1_23

이미지 날라가서 첨부터 다시씀 우분투에 velociraptor를 설치하게되면server.config.yaml 파일이 생성되게 될것이다.더보기sudo ./velociraptor --config server.config.yaml frontend &sudo ./velociraptor --config server.config.yaml gui &해당 명령어를 사용하여 서버를 시작할수있다.설정된 frontend와 gui를 키는 명령어 이다. 서버를 시작하고 윈도우에서 서버의 ip와 포트번호로 접속을 하게되면velociraptor로 접속할수있게 된다. 서버는 켜져있으나, client와 연결이 되어있지 않기 때문에 연결을 시켜주어야한다. server artifacts에 들어가서server.utils.createmsi ..

SIEM조직 안의 여러 시스템에서 나오는 로그/이벤트를 한곳에 모아서 상관분석과 탐지 규칙으로 이상징후를 찾아내고 경보 대시보드 리포팅까지 해주는 플랫폼 SIEM 기능1. 수집 : 서버/PC/네트워크/클라우드/보안장비에서 로그를 받아옴2. 정규화/파싱 : 서로 다른 로그 형식을 공통 필드로 맞춤3. 저장/검색 : 사고가 난뒤 타임라인을 복원하기 위해서는 충분한 보관기간과 빠른 검색이 중요하다4. 상관분석/탐지 : 단일 로그로는 정상처럼 보이는데, 여러 로그를 엮으면 수상해지는 패턴을 탐지5. 경보/티켓/대응 : 알림만 울리는게 아니라, SOAR(자동화)나 티켓 시스템과 연계해서 대응 흐름을 만듬6. 가시화/리포팅 : 위험 추세, 자산별 이벤트, 공격 흐름을 시각화해서 운영/감사에도 쓰임 SIEM종류(아키..

보호되어 있는 글입니다.

주요통신기반시설 취약점 진단 가이드를 기반으로한 윈도우 서버 취약점을 발견하는 프로그램을 구성해보았습니다.취약점들을 조치하는 항목입니다.어떤 취약점들이 있는지 확인하는 항목입니다.어떤 취약점 항목에서 취약점이 다수 나왔는지 확인하는 항목입니다.

문제인데, 그냥 아무말도 써져있지않다. 파일을 미리보기로 보니 png파일 하나가 들어있다.파일을 해제할려고하니 암호가 걸려있었다.여기부터 사실 많은 고생이 있었다.hxd에 뭔가 적혀있나 싶기도했고,zip파일의 구조에서 비밀번호가 걸려있지않은데 걸려있는거처럼 보이게 하는 바이트를 수정하면된다라는 말이 있어 바이트를 수정하여 zip파일의 암호를 풀어냈으나, crc가 맞지않아 풀리지않았다.결론은 bkcrack이라는 프로그램을 사용하여 zip파일의 암호를 제거하였다.더보기bkcrack.exe -C challenge.zip -c quackquackquack.png ^ -x 0 89504e470d0a1a0a ^ -x 8 0000000d49484452 bkcrack을 사용하여 더보기bkcrack.exe -C ..

YARA RULE이란?yara는 파일이나 메모리에서 특정 특징을 갖는 것을 찾기위해서 규칙을 써서 자동으로 찾아주는 도구이다.악성코드/스케어웨어/스크립트 같은 것을 패턴 매칭으로 빠르게 골라내는데 사용한다. 용도디스크 스캔 : 폴더/서버에 있는 수많은 파일 중 악성 의심만 걸러낼수있다.메모리 스캔 : 실행 중인 포르세스 안에서 의심 문자열/패턴 찾기DFIR/위협 헌팅 : 침해사고 대응 중 IOC기반으로 빠르게 탐지 작성법rule rule_name{ meta: author = "a" date = "20xx-xx-xx" note = "test" strings: $str = "text" $hex = { 00 00 00 00 } $re = /m..

ZFS는 파일시스템의 한 종류이다.현재는 OpenZFS 이름으로 알려져있으며, 리눅스/BSD/TrueNAS와 같은 NAS에 많이 쓰인다.file system과 볼륨 매니저/ 소프트웨어 RAID 기능을 내부에 통합 했다(RAID : Redundant Array of Independent Disks의 약자, 여러개의 물리적 디스크를 묶어 하나의 논리적 디스크처럼 작동하게 하는 기술) 핵심 개념zpool(풀) : 여러 디스크를 묶어 만든 저장소 단위vdev : 풀을 구성하는 하위 디스크 그룹 (미러, RAID-Z 등)dataset : 풀 위에 만드는 파일시스템(또는 zvol: 블록디바이스)copy on wirte(CoW) : 덮어쓰지 않고 새 블록에 기록 -> 메타데이터만 최신 루트로 변경TXG(트랜잭션 그룹..

MITRE ATT&CK이란?전 세계에서 관찰된 공격자의 행동을 체계적으로 분류한 지식베이스이다.누가, 무엇을, 어떻게, 왜, 어디서 를 전부 코드/이름으로 표준화해 둔 공격 전술/기술 사전이라고 보면된다.이를 기술하는 목적은 탐지설계, 위협헌팅, 침해사고 타임라인 재구성, 보안 격차 분석을 더 빠르고 일관되게 하도록 돕기위해서 작성한다. 구성 요소Matrix: 가로축은 Tactis(전술), 세로항목은 Techniques/Sub-Techniques(기술/세부기술)Tactics: 공격의 의도/단계(예시: Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Latera..

Velociraptor는 오픈소스 DFIR 플랫폼이다. VQL이 있어 SQL처럼 쿼리로 증거를 수집할수있다. 웹 기반 Admin GUI로 수집/헌트를 돌릴수있다. 구성요소 :서버(Server) : 웹 콘솔/스케줄러/저장소. 무엇을 수집할지 정의하고 결과를 모아 보여줌.클라이언트(Client/Agent) : 각 엔드포인트에서 VQL을 실행해 로컬에서 증거를 읽고, 요약된 결과만 서버로 보냄.아티팩트(Artifact) : 무엇을·어디서·얼마나 수집할지 적은 YAML 레시피(안에 VQL 포함).헌트(Hunt) : 같은 아티팩트를 다수 호스트에 배포하는 대규모 작업. 단일 호스트 배포시 콜렉션(collection)이라고 한다. velociraptor에서의 artifact는 보통 forensics에서 말하는 증거..

이거 갔다왔습니다1일차는 뭐 돈주고 듣는거길래 안들었고2일차는 가서 채용홍보회? 그거랑 부스 돌았습니다.3일차는 서밋 들었는데 재밌었습니다. 2일차 처음에 일찍가서 얼타다가 신청해야하는거보고 좀 멘붕했다가그냥 신청하는것들은 전부 돈주고 듣는거길래 안도의 한숨 한번 쉬고무료로 하는것만 들었습니다막상 가니까 뭐해야하는지 모르겠어서 혼자서 또 얼타다가에라 모르겠다 하고 제품 설명회 돌았습니다.forensic관련해서 제품들이 많이 나왔더라고요고려대에서도 오고 plainbit에서 주최를 한건지 젤 많이 보였습니다.저같은 백수나 학생들보단실무 종사자들이 많더라고요그래서 저렴한 질문을 하니까좀 부끄러웠습니다. 그래서 어쨋든 가서 배운건생각보다 제품 나오는게 다 비슷비슷했습니다.제가 몰라서 그런건지 모르겠는데대부분 아..