Darkest

nmap 옵션은 항상 잘 기억이 안난다. 그래서 내가 볼려고 정리를 해본다.nmap이 뭔지 모른다면, 네트워크 공부를 좀 더 하고 다시 이 글을 보면 좋겠다. 1. Nmap 사용하기https://nmap.org/book/man.html 여기 페이지에 굉장히 상세하게 정리되어 있다. 또는 다음 도움말을 참고해보자.Nmap 7.97 ( https://nmap.org )Usage: nmap [Scan Type(s)] [Options] {target specification}TARGET SPECIFICATION: Can pass hostnames, IP addresses, networks, etc. Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-25..

인터넷 여기저기를 돌아다니다가 재밌는 패턴을 하나 발견했다.바로바로바로 Cloudflare로 위장한.. 피싱 페이지인데블로그 방문자들에게도 알릴 겸 분석 글을 작성해보았다. 1. Webpage Deception / Impersonation피싱 페이지랄까.. 다음 링크를 클릭하면(조심하자.. 실제 악성코드 배포지다)https://vfy2.help/?t=0ea7adf3c0856de5a9ca9ed413cb69d072cc707241cdb1fc72899e2a5c1662a23aa7db80b606d7a9a8567ff590ef8c912892a4b79c7542fe6ae0e9fd2c255838다음과 같이 cloudflare 캡챠 페이지가 나온다.체크를 클릭하면 다음 그림처럼실행 > 붙여넣기 > 엔터 순으로 유도를 한다.다..

공격자의 TTP를 파악하기 위해서는 실제 다양한 사고를 분석해보는 것이 제일이다. 하지만, 우리 모두가 사고분석을 할 수는 없을 뿐더러 관심이 없을수도 있다.그렇다면 다음 훌륭한 대안이 존재한다. 바로 정보 보안 업체에서 발간한 보고서를 열심히 읽는 것이다. 공격자의 TTP를 분석할 수 있을 뿐만 아니라 정보 보안 분야 동향이나 최신 트렌드를 파악할수도 있다. 외국 업체에서도 훌륭한 보고서를 쏟아내고 있지만, 국내에서 블로그나 보고서를 작성 중인 업체들을 정리해보려고 한다. 1. 한국 인터넷 진흥원(KISA)한국에서 정보 보안 분야에서 일한다면 어떻게든 KISA, 국정원 등과 연결되어 있다. 그만큼 수집, 분석하는 데이터가 많기 때문에 KISA 보고서에는 좋은 자료들이 많다.https://www.kisa..

오랜만에 보이스피싱 전화가 왔다 그래서 정보를공유한다. 1. 스토리텔링법원인가 검찰에서 등기를 보냈는데 전달을 못해서 전화를 했다고 한다. 등기인데 왜 공기관에서..? 여기서부터 냄새가 났다. 그러더니 오후 한시에 받을 수 있냔다. 받을수있겠냐..그러면 온라인으로 확인할수 있는 방법을 안내한대서 옳거니 하고 알려달라했다.그러자 한글도메인 http://온라인등기소.kr 페이지로 들어가랜다. 접속하니 나랑 전화할때는 첫 작업이라 웹 서버를 안켰나보다. ㅎㅎ 웹서버가 동작하지 않는다. 그러더니 전화를 끊는다. 2. 전화번호010-7659-4607 3. 웹페이지http://43.203.210.165/19kics19/tps30Case http://온라인등기소.kr 대검찰청 xn--ok0b21k16bqwqqxfw5..

윈도우 운영체제는 여러가지 관리 도구들이 있는데 이게 여기저기 산재해있기도 하고.. 제대로된 메뉴얼이 제공되는것도 아니라서 매번 헷갈린다. 그래서 한 번 정리해보고싶었다. 1. Microsoft Management Console(MMC)윈도우에는 MMC라 불리는 기능이 있다. MMC.exe를 실행하면 된다. 다음 사진을 보자여러가지 관리 도구들을 편리하게 사용할 수 있는 일종의 프레임워크다. 저런 관리도구들은 별개로 사용할수도 있고, MMC에 로드해서 한번에 관리할수도 있다.잘 보면 우리가 흔히 많이 자주 사용하는 *.msc 파일들인 것을 볼 수 있다. 2. *.MSChttps://answers.microsoft.com/ko-kr/windows/forum/all/msc-%EC%9D%98-%EC%95%BD..

공격자는 권한상승 또는 지속성 유지를 위해 가용한 모든 방법을 총 동원한다. 그 중 하나가 이러한 자동실행 기능들이다. 이번 포스팅에서는 어떤 기능들이 있는지 한번 살펴볼것이다. 1. 부팅 시 자동 시작거의 모든 컴퓨터에는 부팅 시 자동 시작 기능이 존재한다. 바로 '서비스' 라는 것인데 이는 윈도우 뿐만 아니라 리눅스, 맥에서도 지원한다. (아마 unix계열 직계후손인 BSD에도 똑같은 기능이 있지않을까?)또 윈도우 운영체제에서는 서비스 이외에도 registry key, startup 폴더 등 다양한 방법으로 트리거할 수 있는 기능을 지원한다.리눅스도 service외에도 init.d 또는 systemd 같은 기능이 존재한다.이러한 기능은 사용자가 시스템을 좀더 간편하게 사용할수 있도록 도와준다거나, 또..

종종 악성파일을 다운로드 받고싶을 때가 있다(연구 목적으로)이럴 때 바이러스 토탈을 회사에서 구독 중이라면 최고겠지만.. 비싸다(약 2억정도)그래서 바토를 구독하는 회사에 다니는 지인에게 요청하거나 아니면 무료로 쉐어해주는 곳을 찾게된다.무료 악성코드 쉐어 사이트를 정리해본다.(내가 참고하려고 작성했어요)단 이 사이트들에서 다운로드 받은 악성파일을 다룰 때는 굉장히 조심해야 하며, 또 아마 이 글을 보는 독자여러분들이 악성파일을 다운로드 받아서 뭔가 나쁜짓을 할 수 있는 능력은 거의 없을거라는 생각이 들기때문에.. 혹시라도 나쁜데 사용하려고 하지는 말았으면 좋겠다. 1. Malware Bazzarhttps://bazaar.abuse.ch/ MalwareBazaar | Malware sample excha..

악성 코드나, 침해 사고를 분석하다 보면 IP을 할 일이 잦다.공격자의 IP가 될 수도 있고, 공격자가 C&C 서버나 정보유출지로 사용하는 서버 IP일 수도 있다.경찰이야 ISP 또는 KISA 등과 연계하면 좀더 방대한 데이터를 확보할 수 있겠지만, 그렇지 않을 경우 우리에게 주어진 정보들과 OSINT를 최대한 활용해서 분석 해 봐야 한다.이번 포스팅에서는 IP 분석에 도움이 되는 OSINT 웹 사이트들을 소개해보려고 한다. 1. 기본 IP 정보 분석 사이트https://whois.kr/ KISA 후이즈검색 whois.kisa.or.kr한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.xn--c79as89aj0e29b77z.xn--3e0b707e한글 도메인도 지원하지만 영어가 편하다. 한국 ..

오늘 아마도 OSI 7대 대한 질문을 받았다.(아마도) 예전에 내가 다른 친구들에게 설명까지 했던 내용인데 요 몇년사이에 까맣게 잊어버리다니.. 어휴 정말 이러고도 콤푸타쟁이라고 하고 다니냐 싶은 생각이 절로든다.질문은 이랬다. Q. 브라우저에서 www.naver.com 을 입력하고 브라우저가 네이버 웹 화면을 띄우기까지 과정을 설명해보세요A. DNS www.naver.com 이라는 주소를 resolve하고 해당 ip로 웹 요청을 날립니다. 4층-transport layer에서 3-way handshake가 발생하고, key 교환하고 뭐 어쩌고 저쩌고 했던것 같다. 다시 생각해보면 틀린거같은데.. 그래서 다시 정리하는 김에 OSI 7 Layer를 그냥 정리하기보다는 네이버, 카카오톡 같은 예시를 ..

간만에 AWS를 좀 만져보려고 켰는데, 이놈의 AWS 인터페이스는 항상 눈돌아갈것 같이 복잡하고 더럽다.IAM 계정 생성이나 EC2 인스턴스 생성 같은 기능들은 많이 포스팅을 하기 때문에 필자는 이런 부분들을 일단은 넘어가보도록 하겠다.대신 네트워크와 보안 설정 부분을 집고 넘어가보려고 한다. 1. VPC(Virtual Private Cloud)뭐 용어는 굉장이 거창한데, 별거없다 정말로. 클라우드 환경 내에 '가상 사설망' 인프라를 구성하는 기능이다. 좀 더 쉽게 설명해보자면 다음과 같다.여러분들 홈 네트워크에서 IP를 보면 어떤 대역을 사용하고 있는가? 보통 일반적인 경우에 172.16.0.0/12 또는 192.168.0.0/16 대역을 사용하고 있을 것이다. 자 좀더 스코프를 좁혀서 설명해보겠다.K..