Darkest

꽤나 장편 대하드라마가 될것같다. AD와 DC의 개념 그리고 실제 설치와 운용 또 취약점까지 한번 다뤄보고자 한다. 1. Active Directory 능동적인 디렉토리.. 이렇게 말로만 보아서는 잘 감이오지 않는다. AD를 이해하기 위해서는 개념을 잘 잡고 시작해야 한다. 이 AD라는 것은 join되어있는 모든 사용자의 계정과 권한정보를 기록하고 관리하는 기능을 의미한다. 즉 같은 도메인에 묶인 사용자들의 계정 정보를 관리하고, 일관적인 보안 정책을 동시에 적용하는 등 관리적인 측면에서 굉장한 편의를 제공해줄 수 있는 기능이다. 하지만 우리는 보안과 편리함은 trade off 관계임을 너무나도 잘 알고있다. 위의 한 문단만 읽어보아도 해킹적 사고가 피어오르지 않는가? 따라서 AD 보안은 내부망 보안의 ..

감사, 포렌식 그리고 침해사고 분석에서 어떤 컴퓨터에 누가 로그온을 했는지 또 어떤 IP 가 접근했는지 파악하는 것이 굉장히 중요하다. 윈도우에서는 이러한 로그온 기록들을 security.evtx 에 기록하고 있다. 사실 security 이벤트에는 계정 생성이나 삭제 로그온 실패 로그오프 등 좀더 다양하고 많은 정보들이 기록된다. 또 원격지에서 로그인 한 IP는 Local Session Manager-Operational.evtx 에서 확인 가능하다. 이번 포스팅에서 우리는 컴퓨터 로그온 기록과 원격지 접속 기록을 분석하는 방법을 확인 해 볼 것이다. 이번 포스팅에서 우리가 분석할 이벤트는 이 두개다. 1. Security.evtx 분석 지난 포스팅에서 security 이벤트의 각 칼럼이 나타내는 내용들..

작년 말 화이트해커의 밤 행사에 참여했었는데, 그때 한참 윤석열 전 대통령의 계엄령 선포로 시끌시끌하고 뒤숭숭하던 시기였다.(아직도 그렇지만 말이다) 거기서 재밌는 이야기를 들었다. 대한민국에 아주 많은 관심을 가지고 있는 누군가가 이 이슈를 사용해 곧바로 악성파일을 유포하기 시작했다는 것이다. 유포 방법은 피싱 메일이다. 피싱메일에 악성파일 첨부하고 사용자의 실행을 유도하는 방식을 사용했다. 해당 포스팅에서는 이 악성파일을 한번 분석해보겠다. 1. 악성파일 살펴보기파일 이름 : [한글] 계엄사-합수본부 운영 참고자료[원본].hwp.cpl파일 해시 : 64A77EDC15AAD8BFC6829363926DD7F3020751C821A04015B43BF06AAE27A956해시 확인 결과 바이러스 토탈에는 아직 ..

예전에 리눅스 데스크탑 환경 관련 글을 포스팅한적이 있다. 해당 포스팅에서 GUI의 각 구성요소별 기능을 소개했다. 당연하지만 윈도우에서도 사용자 인증을 위한 절차가 존재한다. 간단하게 생각해보면, 가장 먼저 로그인 화면이 존재하고 비밀번호를 입력해 인증이 성공하면 explorer가 실제 GUI 사용자 환경을 로드한다. 이 과정에서 사용자 인증정보는 어떻게 처리되고 어디에 기록되는 걸까? 하는 당연한 의문이 생긴다. 그래서 한번 추적하고 정리해보았다. 1. 로컬 환경에서 사용자 인증 절차 위에서 설명한 절차들은 실제로 아래 이미지와 같은 절차를 거친다.먼저 로그인화면에서 인증 절차를 거친 후 사용자 계정으로 확인되면 권한이 부여된 토큰을 발행하고 사용자별 환경설정을 로드한다.그럼 이 때 사용자 인증정보는..

BITS는 Background Intelligent Transfer Service 의 줄임말로 윈도우 운영체제에서 백그라운드에서 파일을 다운로드할 수 있는 기능이다. 하지만 많은 해킹 케이스가 그렇듯 의도는 좋았으나, 나쁜 목적으로 써먹기가 참 좋은 도구가 되었다. 이번 포스팅에서는 이 BIT 기능이 어떤 역할을 하는지, 어떤 동작을하는지를 분석해 볼 계획이다. 1. BITS란..  2. Bitsadmin 기능 분석 터미널에서 bitsadmin을 입력하면 아주 길고 상세한 사용방법을 알려준다. 한 250줄 정도 되는데.. 중요한 기능만 정리해보겠다. /LIST [/ALLUSERS] [/VERBOSE] List the jobs/MONITOR [/ALLUSERS] [/REFRESH sec] Mo..

윈도우시스템은 시스템의 활동이나 사용자의 행위로 인해 발생하는 다양한 이벤트드를 기록하고 있다. 이것을 바로 윈도우 이벤트라고 하는데, 기본적으로 제공하는 윈도우 이벤트 뷰어로 확인이 가능 하다.필자가 매우 사랑하는 win+r 실행을 켠 다음 eventvwr.msc 를 실행해주자기본 이벤트 뷰어다. 기본 이벤트뷰어의 인터페이스는 다소 불편하지만 몇 가지 장점이 있다.이벤트 덤프가 가능하다비활성화 되어있는 이벤트 활성화가 가능하다이벤트 기록에 대한(파일 크기, overwrite) 설정 변경이 가능하다.이런 부분들은 다음에 다루기로 하고, 오늘은 이 이벤트를 어떻게 활용하는지 한번 보겠다. 참고로 필자가 좋아하는 이벤트 분석 프로그램은 MS 에서 개발한 message analyzer다. 지원이 끝났기 때문에..

이 글을 읽는 여러분들은 '권한' 이라는 용어를 들어보았을까? 어떤 일을 하기에는 나는 그런 권한이없어! 라던가, 그런 권한이 있는 사람에게 요청해! 라던가 말이다. 컴퓨터에서도 이런 권한에 따라 사용자를 관리한다. 예시를 통해 살펴보자 1. 계정과 권한 현대 사회에서 '공용재산' 이라는 의미가 점점 희미해지는것 같다. 이것 내것 저건 니것 하고 나누어 범위를 정하고 그 이상은 넘어가거나 또 넘어오는것을 반기지 않는다. 계정이라는 것은 그런 의미다. 나의 어떤 권한, 그리고 이 권한이 미치는 것들은 내가 접근하고 또 마음대로 사용할 수 있습니다! 하고 정해놓은 어떤 범위라는 의미다. 사실 대부분 개인 사용자는 윈도우즈 시스템을 사용하고 또 일반 사용자는 굳이 PC에 다수 계정을 생성해 따로 사용하지 않으..

WMIC 글을 작성하고 보니 다른 여러가지 케이스들도 정리해보면 어떨까 하는 생각이들었다. 윈도우 시스템에서 악용될 수 있는 RCE 수단은 정말 다양하다. 그 중에 최근 북한 APT 그룹이 많이 사용하는 lnk 악성파일 원리를 한번 분석해보려고 한다. 1. lnk 파일 악성코드 분석 윈도우에서는 lnk 기능을 지원한다. 쉽게 생각하면 '바로가기' 기능이다. MS Office의 dd나 매크로 취약점이 패치되고 나서 공격자들이 이쪽으로 눈을 돌리기 시작했다. 그럼 lnk 파일 악성코드가 어떻게 동작하는지 한번 살펴보자 hxd로 링크파일을 오픈하니 원본 파일이 나와서 이렇게 xxd를 사용해 데이터를 확인해보았다. 여기는 ShellLinkHeader로 시각 정보를 포함하고 있기 때문에 포렌식적으로도 중요한 의미..

[windows] WMIC 사용하기[windows] 윈도우 해킹(1), WMIC 1. LotL 이란.. LotL 공격은 시스템에 미리 설치되어있는 도구를 공격에 활용하는 기법을 의미한다. 파워쉘을 통해 시스템 정보를 탈취하거나 또는 fileless 형태로 프로세스나 스레드를 인젝션 하거나, 리버스 쉘을 연결하는 등 다양한 공격이 수행될 수 있다.  사고 분석을 하다보면 WMIC, PSEXEC, Powershell 등이 악용되는 경우가 굉장히 많다. 공격자들이 별다른 노력을 들이지 않고도 사용할 수 있기 때문이다.  2. 공격에 활용될 수 있는 기능들a. wmic process call create  위 기능으로 파워쉘 명령을 실행할 수 있다. 다음 명령을 한번 실행 해 보았다.wmic process ca..

[windows] WMIC 사용하기WMIC을 활용한 LotL(Living off the Land) 공격  WMIC란 Windows Managemant Instrumentation Command-line 의 줄임말이다. 한글로는 명령줄 윈도우 관리 도구 정도 되겠다. MSDN에 의하면 현재 2024-11-29 기준 더이상 업데이는 되지 않는것 같지만 여전히 사용할 수 있다. WMIC를 사용하면 로컬 시스템의 주요 정보들을 확인하거나 LOTL공격 행위를 수행할 수도 있다. 사용법은 다음과 같다. 1. WMIC 기초 WMIC를 사용해 시스템 정보들을 다양한 형태의 출력으로 볼 수 있다. 예를 들면 다음과 같다.WMIC를 사용해 현재 시스템에 있는 볼륨에 대한 brief 한 정보를 list 형태로 출력시켰다. ..