kkamagi.story

[보안성 검토] 의미 알아가기 [기고] 정보보안 안전성 확보하는 ‘보안성 검토’ 보안 취약점 없는 정보시스템 구축 위해 필수 ▲ 오영택 이글루시큐리티 인프라컨설팅팀 차장 [컴퓨터월드] 얼마 전 고객사로부터 보안 취약점 진단을 요청 받아 수행한 적이 있다. 해당 시스템은 과거 취약점 진단을 받았던 시스템이 확장돼 추가 구축된 것이었기 때문에, 기존과 마찬가지로 다수의 취약점들이 발견될 것으로 예상됐다. 그러나 생각했던 것과 달리 취약점은 거의 발견되지 않았는데, 그 이유는 시스템을 확장 구축하는 과정에서 진행된 ‘보안성 검토’ 덕분인 것으로 분석됐다. 보안성 검토를 통해 대부분의 취약점을 사전에 제거할 수 있었기 때문이었다. 이렇듯 시스템에서 발생 가능한 보안 위협을 최소화하기 위한 예방책으로 지난호에서는..

왜 엔드포인트 위협탐지대응(EDR) 솔루션인가[보도자료] | 2019-10-08 탐지를 넘어 직접적인 대응으로, EDR-① 왜 엔드포인트 위협탐지대응(EDR) 솔루션인가 왜 모두가 EDR을 외치는가? EDR은 왜 필요한가? 사후처리 방식의 안티바이러스(Anti-Virus) 솔루션 안티바이러스 솔루션은 바이러스 패턴을 분석하여 진단한다. 이후 바이러스 엔진에 업데이트하여 다른 PC의 감염, 확산을 막는 사후처리 방식을 사용한다. 그래서 최초의 바이러스, 악성코드를 사전에 차단하는 것은 불가능했다. 우선 감염된 후에 패턴을 파악하고 엔진에 업데이트를 해서 확산을 막는 것이 주된 방식이었다. 또한 분석에는 오랜 시간이 소요됐다. 수천, 수만 대 PC가 감염되고 난 다음에야 대응책이 나오는 경우도 있었다. 랜섬..

기업보안팀은 증가하는 보안 문제에 직면해오고 있습니다. 첨단 적들이 전쟁에서 이기고, 원하는 대로 데이터를 훔치고, 기업 네트워크에 피해를 주고 있다. 정교한 도구와 기술을 사용하여, 사이버 범죄자들은 대부분의 보안 프로그램의 보안 통제권을 성공적으로 우회할 수 있는 표적 공격을 시작하고 있습니다. MITRE ATT&CK 매트릭스는 전술과 기술의 가장 포괄적인 프레임워크입니다. 그것은 사이버 보안에 대한 새로운 방식(공격적인 생각)을 나타낸다. 지속적으로 증가하는 툴 세트를 정기적으로 업데이트하는 기존 보안 프로그램은 정교한 보안 위협 요소를 막는데 효과적이지 않습니다. 적을 막으려면 적처럼 생각하는 법을 배워야 합니다. MITRE ATT&CK는 실제 관측에 기반한 적대적인 전술 및 기술에 대한 전 세계..

1) 디스크포렌식 분석 기초 - 모든 섹터들이 한 파티션에 모두 할당되지 않기 때문에 볼륨의 파티션 레이아웃을 분석하는 것이 필요 - 할당되지 않은 섹터들은 이전 파일시스템 데이터를 포함하거나 공격자가 숨기려고 하는 데이터를 포함할수도 있음 - 파일시스템 분석도구는 파티션 시스템에서 파티션 테이블 위치를 알아내고, 그 레이아웃을 식별해서 테이블 내용을 확인, 레이아웃 정보를 확인해서 파티션 오프셋을 알아내고, 파티션 정보를 출력 디지털포렌식2급 필기 스터디 1일차 메모 -------------1장 디지털포렌식 의의-------------- 디지털포렌식 5대원칙 -영어로도 나올 수 있음 적법성 재현성 신속성 연계보관성 무결성 (해시값) 디지털포렌식 수행과정 쓰기 방지 -> 사본 -> 원본은 봉인 조금이라도..

레지스트리 구성 HKEY CLASS ROOT 파일연관성과 COM정보 HKEY LOCAL MACHINE 시스템의 하드웨어/소프트웨어 정보 HKEY CURRENT USER 현재 시스템 로그인 된 사용자 정보 HKEY USERS 모든 사용자 정보 HKEY CURRENT CONFIG 시스템 시작 시 사용되는 하드웨어정보 실습 - REGA 도구 Windows Registry Analysis - REGA를 이용하여 EC3 Challenge 실습 1. 실습폴더에 아래 경로에 있는 Natasha\NTUSER.DAT 파일을 복사 -> REGA 분석 시 NTUSER.DAT 파일을 선택하여 불러올 때 해당 경로에 총 6개의 파일이 존재해야 한다. default, NTUSER.DAT, SAM, SECURITY, softwar..

케이스 생성 증거물 등록 Process 작업 키워드 검색 1) 디스크 전체 엔트리를 대상으로 검색할 키워드를 작성 - 키워드 검색을 수행할 엔트리 선택 - 검색할 키워드를 작성 - 검색옵션 - Search Options 설명 - 저자 키워드 검색 분석 옵션 시그니처(signature) 분석 Options 테이블 설명 해쉬 라이브러리(Hash Library) 분석 ----------------------------------------------------------------------------------------------------------------------------------- 최근 공식사이트 확인 결과, Encase 버전이 20.x 형식으로 변경되었다. 현재 20.3 버전 Release..

디지털포렌식 분석 도구 중 X ways 사의 WinHex 라는 프로그램이 있다. X ways 포렌식 도구 중 하나이며, 공식사이트를 들어가니 아래와 같이 여러 도구들이 있다. 조금 찾아보니 X way forensic 관련하여 2015년도에 발행된 도서도 있다. 지금 사기엔 아까운데 중고로 알아봐야겠다. Hex Editor와는 달리 여러 포렌식적인 기능들이 있으며, 유료버전이 존재해서 일정 크기 이상의 파일은 저장이 불가능하다. 구글 검색을 잘하면 full version을 찾을 수 있다고 한다. 필자는 못찾았다..

오늘도 어김없이 2012년 강의 내용에 대한 정리. 우선 에버노트에서 복붙한것이고.. 나중에 차근차근 정리가 필요하다.. Boot PROM PROM Open Boot PROM (OBP) -> Boot PROM의 표준 ok mode ok prompt FORTH 커널 초기화 단계에서 /etc/system 의 제어 가능 범위 부팅할 때 로드할 기본 커널 모듈의 검색 경로 루트 파일 시스템 유형과 장치 부팅할 대 자동으로 로드되지 않는 모듈 처음 접근할 때가 아니라 부팅 할 때 강제로 로드해야 하는 모듈 기본 커널 파라미터 값보다 우선 적용되는 새로운 값 - 커널을 메모리에 적재 시키고 커널을 초기화 함. init 단계에서는 run level에 따라서 서비스를 제어함. /etc/inittab 파일을 읽는 순서...

예전 강의 때 참고하였던 정보. doc 샘플 악성코드 분석 관련 프로그램 및 사이트이다. OfficeMalScanner.exe www.aldeid.com/wiki/OfficeMalScanner/OfficeMalScanner OfficeMalScanner/OfficeMalScanner - aldeid Description OfficeMalScanner is a MS Office forensic tool to scan for malicious traces, like shellcode heuristics, PE-files or embedded OLE streams. The tool will look for several strings and API calls to guess if the document is ..

1. td-agent 설치 curl -L https://toolbelt.treasuredata.com/sh/install-ubuntu-xenial-td-agent2.sh | sh 2. 데몬 실행 /etc/init.d/td-agent restart (재시작) /etc/init.d/td-agent status (상태 확인) 3. 시작시 자동 스크립트 실행 sudo update-rc.d td-agent defaults 95 10 sudo service td-agent status 4. 테스트 curl -X POST -d 'json={"json":"message"}' http://localhost:8888/debug.test /var/log/td-agent/td-agent.log 에 들어가보면 아까 전송한 메시..