728x90 보안28 Test 보호되어 있는 글 입니다. 2023. 6. 23. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(5일차) 오늘날의 악성코드는 프로세스 인젝션이라는 기법을 사용해 자신들의 존재를 숨기고 목표를 달성하고자 한다. Top 10 공격 기법들 인터넷 검색하면 알 수 있다. 프로세스 인젝션 - 별도의 프로세스를 생성하지 않고 악성 행위를 위한 코드를 다른 프로세스에 주입하여 실행 많은 종류가 있다. 대표적으로 CreateRemoteThread, -CreateRemoteThread CreateRemoteThread함수는 악성코드가 VirtualAllocEX()함수를 호출해 타겟 프로세스 메모리에 새로운 메모리 영역 할당 -> WriteProcessMemory()를 이용해 c2에서 네트워크에서, 레지스트리, 파일형태(미리 숨겨두거나 암호화 해둠) 등 에서 코드(파일을 가져옴)를 쓸 수 있다. 메모리에만 존재해 컴퓨터를 끄.. 2023. 6. 23. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(4일차) 시그마 룰 개요 - YAML 문법을 이용하여 보안과 관련된 이벤트를 표현하기 위한 규칙의 집합 - 다양한 형식을 가진 로그에 적용하여 보안 관련 이벤트를 식별하는데 사용됨 - SIEM 벤더나 플랫폼마다 보안 이벤트 탐지에 사용되는 규칙이 호환되지 않는 문제는 해결하기 위해 등장 - 스노트 룰(네트워크 패킷) VS Yara 룰(파일) va 시그마 룰(SIEM,로그) 스노트룰은 패킷대상, 야라룰은 파일대상, 시그마 룰은 심, 로그대상으로 위험을 식별할 수 있는 기능 제공 - 2017년 오픈 소스 프로젝트로 공개되어 현재는 산업 표준으로 자리매김하고 있음 시그마 룰 사용의 이점 - 벤더에 락인(lock-in)되는 것을 피할 수 있음 (제품을 한번사면 계속 사용하게 되는것을 피할 수 있음) 모든 장비들이 지원하.. 2023. 6. 22. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(3일차) 1. Method 주의깊게 보자(2일차 참고) 2. Protocol Version [요청] GET /index.jsp HTTP/1.1 버전이 1.1이 아닌 1.0 : 과거에 사용했던 버전으로 현재 브라우저들은 사용하지 않음 - 1.0 버전이 관찰되는 경우 : 일반적인 브라우저가 아님 (별도로 개발된 코드) 현재 HTTP는 2.0 개발되고 있다. 아직까진 1.1버전이다. 3. 응답코드 [요청] GET /index.jsp HTTP/1.1 Host:1.2.3.4 [응답] HTTP/1.1 200 OK (status 코드, OK는 status message) ... [status code] 200~299 : 정상적인 응답 404 : not found - 짧은 시간에 404 not found가 집중적으로 발생하는 .. 2023. 6. 21. EDR과 XDR - XDR(Extended Detection and Response)와 EDR(Endpoint Detection and Response)는 모두 보안분야에서 사용되는 용어이며, 주로 공격 탐지 및 대응에 사용됩니다. - EDR은 엔드포인트에서 발생하는 보안 이벤트를 탐지하고 분석하여 대응하는 솔루션입니다. 보통 안티바이러스, 침입방지시스템(IPS), 로그분석 등과 같은 다른 보안 솔루션과 통합하여 사용됩니다. 반면에 XDR은 EDR과 유사하지만, 더 확장된 범위의 보안 이벤트를 탐지하고 대응하는 솔루션입니다. XDR은 여러 종류의 보안 이벤트 데이터를 수집하고 분석하여, 공격의 범위와 영향력을 파악하고, 보안 이벤트들 간의 상관관계를 분석하여 통찰력 있는 대응 전략을 수립합니다. 따라서 XDR은 EDR을.. 2023. 6. 20. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(2일차) -SSH Bruteforcing 식별 Non-EtM이 적용된 SSH세션을 대상으로 한 bruteforcing 식별(저번 시간에 etm 적용된 ssh세션 브루트포싱 식별 봤음) 주이에서는 패킷 길이를 보고 인증 성공여부를 알려주는데, non-etm의 경우에는 모르니 성공여부가 null로 나옴 그러면 뭘 보고 브루트포싱인걸 파악할까? -> 짧은 시간안에 같은 세션(통신내역이 같다 = 패킷내역이 같다)이 여러번 보이면 의심 가능, 그 세션의 동일한 점을 검색해서 총 몇개인지 확인해보자. 세션유지시간 duration도 매우 작을 거라고 예상가능, resp_bytes가 동일할 것으로 예상 암호화 알고리즘은 resp_bytes가 동일한 경우가 많음, 암호화 안된경우는 동일한 요청이여도 응답으로 resp_bytes가.. 2023. 6. 20. 이전 1 2 3 4 5 다음 728x90