Moai

로그 분석 솔루션 - SOAR, SIEM

2023-02-05T03:27:35Z

1년 전 log4j 취약점으로 난리가 났었다. log4j는 JAVA 언어로 개발되는 거의 모든 어플리케이션에서 사용하고 있었고 패치가 없었기 때문에 무방비로 취약점이 노출됐었다. 로그로 자주 출력되는 HTTP 헤더 같은 곳에 악성 서버 주소를 입력하면 해당 주소에서 명령어를 받아와 실행이 되는 취약점이었다. 악성코드를 분석하고 ip, port, url

DiD (Defense In Depth) - 보안솔루션

2024-02-22T05:39:30Z

얼마전에 슈카월드에서 재밌는 영상을 봤다. https://www.youtube.com/watch?v=KIMxmVnUJ9o 콘스탄티노플은 옛 로마의 수도이다. 도시의 위치는 3면이 바다로 둘러쌓여있고 남은 한쪽은 테오도시우스라는 성벽으로 막아놓았다. 그리고 1000년동안 수많은 세력이 로마의 황제를 공격했지만 테오도시우스 성벽에 번번히 막혔다. 하나의 성벽을

네트워크와 보안 #3 - 방화벽 - Firewall, PaloAlto

2023-11-29T08:54:47Z

보안에는 3대 프로세스로 Protection, Detection, Response(Reaction)이 있다. Protection은 침입이 일어나지 않도록 보호조치를 하는 것을 말한다. ex) Firewall Detection은 Protecton을 뚫고 들어오는 공격이 있는지 확인하는 것을 말한다. ex) IDS Response는 침입이 발생했을 경우 대응

네트워크와 보안 #2 - 정보수집 - 정보 수집

2022-11-19T02:19:03Z

은행 강도는 은행을 털기로 결심했다고 바로 은행을 공격하지 않는다. 은행을 공격하기 전에 현금 수송 차량 이동 정보, cctv, 경보 장치, 직원 수, 탈출 경로, 금고 위치 및 출입 방법, 접근할 수 있는 직원 정보 등 관련된 정보를 모두 획득 한 뒤 작업을 진행한다. 은행 강도가 은행을 털기 전에 은행에 잠복해 정보를 수집하는 것처럼 해커 또한 똑같은

FOCA 설치 및 사용 - 풋프린팅, 정보수집

2022-11-14T14:01:19Z

https://github.com/ElevenPaths/FOCA/releases 에서 빌드된 실행 파일을 다운받는다. ex) FOCA-v3.4.7.1.zip https://www.microsoft.com/ko-kr/evalcenter/evaluate-sql-server-2019?filetype=EXE 실행을 위해서는 SQL Server 가 설치되어야 한다

악성코드 분석 - 동적분석, 리버싱, 악성코드

2022-11-15T05:45:38Z

이 글을 읽기위해서는 기본적인 지식이 필요하다. PE구조 프로그래머는 프로그래밍 언어로 프로그램을 제작한다. 어떻게 소스코드가 프로그램이 될 수 있었을까? 소스코드를 프로그램으로 build 해주는 Visual Studio 같은 도구가 필요하다. 그럼 Windows 같은 운영체제는 어떻게 이 프로그램을 해석해서 실행시켜주는 것일까? Visual Studi

Virtual Box에서 vmdk 실행

2022-11-14T14:01:05Z

강의를 위해 기존에 vmware에서 작업하던 환경을 virtualbox에서 실행해야 했다. 우선 virtual box를 다운받는다. https://www.virtualbox.org/wiki/Downloads 설치가 끝나면 새로만들기를 클릭한다. 전문가 모드를 클릭하고 용량이 넉넉한 드라이브에 있는 폴더를 저장할 폴더로 지정한다. 그리고 Hard D

DarkTrack RAT - 악성코드 기능 및 분석

2022-11-14T14:00:57Z

요즘은 정적으로 악성코드를 분석하는 부서가 별로 없지만 다행히 나의 경우 해당 업무를 담당했고 뛰어나신 분 옆에서 3년동안 분석을 배울기회가 있어서 좋은 경험을 쌓을 수 있었다. 다만 점점 익스플로잇킷에 의한 취약점 공격이 아닌 메일 위주의 Formbook과 같은 악성코드가 늘어남에 따라 분석하는 시간이 아까워지기 시작했다. 다크웹 같은 곳에서 돈을 주면

timesketch - virtualbox docker ubuntu

2022-11-14T14:00:47Z

plaso의 타임라인을 시각화해서 보여주는 도구인 timesketch를 설치해서 사용해보자 원래는 서버에 설치 후 접속하려고 했으나 500 (Internal Server Error)에러가 발생했다. 버전을 변경해보고 성능을 변화시켰지만 동일했다. 슬랙에서 이유를 확인해본결과 로컬에서 설치를 해야만 정상 접속되는 것으로 보인다. 우선 virtualbox를

네이버 클라우드 플랫폼 설치 및 접속 - 네이버 클라우드 플랫폼

2022-11-14T14:00:34Z

네이버 클라우드 환경에 백엔드 환경을 설정해보자 우선 결제 카드를 등록해서 10만원 무료 크레딧을 받고 다음과 같은 환경으로 서버생성을 했다. 기본적으로 제공하는 서버는 매우 느려서 설치하는데 한세월이기 때문에 ssd 디스크가 있는 환경 중에 가장 저렴한 것으로 선택했다. 서버 설정 이후 인증키를 생성하고 저장하여 폴더에 따로 보관한다. 이 파일을

plaso 설치 및 log2timeline 사용하기

2023-10-10T07:22:10Z

디스크 이미지에서 아티팩트를 분석할 때 가장 중요한 정보가 시간정보이다. 각 아티팩트로부터 특정 시간에 발생한 기록을 확인한 뒤 시간 순서대로 정렬하여 상관 관계를 파악해야 한다. 그런데 포렌식 분석 도구가 모두 다르기 때문에 시간 순서대로 분석하는 것이 매우 힘들다. 한 화면에 여러개의 도구를 실행시키고 돌아가면서 특정 시간에 발생한 사건을 확인해야 한다

Word (OLE) 파일 취약점

2022-11-14T14:00:17Z

cert 업무로 근무하는 동안 문서 취약점 때문에 고생을 했다. MS 오피스 프로그램은 한번 설치하면 업데이트를 거의 하지 않는다. 그뿐만 아니라 불법 프로그램을 이용해 옛날 버전을 사용하는 경우도 많다. 이상한 변호사 우영우에서도 문서 파일을 첨부해 디비 담당자에게 메일을 보냈고 담당자는 아무 생각 없이 파일을 열어 악성코드를 실행했다. 이후 회사는

Windows 포렌식 도구 소개 및 실습

2022-11-14T14:00:09Z

Windows 운영체제는 빠른 속도를 위해, 에러를 고치기 위해, 실행 환경 저장, 보안 감사를 위해 여러 파일들을 생성하고 기록한다. 문제는 이러한 아티팩트가 동일한 구조가 아니고 텍스트 파일이 아니기 때문에 메모장으로 확인이 불가능하다. 전용 tool이 필요한데 신뢰할만한 tool을 사용해야만 한다. 무료 tool의 경우 개발자가 업데이트를 멈춘 cas

침입 아티팩트

2023-05-20T06:20:22Z

우리가 컴퓨터를 사용하다보면 알게 모르게 사용흔적이 남게된다. 이러한 흔적들을 조사하고 수사할 때 사용하는 기법을 디지털 포렌식이라고 한다. 운영체제는 사용자에게 편의성을 제공하기 위해 여러 파일들을 생성한다. 예를들어 최근에 사용했던 파일, 응용 프로그램에 대한 정보, 방문했던 사이트등을 다른 파일에 기록해서 재사용시 더 빠르게 운영체제가 사용할 수 있도

해킹 사고 - 개인 PC 공격

2022-11-14T13:59:48Z

가끔 뉴스를 보면 유명 기업이 해킹 공격에 의해 수백만명의 개인정보, 주요 기술정보가 털렸다는 소식을 듣곤한다. 해킹당했다라는 근거는 무엇이며 어떤 정보가 유출됐는지는 어떻게 알 수 있을까? 오늘은 이 주제에 대해서 얘기해보고자 한다. 당하는 주체는 개인 PC와 서비스를 위한 서버가 있을 수 있다. 어떻게 해커는 내 PC를 공격할 수 있을까? 내 PC가

CVE-2018-5002 - Flash 제로데이 취약점

2022-11-14T13:59:39Z

한 때 유행했던 제로데이 취약점에 대해 분석 내용을 작성한다. 잠재적인 공격 대상은 카타르였고 6월 초에 공격이 시작됐고 이후 Adobe에 의해 2018년 6월 7일에 패치가 됐다. 자세한 분석 레포트는 아래 링크에서 확인할 수 있다. https://s.tencent.com/research/report/489.html 분석에 앞서 악성코드 실행 과정은

Exploit Kit - flash 취약점

2022-11-14T13:59:30Z

한 때 유행했던 Exploit Kit에 대해 분석한 내용을 작성한다. 공격자는 취약한 사이트를 해킹해서 특정 웹페이지로 리다이렉트 시키는 코드를 넣어놓는다. 사용자가 해당 사이트에 방문하게 되면 HTML의 iframe 태그와 같은 코드로 인해 악성 페이지로 리다이렉트되고 Adobe Flash, Internet Explorer, Java 등의 취약점으로 인

네트워크와 보안 #1 - 네트워크계층 - 기본 지식

2022-11-19T02:19:34Z

네트워크 역사 우리는 스마트폰만 가지고 있으면 언제든지 문자, 앱을 이용해 친구들과 대화할 수 있다. 이러한 메시지가 어떻게 내 친구에게 전달이 되는지 알아보고자 한다. 지금은 너무나 당연하게 무선통신으로 인터넷을 사용하지만 15년 전만 하더라도 전화기 통화선으로 인터넷을 해야만 했다. 기술이 발전하면서 전기 신호가 아닌 레이저를 통해 데이터 전달이 가능

침입탐지와 차단시스템

2022-11-14T13:59:12Z

악성코드는 어떻게 감염이 될까? 그리고 감염이 되면 어떻게 찾을 수 있을까? 보안이란 자산을 위험으로부터 지키는 것을 말한다. 일반적인 중요 자산으로 돈, 사람, 서류, 지식, 데이터 같은 것이 있을 수 있다. 돈, 서류와 같이 만질 수 있는 자산은 금고, CCTV와 같은 물리적인 장비로 자산을 지키면 된다. 보이지않는 데이터, 예를들어 소스코드, 고객

Pandas 코로나 확진자 통계

2022-11-14T13:57:41Z

pandas를 이용해 코로나 확진자 통계를 그래프로 표현해보자. 아래 위키에 들어가면 코로나 확진자 수를 일자별로 정리한 테이블을 볼 수 있다. https://ko.wikipedia.org/wiki/대한민국의_코로나19_범유행 위 테이블 정보를 가져와 차트로 표현해보자 read_html로 url에서 테이블 정보를 가져온 뒤 번호를 하나씩 올려가면서 원