Darkest

[침해사고분석] 웹 로그 분석하기 - 2

지난 포스팅에서는 웹로그를 바라보는 관점과 필터링 기술에 대해 간략하게 다루어 보았다.원래는 글 하나로 끝내려고 했지만, 뭔가 아쉬워서 하나를 더 작성해보려고 하는데 이번 포스팅에서는 웹 로그 형태 그 자체에 대해서 한번 다루어보려고 한다.웹 로그는 크게 CLF(Common Log Format)과 W3C Extended Log Format(IIS 전용) 그리고 json 형태 웹 로그가 있다. 가장 많이 사용되는 것은 당연히 CLF 형태이고, 그 다음이 W3C이다. json 형태는 한 번도 본적이 없다. 1. 웹 로그 포맷웹 로그에는 IP, Timestamp, Http method, URL, Response code, Response Byte, referrer, agent 등 다양한 데이터가 기록된다. 1..

[network] OSI 7 layer

오늘 아마도 OSI 7대 대한 질문을 받았다.(아마도) 예전에 내가 다른 친구들에게 설명까지 했던 내용인데 요 몇년사이에 까맣게 잊어버리다니.. 어휴 정말 이러고도 콤푸타쟁이라고 하고 다니냐 싶은 생각이 절로든다.질문은 이랬다. Q. 브라우저에서 www.naver.com 을 입력하고 브라우저가 네이버 웹 화면을 띄우기까지 과정을 설명해보세요A. DNS www.naver.com 이라는 주소를 resolve하고 해당 ip로 웹 요청을 날립니다. 4층-transport layer에서 3-way handshake가 발생하고, key 교환하고 뭐 어쩌고 저쩌고 했던것 같다. 다시 생각해보면 틀린거같은데.. 그래서 다시 정리하는 김에 OSI 7 Layer를 그냥 정리하기보다는 네이버, 카카오톡 같은 예시를 ..

[cloud] AWS 강의 VPC, Subnet, Routing Table, Gateway

간만에 AWS를 좀 만져보려고 켰는데, 이놈의 AWS 인터페이스는 항상 눈돌아갈것 같이 복잡하고 더럽다.IAM 계정 생성이나 EC2 인스턴스 생성 같은 기능들은 많이 포스팅을 하기 때문에 필자는 이런 부분들을 일단은 넘어가보도록 하겠다.대신 네트워크와 보안 설정 부분을 집고 넘어가보려고 한다. 1. VPC(Virtual Private Cloud)뭐 용어는 굉장이 거창한데, 별거없다 정말로. 클라우드 환경 내에 '가상 사설망' 인프라를 구성하는 기능이다. 좀 더 쉽게 설명해보자면 다음과 같다.여러분들 홈 네트워크에서 IP를 보면 어떤 대역을 사용하고 있는가? 보통 일반적인 경우에 172.16.0.0/12 또는 192.168.0.0/16 대역을 사용하고 있을 것이다. 자 좀더 스코프를 좁혀서 설명해보겠다.K..

보호되어 있는 글입니다.

웹을 통한 침해사고 발생 시 웹 로그를 통해 공격자가 어떤 행위를 수행하였는 지 파악할 수 있다.다만 웹 로그 용량이 100GB를 넘어가면 눈알이 빠질듯한 경험을 할 수 있는데.. 이것도 어느정도 요령껏 가능한 부분이다.필자의 웹로그 분석 요령들을 공유해보고자 한다. 1. 웹 서비스 파악 우선 어떤 종류의 웹 서버를 사용하는지(Windows IIS, Apache, Tomcat)등 에 따라 분석 요령이 약간씩 달라진다. 가장 편한것은 아무래도 Linux 기반의 APM 이다.또한 VirtualHost 기능을 사용해서 하나의 웹 서버에서 다수의 웹 서비스를 제공하는 경우도 있기 때문에 침해가 발생한 웹 서비스를 정확하게 구분하는것도 중요하다. 2. 분석전략 우리에게는 수십만-수백만 줄의 로그가 주어진다. 자 ..

침해사고를 분석하다 보면 사용자나 공격자 활동을 분석하기 위해 security.evtx 는 항상 분석하게 된다.그런데 문제는 security.evtx 에 너무 많은 정보들이 기록되다 보니 overwrite 이슈가 너무 자주 발생한다는 것이다. 이러한 overwrite 이슈을 방지하기 위해 어떤 방법을 취할수 있을지 알아보자. 1. eventvwr.msc 에서 직접 변경다음 순서를 따라해보자eventvwr.msc 를 실행 후 관심있는 이벤트에 오른쪽 클릭 - 속성 최대 로그 크기를 변경해주고, 로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션도 체크해주자.로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션은 백업 파일을 생성해주는 기능이다.최대 로그 크기는 레지스트리 값에 DWORD32 형 데..

powershell 에 대한 기본적인 내용들을 다뤄보고자 한다. 1. powershell 변수powershell에서는 shell script와 같이 변수를 선언하거나 활용할 때 $를 사용한다.# psversion 정보를 psversion 변수에 저장$psversion = $PSVersionTable.psversion.tostring()powershell에는 상태 정보를 저장하는 자동 생성 변수들이 있다.  1-1. 환경 정보 관련 변수변수설명$PSVersionTable다양한 버전 정보 출력 $home현재 사용자 홈 디렉토리$pwd현재 작업 경로$profile현재 사용자의 powershell 프로파일 스크립트 경로$shellid현재 셸 ID 1-2. 입력 및 파이프라인 관련변수설명$_파이프라인에서 현재 처..

윈도우환경은 RDP(Remote Desktop Protocol)을 사용한 원격접속 기능을 아주 네이티브하게 지원을 한다. 그래서 리눅스나 맥OS 같은 다른 운영체제보다 좀더 깔끔하다는 느낌을 받을 수 있다. 기본적으로는 비 활성화 되어있지만, 시스템 설정에서 활성화 함으로써 손쉽게 원격 데스크톱을 사용할 수 있다는 장점 또한 있다. 이번 글에서는 원격 데스크톱 하위 기능 중에 Network Level Authentication(NLA) 이라는 기능에 대해서 한번 얘기해보고자 한다. 1. RDP 활성화 윈도우(10 이상. 윈도우 7은 지원기간이 끝났고, 8이나 8.1은 사용할 별 다른 필요성을 못느끼기 때문에 제외)에서는 별 다른 어플리케이션 설치 없이 아주 네이티브하게 RDP를 사용할 수 있다. 바로 다..

꽤나 장편 대하드라마가 될것같다. AD와 DC의 개념 그리고 실제 설치와 운용 또 취약점까지 한번 다뤄보고자 한다. 1. Active Directory 능동적인 디렉토리.. 이렇게 말로만 보아서는 잘 감이오지 않는다. AD를 이해하기 위해서는 개념을 잘 잡고 시작해야 한다. 이 AD라는 것은 join되어있는 모든 사용자의 계정과 권한정보를 기록하고 관리하는 기능을 의미한다. 즉 같은 도메인에 묶인 사용자들의 계정 정보를 관리하고, 일관적인 보안 정책을 동시에 적용하는 등 관리적인 측면에서 굉장한 편의를 제공해줄 수 있는 기능이다. 하지만 우리는 보안과 편리함은 trade off 관계임을 너무나도 잘 알고있다. 위의 한 문단만 읽어보아도 해킹적 사고가 피어오르지 않는가? 따라서 AD 보안은 내부망 보안의 ..

감사, 포렌식 그리고 침해사고 분석에서 어떤 컴퓨터에 누가 로그온을 했는지 또 어떤 IP 가 접근했는지 파악하는 것이 굉장히 중요하다. 윈도우에서는 이러한 로그온 기록들을 security.evtx 에 기록하고 있다. 사실 security 이벤트에는 계정 생성이나 삭제 로그온 실패 로그오프 등 좀더 다양하고 많은 정보들이 기록된다. 또 원격지에서 로그인 한 IP는 Local Session Manager-Operational.evtx 에서 확인 가능하다. 이번 포스팅에서 우리는 컴퓨터 로그온 기록과 원격지 접속 기록을 분석하는 방법을 확인 해 볼 것이다. 이번 포스팅에서 우리가 분석할 이벤트는 이 두개다. 1. Security.evtx 분석 지난 포스팅에서 security 이벤트의 각 칼럼이 나타내는 내용들..