Darkest

[침해사고분석] 웹 로그 분석하기 - 2

지난 포스팅에서는 웹로그를 바라보는 관점과 필터링 기술에 대해 간략하게 다루어 보았다.원래는 글 하나로 끝내려고 했지만, 뭔가 아쉬워서 하나를 더 작성해보려고 하는데 이번 포스팅에서는 웹 로그 형태 그 자체에 대해서 한번 다루어보려고 한다.웹 로그는 크게 CLF(Common Log Format)과 W3C Extended Log Format(IIS 전용) 그리고 json 형태 웹 로그가 있다. 가장 많이 사용되는 것은 당연히 CLF 형태이고, 그 다음이 W3C이다. json 형태는 한 번도 본적이 없다. 1. 웹 로그 포맷웹 로그에는 IP, Timestamp, Http method, URL, Response code, Response Byte, referrer, agent 등 다양한 데이터가 기록된다. 1..

[network] OSI 7 layer

오늘 아마도 OSI 7대 대한 질문을 받았다.(아마도) 예전에 내가 다른 친구들에게 설명까지 했던 내용인데 요 몇년사이에 까맣게 잊어버리다니.. 어휴 정말 이러고도 콤푸타쟁이라고 하고 다니냐 싶은 생각이 절로든다.질문은 이랬다. Q. 브라우저에서 www.naver.com 을 입력하고 브라우저가 네이버 웹 화면을 띄우기까지 과정을 설명해보세요A. DNS www.naver.com 이라는 주소를 resolve하고 해당 ip로 웹 요청을 날립니다. 4층-transport layer에서 3-way handshake가 발생하고, key 교환하고 뭐 어쩌고 저쩌고 했던것 같다. 다시 생각해보면 틀린거같은데.. 그래서 다시 정리하는 김에 OSI 7 Layer를 그냥 정리하기보다는 네이버, 카카오톡 같은 예시를 ..

[cloud] AWS 강의 VPC, Subnet, Routing Table, Gateway

간만에 AWS를 좀 만져보려고 켰는데, 이놈의 AWS 인터페이스는 항상 눈돌아갈것 같이 복잡하고 더럽다.IAM 계정 생성이나 EC2 인스턴스 생성 같은 기능들은 많이 포스팅을 하기 때문에 필자는 이런 부분들을 일단은 넘어가보도록 하겠다.대신 네트워크와 보안 설정 부분을 집고 넘어가보려고 한다. 1. VPC(Virtual Private Cloud)뭐 용어는 굉장이 거창한데, 별거없다 정말로. 클라우드 환경 내에 '가상 사설망' 인프라를 구성하는 기능이다. 좀 더 쉽게 설명해보자면 다음과 같다.여러분들 홈 네트워크에서 IP를 보면 어떤 대역을 사용하고 있는가? 보통 일반적인 경우에 172.16.0.0/12 또는 192.168.0.0/16 대역을 사용하고 있을 것이다. 자 좀더 스코프를 좁혀서 설명해보겠다.K..

보호되어 있는 글입니다.

침해사고를 분석하다 보면 사용자나 공격자 활동을 분석하기 위해 security.evtx 는 항상 분석하게 된다.그런데 문제는 security.evtx 에 너무 많은 정보들이 기록되다 보니 overwrite 이슈가 너무 자주 발생한다는 것이다. 이러한 overwrite 이슈을 방지하기 위해 어떤 방법을 취할수 있을지 알아보자. 1. eventvwr.msc 에서 직접 변경다음 순서를 따라해보자eventvwr.msc 를 실행 후 관심있는 이벤트에 오른쪽 클릭 - 속성 최대 로그 크기를 변경해주고, 로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션도 체크해주자.로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션은 백업 파일을 생성해주는 기능이다.최대 로그 크기는 레지스트리 값에 DWORD32 형 데..

윈도우환경은 RDP(Remote Desktop Protocol)을 사용한 원격접속 기능을 아주 네이티브하게 지원을 한다. 그래서 리눅스나 맥OS 같은 다른 운영체제보다 좀더 깔끔하다는 느낌을 받을 수 있다. 기본적으로는 비 활성화 되어있지만, 시스템 설정에서 활성화 함으로써 손쉽게 원격 데스크톱을 사용할 수 있다는 장점 또한 있다. 이번 글에서는 원격 데스크톱 하위 기능 중에 Network Level Authentication(NLA) 이라는 기능에 대해서 한번 얘기해보고자 한다. 1. RDP 활성화 윈도우(10 이상. 윈도우 7은 지원기간이 끝났고, 8이나 8.1은 사용할 별 다른 필요성을 못느끼기 때문에 제외)에서는 별 다른 어플리케이션 설치 없이 아주 네이티브하게 RDP를 사용할 수 있다. 바로 다..

감사, 포렌식 그리고 침해사고 분석에서 어떤 컴퓨터에 누가 로그온을 했는지 또 어떤 IP 가 접근했는지 파악하는 것이 굉장히 중요하다. 윈도우에서는 이러한 로그온 기록들을 security.evtx 에 기록하고 있다. 사실 security 이벤트에는 계정 생성이나 삭제 로그온 실패 로그오프 등 좀더 다양하고 많은 정보들이 기록된다. 또 원격지에서 로그인 한 IP는 Local Session Manager-Operational.evtx 에서 확인 가능하다. 이번 포스팅에서 우리는 컴퓨터 로그온 기록과 원격지 접속 기록을 분석하는 방법을 확인 해 볼 것이다. 이번 포스팅에서 우리가 분석할 이벤트는 이 두개다. 1. Security.evtx 분석 지난 포스팅에서 security 이벤트의 각 칼럼이 나타내는 내용들..

작년 말 화이트해커의 밤 행사에 참여했었는데, 그때 한참 윤석열 전 대통령의 계엄령 선포로 시끌시끌하고 뒤숭숭하던 시기였다.(아직도 그렇지만 말이다) 거기서 재밌는 이야기를 들었다. 대한민국에 아주 많은 관심을 가지고 있는 누군가가 이 이슈를 사용해 곧바로 악성파일을 유포하기 시작했다는 것이다. 유포 방법은 피싱 메일이다. 피싱메일에 악성파일 첨부하고 사용자의 실행을 유도하는 방식을 사용했다. 해당 포스팅에서는 이 악성파일을 한번 분석해보겠다. 1. 악성파일 살펴보기파일 이름 : [한글] 계엄사-합수본부 운영 참고자료[원본].hwp.cpl파일 해시 : 64A77EDC15AAD8BFC6829363926DD7F3020751C821A04015B43BF06AAE27A956해시 확인 결과 바이러스 토탈에는 아직 ..

예전에 리눅스 데스크탑 환경 관련 글을 포스팅한적이 있다. 해당 포스팅에서 GUI의 각 구성요소별 기능을 소개했다. 당연하지만 윈도우에서도 사용자 인증을 위한 절차가 존재한다. 간단하게 생각해보면, 가장 먼저 로그인 화면이 존재하고 비밀번호를 입력해 인증이 성공하면 explorer가 실제 GUI 사용자 환경을 로드한다. 이 과정에서 사용자 인증정보는 어떻게 처리되고 어디에 기록되는 걸까? 하는 당연한 의문이 생긴다. 그래서 한번 추적하고 정리해보았다. 1. 로컬 환경에서 사용자 인증 절차 위에서 설명한 절차들은 실제로 아래 이미지와 같은 절차를 거친다.먼저 로그인화면에서 인증 절차를 거친 후 사용자 계정으로 확인되면 권한이 부여된 토큰을 발행하고 사용자별 환경설정을 로드한다.그럼 이 때 사용자 인증정보는..

BITS는 Background Intelligent Transfer Service 의 줄임말로 윈도우 운영체제에서 백그라운드에서 파일을 다운로드할 수 있는 기능이다. 하지만 많은 해킹 케이스가 그렇듯 의도는 좋았으나, 나쁜 목적으로 써먹기가 참 좋은 도구가 되었다. 이번 포스팅에서는 이 BIT 기능이 어떤 역할을 하는지, 어떤 동작을하는지를 분석해 볼 계획이다. 1. BITS란..  2. Bitsadmin 기능 분석 터미널에서 bitsadmin을 입력하면 아주 길고 상세한 사용방법을 알려준다. 한 250줄 정도 되는데.. 중요한 기능만 정리해보겠다. /LIST [/ALLUSERS] [/VERBOSE] List the jobs/MONITOR [/ALLUSERS] [/REFRESH sec] Mo..