🗣️ Introduction Windows 운영 체제에서 사용자의 파일 실행 이력을 추적하고 분석하는 것은 시스템 및 사용자 관리, 보안, 패턴(사용추이 등)파악 등 다양한 목적에 도움이 됩니다. 특히, 침해사고 분야에서는 실행 이력을 통해 다양한 정보를 파악할 수 있습니다. 먼저, 침해사고 분석에서는 악성코드 실행 및 정보 유출 유무등 실행된 악성코드를 파악하고 분석하여 공격자가 어떤 행위를 수행하였는지에 대해 확인할 수 있습니다. 또한, 기업에서는 비인가 프로그램 실행 유무, 시스템 성능 저하와 관련된 문제를 확인하고 대처할 수 있게됩니다. 이러한 실행 이력은 Windows 시스템 내 다양한 아티팩트에서 확인이 가능하며, 이 글에서는 실행 이력과 관련된 주요 아티팩트들 중 "UserAssist" 대해..
🗣️ Introduction 원격 데스크톱 소프트웨어는 사용자가 원격으로 다른 컴퓨터를 제어하고 조작하는 데 매우 유용한 도구입니다. 그중에서도 AnyDesk는 빠르고 안전한 원격 접속을 제공하며, 전 세계 수많은 사용자들에게 인기를 얻고 있습니다. 하지만 이러한 기술이 합법적인 용도로 사용될 수 있다는 것은 물론, 사이버 범죄자들에 의해 악용될 수도 있다는 점을 인식해야 합니다. AnyDesk의 경우, Portable 버전으로 사용이 가능하며 비밀번호 설정을 통해 사용자의 허용 없이 원격으로 접근이 가능합니다. 이러한 특징으로 인해 공격자들은 방화벽 우회, 안티 바이러스 제품 우회 등의 목적을 가지고 AnyDesk를 공격에 활용합니다.실제로, 콘티(Conti), MassScan 랜섬웨어 등 공격자들은 ..
🗣️ Introduction 웹 서버는 인터넷의 핵심 구성 요소 중 하나로, 웹 페이지를 호스팅하고 사용자에게 웹 콘텐츠를 전달하는데 사용됩니다. 인터넷 상에서 가장 널리 사용되는 웹 서버 소프트웨어 중 하나는 Apache HTTP 서버입니다. 그러나 웹 서버의 보안은 항상 중요한 관심사였으며, 악의적인 공격자들은 여러 방법으로 시스템을 침해하려고 시도합니다. 본 게시물은 Apache HTTP 서버의 백도어 중 하나인 Apache2 mod_backdoor에 대해 소개하고 이에 대한 로그를 분석하고자 합니다. **Apache2 mod_backdoor**는 Apache2 모듈을 사용하는 은밀한 백도어로서, 공격자에게 무단으로 웹 서버에 액세스할 수 있는 기회를 제공합니다. 이 백도어는 시스템의 보안에 심각한..
🗣️ Introduction MS-SQL에서는 xp_cmdshell이라는 프로시저를 통해 Windows Command 명령을 수행할 수 있습니다. 하지만 보안상의 이유로 기본적으로 비활성화되어 있으며, xp_cmdshell을 통한 명령 실행의 경우에도 필터링 등으로 차단될 가능성이 높다. SQL Server 2005 부터 Microsoft Windows .NET Framework 의 CLR(Common Language Runtime) 기능을 제공합니다. 이를 통해, NET Framework 언어로 작성된 코드를 SQL Server에서 실행할 수 있게되어 C# 또는 Visual Basic .NET과 같은 .NET Framework 언어로 작성된 함수, 프로시저, 데이터 형식 등을 SQL Server에서 직..
디지털 포렌식의 결과물인 디지털 증거가 를 가지기 위한 준칙 디지털 포렌식의 원칙을 준수하지 않은 디지털 증거 분석 행위는 이라고 보기 어려움 # 정당성의 원칙 적법절차의 원칙이라고도 부름 디지털 포렌식으로 획득된 모든 증거는 적법한 절차를 거쳐서 정당하게 획득한 것이어야 함 위법수집증거배제법칙 형사소송법 제308조의2(위법수집증거의 배제) 적법한 절차에 따르지 아니하고 수집한 증거는 증거로 할 수 없다.( 배제) 독수독과론(Fruit of the Poisonous Tree) 독 나무에서는 독 열매가 열린다는 이론으로, 위법수집증거에도 적용된다. 만약 위법하게 수집한 증거에서 파생된 증거가 있다면 해당 증거의 역시 배제된다. 앞 단계에서 절차 위반이 있었다면, 위법수집증거배제법칙과 독수독과론에 의해 그 ..
DF / IR ? Digital Forensic 디지털 기기를 활용한 범죄수사 정당성, 무결성, 보관성, 신속성, 재현성 Incident Response 침해사고 발생 시 대응하는 일련의 행위들 보안의 3요소 기밀성, 가용성, 무결성 침해사고에 대한 법적 근거 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조의 2(침해사고의 대응) 제 48조의 3(침해사고의 신고) 개인정보보호법 제 62조(침해 사실의 신고) 침해사고 대응 절차 수집 및 탐지 분석 협의 전파 및 발령 대응 및 복구 침해사고 대응 분석 절차 침해사고 분석 요청 원인분석 및 추척 이미지 분석 침투경로 추척 로그 분석 악성코드 수집 및 분석 대응 및 처리 분석결과 공유 및 사후 대책 제공 C&C 차단 악성코드 분석 정보 공유 및 차단
OSINT - Open Source INTelligence 공개된 자료와 정보활동의 합성어 Intelligence의 변화 14세기 15~20세기 21세기 Intelligence의 종류 HUMINT Human + Intelligence의 합성어 인간의 인간관계에 의해 획득되는 정보 특징 TECINT Tech + Intelligence의 합성어 장비를 활용한 정보활동 특징 SIGINT Signal + Intelligence의 합성어 메세지, 전자신호 등에서 획득되는 정보 특징 OSINT OpenSource + Intelligence의 합성어 공개된 정보를 활용한 정보활동 과거의 비밀첩보활동등과 다르게 공개적이고 합법적인 수단을 통해 획득된 정보 인터넷에서 비용을 들이지 않고 대량의 정보를 수집 및 분석이 가..
SSD TRIM 지연처리 Property: Inprogress SSD Trim 분석보고서 ❑ 개요 SSD TRIM기능의 지연처리에 관련된 가설에 대한 실험 내용임. TRIM기능도 운영체제에서 처리해야할 작업의 일부이므로, 랜섬웨어의 경우 대량의 파일을 읽고, 수정(쓰기)해야하므로, 해당 작업도중 TRIM 작업이 추가될 경우, 작업이 지연처리되므로 해당 시간차동안 원본 데이터가 남아 있을 수 있다는 가설에 대한 실험 내용임. ❑ 실험 사양 OS : Windows 10 Edu x64 build 19042 CPU : AMD Ryzen 7 3700x SSD : Samsung SSD 860 Evo 250GB Controller : Samsung MJX Controller ❑ 실험 내용 SSD가 풀로 사용중이다가 ..
디지털포렌식이란 ? What is digital forensics? - 개론 - Write by a2sembly #디지털포렌식#파일시스템#NTFS#FAT#Digital Forensics#사이버수사대#사이버수사관#디지털포렌식전문가#범죄수사#증거수집#법의학 디지털 포렌식 배경 전통적으로 포렌식의 개념은 법의학 분야에서의 증거 수집(지문, 모발 등 DNA)이였다. 최근 컴퓨터의 보급과 네트워크의 발달은 정보화 사회를 앞당기고 있으며, 모든 정보들이 디지털화 되고 있어, 디지털화 된 음성, 사진 ,비디오 등 정보들은 쉽고 빠르게 제작되어지고 보관, 전송이 용이해짐. 이에따라 물리적 형태의 증거뿐만 아니라 전자적 증거를 다루는 디지털 포렌식 분야로 확대 디지털 포렌식 정의 디지털 기기 또는 네트워크에 존재하는 디..