본문 바로가기
반응형

security16

Sentinel 에서 Log4j 탐지하기 Azure Sentinel을 이용해서 Log4J를 쉽게 탐지하거나 헌팅이 가능하다. Azure 포탈을 열고 Cloud SIEM인 Sentinel을 실행하면, Content Hub(Preview)상태의 메뉴를 발견할 수 있는데, MS에서 Log4j를 보다 쉽게 대응하기 위해 만들어 놓은 Content를 Install 할 수 있다. 인스톨 과정은 Workbooks 부터 Analytic, Hunting Queries등 보안 분석에 필요한 탐지부터 대응 부분까지 담고 있는 종합팩이라고 할 수 있다. Create를 완료하고 Workbook에 들어오면, 2개의 Log4j 관련 Workbook이 생긴것을 알 수 있다. Apache Log4j Impact Assessment 먼저 살펴보면, 이는 위험을 탐지하기 위한 .. 2022. 3. 25.
윈도우 - 캐시 로그인과 생체 인증 캐시 로그인/캐시된 로그온 정보? 보안을 하는 사람들이라면 한번쯤은 들어보았을 단어이다. 요약해보면 보통 기업에서는 로그인 정보를 로컬에 가지고 있지 않고, 서버, 즉 도메인 인증 시스템에서 관리한다. 이때 캐시 로그인이란, 도메인 로그온 환경에서 사용자가 도메인 서비스에 연결이 되지 않을 때, 특정 횟수 동안 도메인 연결 없이 기존에 로그인한 정보를 토대로 시스템에 로그인을 허용하는 것을 말한다. 즉, 네트워크를 이용할 수 없는 상황을 대비해 기존에 로그인이 성공한 계정 정보를 로컬 시스템에 캐시해 두었다가 이를 통해 일정 횟수 동안 패스워드가 맞다면, 도메인 연결이 되지 않아도 로그인을 할 수 있다. 이는 보안상으로 볼 때는 좋지 않으나, 사용자 입장에서 네트워크가 불가능 할 때(여행중이거나, 인터넷.. 2022. 3. 14.
VSCode - AWS IAM 관리 - IAM Legend AWS의 보안 기능을 관리하다 보면, IAM을 통한 권한을 분리해주는 이슈가 크다. 그런데 IAM의 모든 권한의 이름을 사전에 기억하기 어려운데, IAM에서 사용 가능한 권한에 대해 자동 완성을 지원해주는 IM Legend라는 플러그인을 소개해 본다. IAM Legend는 VS Code에서 사용할 수 있는 플러그인으로 경로는 아래와 같다. https://marketplace.visualstudio.com/items?itemName=SebastianBille.iam-legend IAM Legend - Visual Studio Marketplace Extension for Visual Studio Code - IAM policy actions autocomplete, documentation & wildca.. 2022. 2. 2.
MAC - Safari(사파리) 15 Google(구글) Account Leak 최근에 MacOS에서 Safari 15버전을 이용하는 경우 다른 탭에 Google Account로 로그인되어 있을 때, 프로필 정보등을 가져갈 수 있는 취약점이 알려졌다. 어떤 내용인지 정리해보자. Safari(사파리) 15 Google(구글) Account Leak 이란 내용을 살펴보면, 브라우저들은 IndexedDB라는 것을 이용해서 오늘날의 복잡한 웹 사이트에서 개인 성격의 정보를 효율적으로 관리하기 위해서 캐싱을 한다. 그리고 일반적으로 IndexedDB 저장소에 저장된 정보는 만든 동일한 도메인의 웹 페이지에서만 액세스할 수 있다. 예를 들어 Google에서 생성하면 캐시된 정보는 다른 Google 웹 페이지에서만 액세스가 가능하다. 하지만 Safari(사파리) 15 버전에서는 동일한 도메인에서.. 2022. 1. 19.
Windows IR Opensource Tool - Chainsaw https://www.bleepingcomputer.com/news/security/new-chainsaw-tool-helps-ir-teams-analyze-windows-event-logs/ New Chainsaw tool helps IR teams analyze Windows event logs Incident responders and blue teams have a new tool called Chainsaw that speeds up searching through Windows event log records to identify threats. www.bleepingcomputer.com Windows 사고 분석을 도와주는 오픈소스 도구가 최근 뉴스를 통해 알 수 있었다. 자세히 살펴보지는 .. 2021. 9. 8.
Splunk Phantom REST API 기본 사용 최근 Splunk를 사용하는 회사가 늘고 있다. 여기에 Splunk회사에서 인수한 Phantom이라는 SOAR(Security Orchestration, Automation, and Response) 솔류션이 있는데, 사용법이 초반에 익숙해 지는데 시간이 좀 필요하다. 기본적인 개념은 Container라는 것이 하나의 인스턴스이고 여기에 Artifact(인스턴스 관련증적)을 넣은 사전에 만들어 놓은 App등을 통해 조사를 진행하는 방식이 기본 구조라 할 수 있다. 여기에 최근 필자가 REST API를 사용할 일이 있어 여기에 정리해 본다. 기본적으로는 https://docs.splunk.com/Documentation/Phantom/4.10.4/PlatformAPI/Using 에 어떻게 활용할 수 있는지.. 2021. 8. 19.
윈도우 - 로컬 계정을 통한 네트워크 공격 보호 멜웨어에 감염되어 있는 경우 현재 사용자의 권한을 이용하여 다른 컴퓨터에 로그인을 시도하는 경우가 많이 발생한다. 보통 동일한 계정명/비밀번호를 사용하는 로컬 계정의 경우라면 다른 컴퓨터 역시 공격을 성공하게 된다. 이러한 공격을 쉽게 방어할 수 있는 방안이 있는데, Windows에서 기본적으로 제공하는 로컬 계정 거부 정책을 설정하면 된다. 이를 설정하면, 네트워크에서 설정한 계정에 대해서는 로그인을 거부하게 된다. 만약 로컬 계정이라는 그룹을 선택한다면, 모든 로컬 계정에 대해서 거부하므로, 네트워크 공격에 보다 효과적이다. gpedit.msc를 시작 -> 실행을 통해 실행한 후 아래 메뉴를 찾아서 로컬 계정에 대한 네트워크 로그인 설정을 거부하도록 하자. 컴퓨터구성 -> Windows 설정 -> 보.. 2020. 12. 29.
Hidden Process – CreateDesktop 예전에 찾았던 자료인데, 단순하면서도 재미있는 코드라서 다시 정리해봤다. 아래 링크를 보면 윈도우의 세션 관리 기능을 이용해서 프로세스를 다른 데스크톱에서 실행하여 사용자에게 숨길 수 있는 코드를 예제로 제공한다. https://github.com/MalwareTech/CreateDesktop/blob/master/Main.cpp 위 코드와 관련하여, 함께 봐야 할 내용이 윈도우에서 어떻게 세션을 관리하는지에 대한 내용을 이해할 필요가 있다. https://blogs.msdn.microsoft.com/coreinternals/2009/08/19/session-window-station-desktop/ 요약해 보면, 윈도우는 사용자가 로그인하거나 서비스가 실행되는 세션 관리를 위해 Windowstation.. 2020. 12. 2.
반응형