 효과적이다. gpedit.msc를 시작 -> 실행을 통해 실행한 후 아래 메뉴를 찾아서 로컬 계정에 대한 네트워크 로그인 설정을 거부하도록 하자. 컴퓨터구성 -> Windows 설정 -> 보.. 2020. 12. 29. Samesite Cookie - 쿠키 허용 도메인 보안 정책 아내가 네이버에 블로그를 운영하고 있는데, 네이버 블로그 도메인 정책 변경이 있어, 무슨 내용인지 확인해 보았다. https://blog.naver.com/blogpeople/221788926430 블로그 도메인 정책 변경 안내 안녕하세요.네이버 블로그 서비스팀입니다.블로그 도메인 정책이 변경되어 안내드립니다.현재 블로그 도... blog.naver.com 위 내용을 보면, 브라우저 쿠키 설정이 변경되기 때문에 타 도메인을 사용하지 않는단다... 이 무슨 보안 뒤집어지는 소리인가... 라는 생각도 들고 겸사겸사 공부도 해볼겸, Samesite Cookie 기능이 무엇인지 구글이 무엇을 하고 있는지 확인해 보았다. Samesite Cookie는 2020년 2월 4일에 업데이트되는 구글은 크롬 V80에 반.. 2020. 12. 15. 이전 1 ··· 3 4 5 6 7 8 9 10 다음 반응형
