kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

반응형

공부 22

[Docker] GUI 모드로 Image 설치 및 Docker Container 실행-Kitematic

GUI 모드로 도커이미지 설치 및 도커 컨테이너 실행하기 처음 사용하기 때문에 도커를 콘솔모드로 실행하고 조작하기가 불편 하실꺼예요. 도커를 설치하면 툴박스는 "Kitematic (Alpha)" 아이콘이 바탕화면에 생성되었을 것이고 Docker for Windows를 설치한 분은 작업표시줄의 고래아이콘을 클릭하여 팝업 메뉴에서 Kitematic를 클릭하여 Kitematic를 실행해주세요. kitematic 다운로드 및 설치(압축해제) 폴더 생성 필요 압축 해제 후 실행 Docker for Windows에서 Kitematic 선택하기 Kitematic는 미리 만들어놓은 도커용 이미지 마켓 정도로 생각하면 됨 이미지를 만들어 배포도 가능합니다. 도커 컨테이너 실행 화면으로 넘어갔을 경우 이 화면으로 넘어올려..

Docker 2020.01.19

디지털포렌식 with CTF - [NETWORK] chapter01_1

나는 힉스 입자가 발견되지 않을 것이라고 미시건 대학의 Gordon Kane과 내기를 했다. file 확장자가 부재하여 file 명령어로 file type 확인 - xz 압축 파일임을 확인 file type을 계속확인하여 xz -> tar -> pcap 파일을 얻을 수 있었다. 이제 wireshark로 패킷을 분석해보자. TCP 통신이 이뤄졌던 것을 확인 Follow Stream을 통해 데이터를 확인 tcp stream eq 0 을 보면, file명과 hash값을 알 수 있다. 리눅스의 string 명령어를 사용하여 pcap 파일의 string을 검색하고, SHA-1 값만 grep해 보자. 6개의 Hash 값이 확인되었으나, Hash 값만 통해 어떤 파일인지 식별이 불가능하여, Hybrid Analysi..

DFIR/Challenge 2020.01.19

디지털포렌식 with CTF - [NETWORK] chapter01_3

[NETWORK] chapter01 - 하늘은 왜 푸른색입니까? binwalk (특정 파일에서 어떤 파일이 포함되어 있는지 분석 및 추출하는 툴)을 통해 blue.pcap 파일 내에 png 파일이 포함되어 있는 것을 확인 wireshark로 blue.pcap파일을 열고 ctrl + F로 'png' String을 검색한다. 검색 시 맨 좌측에 Packet bytes로 변경 후 검색한다. 검색하면 특정 패킷에 특정됨을 확인할 수 있다. 패킷의 헤더를 보면 [02 0c 20] 으로 시작함을 알 수 있다. ctrl+F를 통해 추가적으로 Hex값을 검색해보면 해당 헤더 [02 0c 20]을 가진 6개의 패킷을 확인할 수 있다. 283, 288, 293, 298, 303, 308, 313 패킷에 대해 wiresha..

DFIR/Challenge 2020.01.19

디지털포렌식 with CTF - [NETWORK] chapter01_5

[NETWORK] chapter01 - 살인을 확인할 수 있습니까? 부검 파일에 서명해주세요. -> 손상된 pcap 파일 kill.pcapng 파일이 정상적으로 열리지 않는 것을 확인 pcap file을 우분투 docker로 복사하여 아래 명령 설치 및 실행 (pcapfix) # apt-get install pcapfix 복구가 완료되면 파일명에 'fixed_'문자열이 붙은 파일이 생성된다. docker를 빠져나온 뒤 복구한 pcap파일을 호스트로 복사 statistics - Conversations을 통해 두 host간 연결 정보 및 내용을 확인 TCP Stream으로 패킷 상세 내용 확인 -> jpg, mp4 파일을 전송한 내용 확인 jpg 파일의 시그니처 [FF D8 FF E0 xx xx 4A 46..

DFIR/Challenge 2020.01.18

디지털포렌식 with CTF - [DISK Forensic] 01

X 회사의 재정 정보를 훔치기 위해서 IU는 비밀리에 직장을 구했다. 그녀는 CFO의 컴퓨터를 공격하기로 결정한 후 사회 공학적 방법으로 악의적인 악성코드를 자신의 컴퓨터로 삽입하기로 결정했다. 그녀는 CFO가 퇴근할 때 컴퓨터를 끄지 않는다는 것을 알아냈다. CFO가 사무실에서 나간 후, 그녀는 CFO의 컴퓨터에서 재무자료를 얻고 EXCEL 파일을 검색한다. 그녀는 설치된 응용 프로그램을 확인해서 파일에서 정보를 찾을 수 있었다. 모든 추적을 제거하기 위해 그녀는 악성코드, 이벤트 로그 및 최근 파일 목록을 지웠다. X 회사는 적절한 조치를 취하기 위해 그녀가 어떤 정보를 훔쳤는지 밝혀야 한다. 이 파일들은 CFO의 컴퓨터에서 공격받은 파일들이다. 그녀가 훔친 파일의 전체 경로와 파일의 크기를 찾아라...

DFIR/Challenge 2020.01.18

디지털포렌식 with CTF - [DISK Forensic] 02

서울에 사는 IU가 특정 웹 사이트에서 SQL Injection 공격을 시도하자 갑자기 브라우저가 비정상적으로 종료됐다. 그녀가 입력하려고 했던 SQL Injection 값은 무엇이고 브라우저가 닫힌 시점은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : Injection_value|time(‘|’ 는 문자일 뿐이다.) 파일 확인(7z) 압축해제 후 user 폴더 확인 지문에서 범인이 SQL INJECTION 공격을 시도하다가 브라우저가 종료되었다고 한다. user 폴더에서 사용자 폴더 내 각 브라우저 데이터가 저장되는 폴더를 확인 브라우저 데이터 저장 경로 IE(Internet Explorer) C:\users\사용자\AppData\Roaming\Mic..

DFIR/Challenge 2020.01.17

디지털포렌식 with CTF - [DISK Forensic] 03

[DISK Forensic] IU는 악성코드에 의해 감염된 시스템을 조사하고 있다. 타임라인을 분석한 결과 2012년 2월 9일 이후 오염된 것으로 보인다. 오염된 경로는 웹 페이지 방문으로 판단된다. 아이유는 여러 사용자들의 인터넷 추적을 분석하고 있지만, 악성 URL을 찾지 못했다. 시스템이 감염됐을때 흔적이 지워졌을수도 있다. 정확한 악성 URL과 오염된 시간을 찾아라. 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : malicious_URL|YYYY-MM-DDThh:mm:ss(‘|’ 는 문자일 뿐이다.) 파일 type 확인 및 압축 해제 압축 해제 후 아래 경로에 cookie라는 이름의 파일이 존재하는 것을 확인 -> 파일 시그니처 확인 디지털포렌식 with..

DFIR/Challenge 2020.01.17

디지털포렌식 with CTF - [DISK Forensic] 04

[DISK Forensic] 서울에 위치한 X 에너지 기업이 APT 공격을 받았다. 공격자 A는 6개월 동안 정교한 공격으로 중요한 정보를 훔쳤다. 공격자 A는 공격하는 동안 악성파일, 프리패치, 레지스트리 및 이벤트 로그와 같은 모든 흔적을 제거하기 위해 많은 노력을 기울이므로 X 에너지 기업에서 공격 경로를 찾기가 어려웠다. 하지만 포렌식 전문가인 IU는 MFT를 분석해서 공격자 A의 흔적을 찾을 수 있었다. 악성파일이 생성된 시간은 언제인가? 시간은 한국 표준시 (UTC + 09 : 00) 기준으로 한다. KEY Format : YYYY-MM-DDThh:mm:ss.s(소수 점 이하 일곱 자리까지 계산하시오.) 사용도구 : HxD, 7zip, AnalyzeMFT master(cli-tool) 파일 확..

DFIR/Challenge 2020.01.16

git pull 명령어 정리(작성중)

안녕하세요. 오늘은 git pull 명령어 관련하여 정리해 보도록 하겠습니다. 소스서버가 있다고 가정을 하고, branch 및 remote url 등 세팅이 되었는 상태에서 git pull 명령어로 소스를 받아오게 되는데요, git pull 이 제대로 안될 경우 강제로 하는 법과 에러 대처 방법에 대해서 정리해 보았습니다. 추후 사진파일도 첨부할 예정입니다. 1. git pull 강제로 하기 # git fetch --all # git reset --hard origin/master # git pull origin master # git reset --hard origin/product # git pull origin product 2. git pull error 시 대처 방법 - 로컬 파일을 삭제 -> ..

Programming 2020.01.09

Astaro 보안장비

안녕하세요. 오늘은 Astaro 보안장비에 대해 알아보도록 하겠습니다. Astaro 네트워크보안장비 업체 국내.: 퓨처시스템, 원스테크넷, 안랩, 인포섹, 어울림정보통신, 넥스지, 시큐리원, 이글루시큐리티 등 국내외10대 : 포티넷, 소닉월, 주니퍼, 체크포인트, 위치가드 시스코, 소포스 아스타로, 시큐아이닷컴, 사이버롬, 바라쿠다 Astaro : www.astaro.com -> sophos.com(영국) 최신은 Sophos Astaro V9RK. : IPS, Fw, VPN, , email virus, spam....등 기능 Astaro Security Gateway => ASG V8 secureworks : OS- solaris // secureworks를 설치 Astaro는 바로 iso 설치가능(Li..

Cyber Security 2019.02.08
반응형