kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

반응형

DFIR/사고 대응 9

Procmon 덤프 수집 및 분석

1. Process Monitor란? Windows Sysinternals Suite에서 제공하는 도구로, Microsoft에서 제공 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon 프로세스 모니터링 및 분석, 디버깅을 목적으로 시스템의 파일 시스템, 프로세스/스레드, 파일, 네트워크, 레지스트리 동작 등을 실시간으로 캡쳐(수집)하여 모니터링 하는 프로그램 너무 많은 데이터를 수집한다는 점이 가장 큰 장점이자 단점 주요 기능 Capture : 프로세스 로그 수집 캡쳐 on/off, 단축키 : Ctrl + E Autoscroll : 최근 활동한 프로세스 목록 이동 Clear : 캡쳐된 프로세스 출력 내용 초기화 Filter : 필터링 설정(..

DFIR/사고 대응 2023.01.02

공격 벡터란?

* 공격 벡터 (Attacker Vector) - [정보보호] 해커가 컴퓨터나 네트워크에 접근하기 위해 사용하는 경로나 방법. 해커가 시스템의 취약점을 공격할 수 있는 수단을 제공하는 것으로, 바이러스, 이메일, 첨부 파일, 웹페이지, 팝업윈도, 인스턴스 메시지 및 대화방 등을 이용한다. 이러한 방법은 모두 운용자의 방어 능력이 취약한 프로그래밍에서 기인한 것으로 방화벽이나 안티 바이러스 소프트웨어를 사용해 보지만 완전한 보호 방법이 되지 못한다. 한국정보통신기술협회에서는 위와 같이 정의하고 있다. 취약점과 혼동이 생긴다. 취약점과 비교해보면 취약점은 공격자가 스템의 정보 보증을 낮추는데 사용되는 약점이다. 라고 설명되어 있다. 그 약점을 공격하기 위한 부분 사용자의 입력을 받는 곳을 공격 벡터라고 할 ..

DFIR/사고 대응 2022.03.10

OSINT (Open Source Inteligence) 스터디

OSINT (Open Source Intelligence) 오픈된 정보 (구글, 네이버, SNS, 쇼단 등, 구글해킹) Offensive Defensive 2개의 관점으로 나뉜다. whois를 이용한 대상 정보 수집 (대상에 대한 간단한 정보 수집) # whois -h google.com DNS 정보 수집 - fierce # fierce -dns tsherpa.co.kr -threads 3 -> 서브 도메인 정보 수집, 서브 도메인과 IP정보 매칭 목록이 있으면 정보 수집 시 수월 DNS 정보 수집 - recon-ng oot@kali:~# recon-ng [*] Version check disabled. _/_/_/ _/_/_/_/ _/_/_/ _/_/_/ _/ _/ _/ _/ _/_/_/ _/ _/ _..

DFIR/사고 대응 2021.11.23

[Forensic] VBA코드 추출 참고

예전 강의 때 참고하였던 정보. doc 샘플 악성코드 분석 관련 프로그램 및 사이트이다. OfficeMalScanner.exe www.aldeid.com/wiki/OfficeMalScanner/OfficeMalScanner OfficeMalScanner/OfficeMalScanner - aldeid Description OfficeMalScanner is a MS Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. The tool will look for several strings and API calls to guess if the document is ..

DFIR/사고 대응 2021.01.18

[Forensic] 리눅스 Live 데이터 수집과 Live CD 활용

리눅스 시스템에서 휘발성 데이터를 수집하는 스크립트에 사용되는 명령어를 정리해 놓은 내용을 에버노트에서 블로그로 옮긴다. 귀찮다.. 프리미엄을 해지 했더니 장치 동기화도 한대이상 안된다. 괜히 해지했나 싶다가도.. 잡스런 메모나 데이터 정리할 목적으로 지금 아니면 못할 것 같다. 온라인 상에서도 미니멀 라이프를 실현하자. 활성 시스템에서의 수집하는 휘발성/비휘발성 데이터 구분 및 수집 수집 정보 관련 명령어/경로 날짜/시간 정보 date ex) date +%Y%m%d%H%M 시스템 정보 uname –a 프로세스 정보 (비정상 프로세스 확인) ps –ef / ps -elf / ps -aux pstree top lsof –p [PID] / lsof -i [port] vmstat lsmod 메모리 사용율 확인..

DFIR/사고 대응 2021.01.12

악성코드 분석 강의 정리

에버노트를 안쓰기로 하면서 기존에 묵혀두었던 정리안된 강의들으면서 정신없이 필기했던 메모들이 엄청 많다.. 올해 안에는 다 정리하는 걸로 하자. 틈틈히 조금씩 수정하다 보면 언젠가 도움이 되겠거니.. * 사전지식 1. CPU 및 어셈블리어 관련 : 아키텍쳐 별로 거기에 맞는 명령어를 넣어줘야 한다. (x86, x64, arm, mips는 CPU 아키텍쳐일 뿐) : CPU가 C언어를 이해할 수 없기 떄문에 cpu가 이해할 수 있는 어셈블리어가 있는 것. : 어셈블리어는 CPU 아키텍쳐에 따라 결정된다. 즉, CPU 아키텍쳐에 따른 어셈블리어를 사용해야 한다. 2. 메모리 : 루트킷 악성코드는 커널영역까지 침범하는 악성코드 : 윈도우 기반 악성코드 -> 프로그램 제작 과정 참고 : 바이너리와 시스템이 상호작..

DFIR/사고 대응 2020.12.19

[Forensic] 윈도우 포렌식 실전 가이드 / 침해사고대응

'윈도우포렌식 실전 가이드(고원봉/한빛미디어)' 도서를 참고하여 포스팅하였다. 침해사고대응 및 컴퓨터 포렌식 관련하여 긴급하게 윈도우 호스트에 대한 휘발성 데이터를 수집하여 조사 시 참고한다. * 라이브 포렌식 단계에서 영향을 받는 시스템 구성 요소 메모리 : Live Response 도구를 실행하면 프로세스가 생성되고 실행 코드와 오브젝트들이 메모리에 적재된다. 네트워크 : 사용하는 도구가 네트워크 기능을 이용하면 시스템은 지정된 소켓을 열고 외부와 네트워크 연결을 맺는다. 그리고 네트워크 연결도 커널 오브젝트에 의해 관리됨으로써 메모리에 있는 커널 테이블을 갱신한다. 프리패치 : 윈도우는 새로운 프로그램이 실행될 때마다 프리패치(Prefetch) 파일을 만든다. 레지스트리 : 많은 Live Respo..

DFIR/사고 대응 2020.10.26
반응형