Darkest

악성 코드나, 침해 사고를 분석하다 보면 IP을 할 일이 잦다.공격자의 IP가 될 수도 있고, 공격자가 C&C 서버나 정보유출지로 사용하는 서버 IP일 수도 있다.경찰이야 ISP 또는 KISA 등과 연계하면 좀더 방대한 데이터를 확보할 수 있겠지만, 그렇지 않을 경우 우리에게 주어진 정보들과 OSINT를 최대한 활용해서 분석 해 봐야 한다.이번 포스팅에서는 IP 분석에 도움이 되는 OSINT 웹 사이트들을 소개해보려고 한다. 1. 기본 IP 정보 분석 사이트https://whois.kr/ KISA 후이즈검색 whois.kisa.or.kr한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.xn--c79as89aj0e29b77z.xn--3e0b707e한글 도메인도 지원하지만 영어가 편하다. 한국 ..

지난 포스팅에서는 웹로그를 바라보는 관점과 필터링 기술에 대해 간략하게 다루어 보았다.원래는 글 하나로 끝내려고 했지만, 뭔가 아쉬워서 하나를 더 작성해보려고 하는데 이번 포스팅에서는 웹 로그 형태 그 자체에 대해서 한번 다루어보려고 한다.웹 로그는 크게 CLF(Common Log Format)과 W3C Extended Log Format(IIS 전용) 그리고 json 형태 웹 로그가 있다. 가장 많이 사용되는 것은 당연히 CLF 형태이고, 그 다음이 W3C이다. json 형태는 한 번도 본적이 없다. 1. 웹 로그 포맷웹 로그에는 IP, Timestamp, Http method, URL, Response code, Response Byte, referrer, agent 등 다양한 데이터가 기록된다. 1..

오늘 아마도 OSI 7대 대한 질문을 받았다.(아마도) 예전에 내가 다른 친구들에게 설명까지 했던 내용인데 요 몇년사이에 까맣게 잊어버리다니.. 어휴 정말 이러고도 콤푸타쟁이라고 하고 다니냐 싶은 생각이 절로든다.질문은 이랬다. Q. 브라우저에서 www.naver.com 을 입력하고 브라우저가 네이버 웹 화면을 띄우기까지 과정을 설명해보세요A. DNS www.naver.com 이라는 주소를 resolve하고 해당 ip로 웹 요청을 날립니다. 4층-transport layer에서 3-way handshake가 발생하고, key 교환하고 뭐 어쩌고 저쩌고 했던것 같다. 다시 생각해보면 틀린거같은데.. 그래서 다시 정리하는 김에 OSI 7 Layer를 그냥 정리하기보다는 네이버, 카카오톡 같은 예시를 ..

간만에 AWS를 좀 만져보려고 켰는데, 이놈의 AWS 인터페이스는 항상 눈돌아갈것 같이 복잡하고 더럽다.IAM 계정 생성이나 EC2 인스턴스 생성 같은 기능들은 많이 포스팅을 하기 때문에 필자는 이런 부분들을 일단은 넘어가보도록 하겠다.대신 네트워크와 보안 설정 부분을 집고 넘어가보려고 한다. 1. VPC(Virtual Private Cloud)뭐 용어는 굉장이 거창한데, 별거없다 정말로. 클라우드 환경 내에 '가상 사설망' 인프라를 구성하는 기능이다. 좀 더 쉽게 설명해보자면 다음과 같다.여러분들 홈 네트워크에서 IP를 보면 어떤 대역을 사용하고 있는가? 보통 일반적인 경우에 172.16.0.0/12 또는 192.168.0.0/16 대역을 사용하고 있을 것이다. 자 좀더 스코프를 좁혀서 설명해보겠다.K..

보호되어 있는 글입니다.

웹을 통한 침해사고 발생 시 웹 로그를 통해 공격자가 어떤 행위를 수행하였는 지 파악할 수 있다.다만 웹 로그 용량이 100GB를 넘어가면 눈알이 빠질듯한 경험을 할 수 있는데.. 이것도 어느정도 요령껏 가능한 부분이다.필자의 웹로그 분석 요령들을 공유해보고자 한다. 1. 웹 서비스 파악 우선 어떤 종류의 웹 서버를 사용하는지(Windows IIS, Apache, Tomcat)등 에 따라 분석 요령이 약간씩 달라진다. 가장 편한것은 아무래도 Linux 기반의 APM 이다.또한 VirtualHost 기능을 사용해서 하나의 웹 서버에서 다수의 웹 서비스를 제공하는 경우도 있기 때문에 침해가 발생한 웹 서비스를 정확하게 구분하는것도 중요하다. 2. 분석전략 우리에게는 수십만-수백만 줄의 로그가 주어진다. 자 ..

침해사고를 분석하다 보면 사용자나 공격자 활동을 분석하기 위해 security.evtx 는 항상 분석하게 된다.그런데 문제는 security.evtx 에 너무 많은 정보들이 기록되다 보니 overwrite 이슈가 너무 자주 발생한다는 것이다. 이러한 overwrite 이슈을 방지하기 위해 어떤 방법을 취할수 있을지 알아보자. 1. eventvwr.msc 에서 직접 변경다음 순서를 따라해보자eventvwr.msc 를 실행 후 관심있는 이벤트에 오른쪽 클릭 - 속성 최대 로그 크기를 변경해주고, 로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션도 체크해주자.로그가 꽉 차면 로그 보관, 이벤트를 덮어쓰지 않음 옵션은 백업 파일을 생성해주는 기능이다.최대 로그 크기는 레지스트리 값에 DWORD32 형 데..

최근 트럼프가 미 대통령으로 당선된 후 파격적인 관세 정책으로 전 세계가 시끌시끌하다. 연일 세계 주가가 곤두박질 치고 있는데.. 과연 이 주식이란 무엇일까?우선 주식에 대해 알아보자. 그리고 파생상품과 포지션, 그리고 코인 거래에 대해서도 한번 생각해보자. 1. 필자의 주식 경험 필자는 주식에는 가히 똥손이라 부를만하다. 때는 2020-2021년 쯤 필자의 첫 직장에서 친하게 지내던 선배 하나가 너도 주식을 해보라고 권하는 것이다. 사실 그때 쯤 한창 코로나 시즌이라 경기 부양을 위해 시장에 돈이 풀리던 시기였다. 시장에 돈이 풀리면? 잉여 자본이 발생하고 이는 그대로 가치 투자로 이어진다. 필자가 기억하는 당시 상황은 다음과 같았다. 코로나 팬데믹 -> 경기 불안정 -> 민생 악화 -> 경기 부양을 ..

powershell 에 대한 기본적인 내용들을 다뤄보고자 한다. 1. powershell 변수powershell에서는 shell script와 같이 변수를 선언하거나 활용할 때 $를 사용한다.# psversion 정보를 psversion 변수에 저장$psversion = $PSVersionTable.psversion.tostring()powershell에는 상태 정보를 저장하는 자동 생성 변수들이 있다. 1-1. 환경 정보 관련 변수변수설명$PSVersionTable다양한 버전 정보 출력 $home현재 사용자 홈 디렉토리$pwd현재 작업 경로$profile현재 사용자의 powershell 프로파일 스크립트 경로$shellid현재 셸 ID 1-2. 입력 및 파이프라인 관련변수설명$_파이프라인에서 현재 처..

1. AD 관련 기능들  위에서부터 5개의 AD 관련 기능을 볼 수 있다. 순서대로Active Directory Certificate Services(AD CS)Active Directory Domain Services(AD DS)Active Directory Federation Services(AD FS)Active Directory Lightweight Directory Services(AD LDS)Active Directory Rights Management Services(AD RMS)가 되시겠다. 2. 기능 상세 분석 각 role 별 기능들을 상세하게 파악해보자 2-1. Active Directory Certificate Services(AD CS)Certificate Services라는 이름 ..