728x90 보안/보안공부15 Test 보호되어 있는 글 입니다. 2023. 6. 23. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(5일차) 오늘날의 악성코드는 프로세스 인젝션이라는 기법을 사용해 자신들의 존재를 숨기고 목표를 달성하고자 한다. Top 10 공격 기법들 인터넷 검색하면 알 수 있다. 프로세스 인젝션 - 별도의 프로세스를 생성하지 않고 악성 행위를 위한 코드를 다른 프로세스에 주입하여 실행 많은 종류가 있다. 대표적으로 CreateRemoteThread, -CreateRemoteThread CreateRemoteThread함수는 악성코드가 VirtualAllocEX()함수를 호출해 타겟 프로세스 메모리에 새로운 메모리 영역 할당 -> WriteProcessMemory()를 이용해 c2에서 네트워크에서, 레지스트리, 파일형태(미리 숨겨두거나 암호화 해둠) 등 에서 코드(파일을 가져옴)를 쓸 수 있다. 메모리에만 존재해 컴퓨터를 끄.. 2023. 6. 23. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(4일차) 시그마 룰 개요 - YAML 문법을 이용하여 보안과 관련된 이벤트를 표현하기 위한 규칙의 집합 - 다양한 형식을 가진 로그에 적용하여 보안 관련 이벤트를 식별하는데 사용됨 - SIEM 벤더나 플랫폼마다 보안 이벤트 탐지에 사용되는 규칙이 호환되지 않는 문제는 해결하기 위해 등장 - 스노트 룰(네트워크 패킷) VS Yara 룰(파일) va 시그마 룰(SIEM,로그) 스노트룰은 패킷대상, 야라룰은 파일대상, 시그마 룰은 심, 로그대상으로 위험을 식별할 수 있는 기능 제공 - 2017년 오픈 소스 프로젝트로 공개되어 현재는 산업 표준으로 자리매김하고 있음 시그마 룰 사용의 이점 - 벤더에 락인(lock-in)되는 것을 피할 수 있음 (제품을 한번사면 계속 사용하게 되는것을 피할 수 있음) 모든 장비들이 지원하.. 2023. 6. 22. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(3일차) 1. Method 주의깊게 보자(2일차 참고) 2. Protocol Version [요청] GET /index.jsp HTTP/1.1 버전이 1.1이 아닌 1.0 : 과거에 사용했던 버전으로 현재 브라우저들은 사용하지 않음 - 1.0 버전이 관찰되는 경우 : 일반적인 브라우저가 아님 (별도로 개발된 코드) 현재 HTTP는 2.0 개발되고 있다. 아직까진 1.1버전이다. 3. 응답코드 [요청] GET /index.jsp HTTP/1.1 Host:1.2.3.4 [응답] HTTP/1.1 200 OK (status 코드, OK는 status message) ... [status code] 200~299 : 정상적인 응답 404 : not found - 짧은 시간에 404 not found가 집중적으로 발생하는 .. 2023. 6. 21. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(2일차) -SSH Bruteforcing 식별 Non-EtM이 적용된 SSH세션을 대상으로 한 bruteforcing 식별(저번 시간에 etm 적용된 ssh세션 브루트포싱 식별 봤음) 주이에서는 패킷 길이를 보고 인증 성공여부를 알려주는데, non-etm의 경우에는 모르니 성공여부가 null로 나옴 그러면 뭘 보고 브루트포싱인걸 파악할까? -> 짧은 시간안에 같은 세션(통신내역이 같다 = 패킷내역이 같다)이 여러번 보이면 의심 가능, 그 세션의 동일한 점을 검색해서 총 몇개인지 확인해보자. 세션유지시간 duration도 매우 작을 거라고 예상가능, resp_bytes가 동일할 것으로 예상 암호화 알고리즘은 resp_bytes가 동일한 경우가 많음, 암호화 안된경우는 동일한 요청이여도 응답으로 resp_bytes가.. 2023. 6. 20. 23년 실전형사이버훈련장 - 위협이벤트 식별훈련(1일차) 책과 같이 참고하면서 보세요. 회사들은, 보통 풀패킷을 덤프떠서 오탐 정탐 여부 판별 요구가 많다. 대용량의 데이터(로그)를 분석하는 기술을 길러야한다. whireshark는 많은 패킷분석은 못함. 정밀분석시에 사용. 스플렁크, 아파치 스파크 등 대용량 패킷 분석 -Zeek zeek는 Bro회사로부터 출발함 zeek는 IPS IDS의 기본적인 능력도 수행 스플렁크에서 데이터를 덤프떠와, 쿼리 분석 가능, 앱중 zeek 지원, 엘라스틱에도 넣어 작업 가능 무료 앱인 zed zui(주이)로 분석해보자. zed(로그 가져옴)의 프론트엔드 역할, zed와 통신하며 데이터 분석 가능 zeek(로그 추출) -> zed(로그 저장) -> zui(패킷 분석) zed대신 스플렁크 권장! 쿼리가능해서. 패킷파일을 zui에.. 2023. 6. 19. 이전 1 2 3 다음 728x90
