본문 바로가기

security

(132)
윈도우의 바이너리 기반 부트관련 로그 및 분석 도구 테크넷 김재벌 입니다. 윈도우에서 부트 관련 로그가 bootstat.dat 파일에 저장되고 있는데, 이는 DFIR 관점에서 중요한 정보를 내포할 수 있습니다. 이 파일의 이름과 경로는 아래와 같습니다. $bootstatFilename = "C:\Windows\bootstat.dat" 하지만, 이 파일은 바이너리 파일로 이 파일을 분석하려면 문자열을 파싱해서 추출하는 방법을 사용해야 합니다. 트위터를 통해 해당 정보를 확인했고 , 이 문제를 인식한 분이 직접 파워쉘로 이를 분석하는 스크립트를 작성하여 공개 했습니다. 추후 활용, 응용하면 꽤나 의미 있는 분석을 할 수 있을 것 같네요. https://github.com/gtworek/PSBits/blob/master/DFIR/Extract-BootTimes..
파워쉘을 이용한 윈도우10 무선랜 정보 수집 안녕하세요. 무려 1년만의 포스팅인 것 같네요. 코로나-19가 터지고 , 회사에서 여러 변화와 인력의 변화가 있어서 1년은 정말 정신 없이 보냈네요. 안그래도 업무 때문에 체력이 떨어져서 포스팅하는게 만만치 않았는데...그나마도 쉽지 않게 되었었네요. 계정도 카카오계정으로 연동 안되면 안되는.....방식으로 바뀌어 있어서.... 좀 헤매고..ㅎㅎ 암튼... 윈도우 10의 파워쉘을 관리자 모드 (as administrator) 로 실행하고 아래와 같이 간단한 명령 하나라도 무선랜에 대한 정보는 아주 상세하게 확인하실 수 있습니다. 생성된 보고서는 html 형식으로 만들어지고, 꽤나 상세한 형태로 만들어 집니다. 이미지 샘플은 첨부 하지 않았어요...^^ 제 시스템 정보가 너무 노출되서..ㅎㅎ 한번 활용해 ..
오라클 엑사데이터 - 시스템 보안 안녕하세요. 테크넷 마스터 김재벌입니다. 제 업무 영역이 주로 보안과 시스템(클라우드) 영역인데 , 엑사데이터는 관심 가져본적이 없네요. 아무래도 데이터베이스 엔지니어나 DBA 역할을 하지 않다 보니, 이 영역에 대해서는 아는게 별로 없네요. 오라클 엑사데이터에 대해서 제가 아는 지식은 x86 기반이고 , 오라클 리눅스에 오라클 데이터베이스를 얹어 사용하는 어플라이언스 정도 인데 , 오라클 엑사데이터를 기반으로 하는 보안 관련 주제가 포스팅되어 해당 내용을 나름대로 이해하여 번역하고 요약하여 포스팅 합니다. 이 내용은 오라클의 엑사데이터 팀에서 포스팅한 글이며, 이글의 일부 내용은 당연히 오라클의 자랑(?)으로 시작하여 끝합니다만, 오라클 엑사데이터를 운영하거나 지원하는 엔지니어나 관리자는 그럼에도 불구..
악성코드 추출, 탐지 분석용 도구 Pe-Sieve 안녕하세요 테크넷 마스터 김재벌 입니다. 간만에 보안 쪽 관련 포스팅을 준비해 봅니다. 이번에는 PE-SIEVE 라는 도구 입니다. 이 도구는 간결한 오픈소스 기반 도구로 git 을 통해서 배포 되고 있습니다. git clone --recursive https://github.com/hasherezade/pe-sieve.git 명령을 통해 하위 모듈과 함께 가져 올 수 있습니다. 윈도우 버전의 테스트 빌드는 아래 링크를 통해 받을 수 있습니다. 해당 도구의 사용법은 매우 간단합니다. 명령어 수행시 /pid 를 붙여주면 됩니다. 작업 관리자나 process explorer 등의 도구를 이용하여 의심 스러운 프로세스의 PID를 옵션으로 넣어주면 바로 덤프와 추출을 해 줍니다.이 도구는 실행중인 멀웨어를 탐지..
comae.io 메모리 분석 도구 모음 ( dumpit ) 포함 안녕하세요 테크넷 마스터 김재벌 입니다..^^ 침해사고 대응을 위해서 다양한 도구가 활용되는데 , 그중에 메모리 포렌식을 위해 메모리 덤프는 필수적이죠. 그중에 널리 사용되는것이 moonsols 의 dumpit 인데 , 어느날 찾아보니 , 사이트가 리뉴얼 되고 툴 구하는게 어려워져서 저도 가지고 있는 버전만 활용했었습니다. 그런데 , moonsols 가 아래 사이트로 변경되고 툴도 세트 형태로 나오더군요. https://my.comae.io/login 해당 도구를 다운 받기 위해서는 회사 메일이 있어야만 가능하고 , 인증 메일로만 로그인도 가능해서 공부하시는 분들이 활용하기에는 어려워 보여서 아예 다운 받아서 공유해 둡니다. dumpit 이외에도 Bin2DMP.exe , DMP2Bin.exe , Hibr..
MITMF 를 이용한 공격 기법 - 파일 다운로드 보호되어 있는 글입니다.
SSH Downgrade Attack - Note ================================================A client (putty가 있는 xp)Putty.exe 실행 --> SSH를 이용 192.168.30.192(server 접속)=================================================공격자 셋팅1. 첫번째 터미널 #echo "1" > /proc/sys/net/ipv4/ip_forward #cat /proc/sys/net/ipv4/ip_forward (반드시 1로 셋팅되어야 한다.) 2. 두번째 터미널 #cat > sshdown.ecf if ( search(DATA.data, "SSH-1.99") ) { replace("SSH-1.99","SSH-1.5"); } (ctrl + d 를 동..
메모리 카빙 및 패킷 분석 보호되어 있는 글입니다.