Darkest

WMIC 글을 작성하고 보니 다른 여러가지 케이스들도 정리해보면 어떨까 하는 생각이들었다. 윈도우 시스템에서 악용될 수 있는 RCE 수단은 정말 다양하다. 그 중에 최근 북한 APT 그룹이 많이 사용하는 lnk 악성파일 원리를 한번 분석해보려고 한다. 1. lnk 파일 악성코드 분석 윈도우에서는 lnk 기능을 지원한다. 쉽게 생각하면 '바로가기' 기능이다. MS Office의 dd나 매크로 취약점이 패치되고 나서 공격자들이 이쪽으로 눈을 돌리기 시작했다. 그럼 lnk 파일 악성코드가 어떻게 동작하는지 한번 살펴보자 hxd로 링크파일을 오픈하니 원본 파일이 나와서 이렇게 xxd를 사용해 데이터를 확인해보았다. 여기는 ShellLinkHeader로 시각 정보를 포함하고 있기 때문에 포렌식적으로도 중요한 의미..

[windows] WMIC 사용하기[windows] 윈도우 해킹(1), WMIC 1. LotL 이란.. LotL 공격은 시스템에 미리 설치되어있는 도구를 공격에 활용하는 기법을 의미한다. 파워쉘을 통해 시스템 정보를 탈취하거나 또는 fileless 형태로 프로세스나 스레드를 인젝션 하거나, 리버스 쉘을 연결하는 등 다양한 공격이 수행될 수 있다.  사고 분석을 하다보면 WMIC, PSEXEC, Powershell 등이 악용되는 경우가 굉장히 많다. 공격자들이 별다른 노력을 들이지 않고도 사용할 수 있기 때문이다.  2. 공격에 활용될 수 있는 기능들a. wmic process call create  위 기능으로 파워쉘 명령을 실행할 수 있다. 다음 명령을 한번 실행 해 보았다.wmic process ca..

[windows] WMIC 사용하기WMIC을 활용한 LotL(Living off the Land) 공격  WMIC란 Windows Managemant Instrumentation Command-line 의 줄임말이다. 한글로는 명령줄 윈도우 관리 도구 정도 되겠다. MSDN에 의하면 현재 2024-11-29 기준 더이상 업데이는 되지 않는것 같지만 여전히 사용할 수 있다. WMIC를 사용하면 로컬 시스템의 주요 정보들을 확인하거나 LOTL공격 행위를 수행할 수도 있다. 사용법은 다음과 같다. 1. WMIC 기초 WMIC를 사용해 시스템 정보들을 다양한 형태의 출력으로 볼 수 있다. 예를 들면 다음과 같다.WMIC를 사용해 현재 시스템에 있는 볼륨에 대한 brief 한 정보를 list 형태로 출력시켰다. ..

필자는 업무 특성상 악성코드를 다루는 작업이 많은데, 디펜더의 실시간 탐지 기능이 가끔 소중한(?) 악성코드를 차단 or 격리 해버리는 바람에 불편한 상황이 발생하곤 한다.  그래서 윈도우 디펜더를 영구적으로 비활성화 하는 방법에 대해 알아보았다. (Disable Windows Defender permanently)* 디펜더를 비활성화하면 시스템이 악성 코드에 취약해질 수 있음. 전문가가 아니라면 수행하지 않는 것을 권고함 컴퓨터를 잘 모르고 단순히 실시간 탐지만 끄고싶은 독자는 1-A 설정 옵션 과 2-A 설정에서 비활성화 를 확인하면 되겠다.1. 디펜더와 관련된 윈도우 설정들 우선은 우리가 생각해보아야 할 부분은 크게 한 5가지 정도가 될 것 같다.A. 설정 옵션다음 순서로 윈도우 보안센터로 접근할 ..

윈도우에서는 기본적으로 파워쉘을 통한 코드 실행을 제한하고 있다. 보안 상의 이유인 것으로 추정되는데, 공격자들이 파워쉘을 악용하기 쉽기 때문이다. 이번 포스팅에서는 이런 실행 정책을 우회할 수 있는 방법들을 알아보겠다. 1. 설정 확인하기파워쉘을 열어서 Get-ExecutionPolicy -List | Format-Table -AutoSize 명령으로 현재 정책을 확인해보자.기본적으로 모두 정책이 정의되지 않은 것을 확인할 수 있다. 2. 테스트 해보기 임의 경로에 ps1 파일을 만들어 한번 실험해보자. 필자는 echo.ps1 이라는 파일을 만들어 echo 'hello powershell' 이라는 내용을 작성했다.그런 다음 해당 경로에서 파워쉘을 열어 echo.ps1 파일을 한번 실행해보자 그러면 이렇..

[win11] 윈도우 샌드박스(Windows Sandbox) 사용하기 - 1[win11] 윈도우 샌드박스(Windows Sandbox) 사용하기 - 2 지난 포스팅에서는 windows sandbox의 기본적인 활성화 방법과 실행 방법에 관해 알아보았는데, 이번 시간에는 좀더 상세한 설정 방법을 알아보고자 한다. 1. 환경 설정 Windows Sandbox는 vmware나 virtual box 처럼 많은기능은 없지만  간단한 커스터마이징 기능을 제공한다. 다음 XML 구문과 같이 작성하고 .wsb 확장자로 저장한 후 실행하면 된다. (wsb 는 아마 windows sandbox의 줄임말이 아닐까? ) 아래 예시는 MSDN에 작성되어 있는 예시다. Disable Disable C:\U..

[win11] 윈도우 샌드박스(Windows Sandbox) 사용하기 - 1[win11] 윈도우 샌드박스(Windows Sandbox) 사용하기 - 2 예전에는 윈도우에서 가상환경을 사용하려면 virtual box 또는 vmware 를 사용해야했다. 그런데 최근에는 선택지가 많이 늘어났다. WSL이 등장했고, 또 윈도우 샌드박스가 등장했다. 혹자는 이제 개인 사용자는 vmware 무료로 쓸수있는데 샌드박스 그런거 왜씀? 이라고 할 수도 있다. 맞는 말이다. 그러나 또 틀린 말일수도 있다. 윈도우에서 WSL2 동작을 위해서는  Hyper-v 가 필수인데, 이 떄문에 다른 가상화 어플리케이션 즉, virtual box나 vmware workstation 동작이 이 매우 매우매우 느려진다는 단점이 발생한다. ..

맥북을 사용자들은 트랙패트 세 손가락에 매우 익숙할 것이다. 필자는 윈도우와 맥OS를 둘 다 사용하는데, 단축키부터 패드까지 너무 달라 매번 쓸때마다 헷갈린다.특히 헷갈리는건 한/영 변환과 세손가락 터치인데, 한/영 변환은 키보드 매핑 어플로 쉽게 변환 할 수 있으니, 윈도우 노트북에서 세손가락을 사용해 드래그 하는 부분만 해결하면 얼추 비슷하게 사용할 수 있다.그래서 바다음 프로그램을 추천하는데, 윈도우 OS에서 세 손가락 드래그를 할 수 있게 해준다.https://apps.microsoft.com/detail/9msx91wqcm2v?ocid=pdpshare&hl=en-us&gl=US Three Finger Drag - Free download and install on Windows | Microso..

필자의 첫 컴퓨터 운영체제는 윈도우 98이었다.윈도우 98의 특징이라 한다면 MS-DOS 커널이 백단에서 동작한다는 것이지만,일반 사용자가 그런 CLI를 사용할 필요는 없었다.왜냐하면 너무나도 깔끔하고 미려한 GUI 환경을 제공 해 주었기 때문이다.GUI환경에 익숙해져 있던 나는 검은 화면이 뜨기만 하면 "도스 창이 떴다" 하며 어쩔 줄 몰라하던 기억이 있다.여담으로 지금도 검은 배경에 텍스트만 있는 윈도우가 팝업되면, 컴퓨터를 모르는 사람들은 "도스 창이 떴다" 며 당황한다.그만큼 MS-DOS 운영체제는 센세이션했고, WINDOWS 운영체제는 GUI 혁신을 가져왔다.아무튼, 여러분은 GUI 환경을 사용하면서 GUI 구성요소들에 대해 생각해본 적이 있는가? 아마 대부분은 없을것이랑 생각이 든다. 왜냐하면..

WSL을 쓰다보면 가끔 작업 파일들을 호스트로 가지고 나오고싶을때가 있다.그럴때마다 "/mnt/c/users~" 어쩌고 저쩌고 경로로 카피하기가 고역이기 그지없다. 그래서 GUI를 통해서 복붙하는 방법이 굉장히 유효한데 방법은 다음과 같다.1. 익스플로러 탭에서 찾아가기윈 10까지만 해도 없었던것 같은데(아닐수도 있음) 요런 기능이 생겼다. 참 편리하기 그지없다.저 linux 라는 경로아래에 아마도 리눅스 배포판들 "/" 경로가 위치할 것으로 추정된다. 2. 네트워크 위치 추가저기 삼땡이를 누르면 네트워크 위치 추가 라는 기능이 있다.사실 익스플로러에서 오른쪽 클릭해도 해당 옵션이있는데, 캡쳐가 안되는 관계로 그냥 저렇게 했다 :(다음다음 다음으로 넘겨준 다음 여기서 WSL 경로를 입력해준다. WSL 경..