본문 바로가기

security10

윈도우 - 로컬 계정을 통한 네트워크 공격 보호 멜웨어에 감염되어 있는 경우 현재 사용자의 권한을 이용하여 다른 컴퓨터에 로그인을 시도하는 경우가 많이 발생한다. 보통 동일한 계정명/비밀번호를 사용하는 로컬 계정의 경우라면 다른 컴퓨터 역시 공격을 성공하게 된다. 이러한 공격을 쉽게 방어할 수 있는 방안이 있는데, Windows에서 기본적으로 제공하는 로컬 계정 거부 정책을 설정하면 된다. 이를 설정하면, 네트워크에서 설정한 계정에 대해서는 로그인을 거부하게 된다. 만약 로컬 계정이라는 그룹을 선택한다면, 모든 로컬 계정에 대해서 거부하므로, 네트워크 공격에 보다 효과적이다. gpedit.msc를 시작 -> 실행을 통해 실행한 후 아래 메뉴를 찾아서 로컬 계정에 대한 네트워크 로그인 설정을 거부하도록 하자. 컴퓨터구성 -> Windows 설정 -> 보.. 2020. 12. 29.
Hidden Process – CreateDesktop 예전에 찾았던 자료인데, 단순하면서도 재미있는 코드라서 다시 정리해봤다. 아래 링크를 보면 윈도우의 세션 관리 기능을 이용해서 프로세스를 다른 데스크톱에서 실행하여 사용자에게 숨길 수 있는 코드를 예제로 제공한다. https://github.com/MalwareTech/CreateDesktop/blob/master/Main.cpp 위 코드와 관련하여, 함께 봐야 할 내용이 윈도우에서 어떻게 세션을 관리하는지에 대한 내용을 이해할 필요가 있다. https://blogs.msdn.microsoft.com/coreinternals/2009/08/19/session-window-station-desktop/ 요약해 보면, 윈도우는 사용자가 로그인하거나 서비스가 실행되는 세션 관리를 위해 Windowstation.. 2020. 12. 2.
WMI 원격 실행 보안 WMI는 윈도우 관리에 편리한 프로토콜이지만 이를 이용한 해킹도 많이 일어나는 만큼 각별한 주의가 필요하다. 만약 WMI를 이용하지 않는다면 WMI의 원격 명령 실행을 할 수없도록 보안하는것이 좋다. 아래는 원격지에서 WMI를 통해 쉘코드로 명령프롬프트를 생성하여 명령을 실행하는 악성코드의 일부분이다. ”On Error Resume Next Set outstreem=Wscript.stdout If (LCase(Right(Wscript.fullname,11))=”Wscript.exe”) Then Wscript.Quit End If If Wscript.arguments.Count 2020. 12. 2.
침해 분석 - 가장 중요한 포인트 침해 분석을 진행할 때 가장 중요한 포인트는 무엇일까? 바로 해당 머신이 침해인가를 확인하는 것. 이를 위해 우리가 살펴봐야 하는 포인트는 3가지 이다.(침해 분석에 Hardware 도 포함 되어야 하지만 대부분 Hardware에 대한 침해은 어렵고, 많지 않기 때문에 여기에서는 예외한다.) 1. Malware Malware가 실행되었는지를 확인해야 한다. OS를 변경하거나 File을 생성혹 변경하고 네트워크 활동을 할 수 있다. 따라서 Malware를 확인 할 때, Malware는 Kernel 혹은 User 모드로 실행되어 Process 자체만으로 확인이 어려울 수 있고, Dropper 와 같이 변형이 일어날 수 있기 때문에 Process와 함께 File과 Network 활동을 같이 확인해야 한다. M.. 2020. 11. 19.
Visual Studio - AddressSanitizer C++과 같이 메모리 포인터를 직접 관리해야하는 경우 메모리 스택을 오버플로우를 발생시켜 의도하지 않은 명령응 실행해 우리가 예제에서 많이본 메모장 계산기를 실행하여 보여주는 code Execution 공격이 가능하다. 네트워크 기능을 결합하몀 Remote code execution인데 이를 개발시점에 보완하는게 좋다. 최근 Visual studio에 메모리 주소와 관련된 취약점을 확인해주는 AddressSanitizer가 추가되었다. 아래와 깉은 보안 위협에 도움을 줄 스 있으므로 C++개발한다면 우선 고려해보는게 좋겠다. stack-use-after-scope stack-buffer-overflow stack-buffer-underflow heap-buffer-overflow (no underflow.. 2020. 11. 17.
WebKnight - How to fix About Famous errors http://www.aqtronix.com/?PageID=99 Webknight Famous error 1 not allowed in URL 2013-07-08 ; 08:04:21 ; W3SVC2 ; OnPreprocHeaders ; ::1 ; ; xxxxx; GET ; /xxxxx/ ; BLOCKED: ‘/xxxxx/‘ not allowed in URL ; HTTP/1.1 ; Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0) ; http://localhost/ This error is related to Denied Url Sequences. Disable or modify Use Denied Url Sequences und.. 2020. 10. 29.
Microsoft Defender - 이제 단순한 백신이 아니다 Windows7 시절부터 들어있던 Windows Defender... 처음에는 탐지률이 좋지 않아, 다른 백신 프로그램 사용하는 경우가 많았다. 하지만 지금은 Microsoft 365(Office 365)와 결합하면서, APT 부터 Threat Hunting, Constom Detection 까지 EDR 요소까지 갖추어져 있어 만약 Office 365를 사용한다면, 사용자 행위 분석과 위협 분석을 아주 손쉽게 수행할 수 있다. 그래서 이름도 Microsoft Defender로 변경했나보다. techcommunity.microsoft.com/t5/microsoft-security-and/microsoft-defender-for-identity-enriches-the-microsoft-365/ba-p/180.. 2020. 10. 24.
Become an Azure Sentinel Ninja: The complete level 400 training Microsoft에서 클라우드 SIEM에 대해 적극적으로 기술지원을 하고 있는것 같다. Threat Hunting 방법 부터 Log Broker 개발 방법등 SOC에 필요한 요소들 다 넣어 놓음. 것도 Level 400으로 하나로 묶어서.... 이거보면, SOC 어떻게 돌아가는지 , Playbook, Workbook등 보안 쪽 일하는 용어도 이해되고, 전체적인 안목을 키우는대도 도움이 될 것 같다. techcommunity.microsoft.com/t5/azure-sentinel/become-an-azure-sentinel-ninja-the-complete-level-400-training/ba-p/1246310?WT.mc_id=ES-MVP-4039990 Become an Azure Sentinel Ni.. 2020. 10. 24.
HTTP DESYNC ATTACK (REQUEST SMUGGLING) 오늘 Microsoft에서 Microsoft Security Advisory 메일에 흥미로운 내용이 있어 웹에 찾아보니 Http Desync Attack (request smuggling) 공격에 대한 방어 방법에 대한 내용이였다. 어떤 공격일까 라는 생각에 확인해보니 매우 신선한 방식의 공격 기법으로 원문 링크와 주요 내용들을 정리해보았습니다. Explain 공격 방식은 Smuggling(밀수) 단어엣 알 수 있듯이 웹서버 요청에 몰래 데이터를 넣는 공격 이라고 할 수 있습니다. 이렇게 몰래 넣은 데이터는 다른 사용자의 요청에 포함되어 전달되어집니다. CL(Content-Length), TE( Transfer-Encoding)을 Header를 활용한 공격으로 아래와 같은 취약점으로 공격/테스트 가 가능.. 2020. 10. 6.
LOLBAS 란 - Living off the Land Binaries and Scripts LOLBAS 프로젝트는 사이버 공격에 중 Living Off The Land 기술(Dropper 가 필요 없는)에 사용되는 모든 바이너리, 스크립트 및 라이브러리를 문서화하는 것이다. Dropper는 사이버 공격에서 대상을 침해 시키기 위해 악의적인 행위를 하는 멜웨어를 다운로드 하는 프로그램으로 LOL은 Drroper 역활을 윈도우/리눅스 자체에서 제공하는 정상 바이너리, 스크립트 및 라이브러리 사용하는 특징이 있다. https://lolbas-project.github.io (Linux: https://gtfobins.github.io/) 에서 잘 정리되어 있으며, 어떻게 사용되는지 내용을 확인 할 수 있다. 세부적으로, LOLBin, LOLScript, LOLLib으로 분류하여 관리하고 있다. 2020. 9. 21.