공부/ETC
구글 캘린더를 이용한 RAT - GCR
점점 정상 클라우드 서비스를 C2로 사용하는 악성코드가 많이 등장하는 것 같다.. 타임라인 분석 시 좀 더 상세하게 확인해야 할 필요가 늘고 있다. 아래는 Github 주소 https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
침해사고
공부/ETC
QEMU image convert to vmdk - QEMU 이미지 변환
클라우드 서비스를 이용하여 관련 이미지를 import하는 경우, QEMU 형식의 파일로 저장될때가 있음. 이 경우, FTK Imager 등으로 인식이 안되는데 이때 아래 도구로 변환이 가능함 qemu-img for Windows https://cloudbase.it/qemu-img-windows/ 도구 다운로드 후 아래 방식으로 현재 이미지 파일의 형식을 먼저 확인 qemu-img.exe info [이미지 파일] "file format" 부분에 현재 이미지 형식을 확인한 뒤, 아래 명령어로 변환 진행 # qemu-img.exe convert -f [기존 이미지 형식] -O [변환 이미지 형식] [기존 이미지명] [변환 이미지명] qemu-img.exe convert -f qcow2 -O vmdk IMAG..
공부/Forensic
아파치 모듈 백도어 기능 및 아티팩트 분석: Apache Mod_Backdoor operation method and Artifact analysis
🗣️ Introduction 웹 서버는 인터넷의 핵심 구성 요소 중 하나로, 웹 페이지를 호스팅하고 사용자에게 웹 콘텐츠를 전달하는데 사용됩니다. 인터넷 상에서 가장 널리 사용되는 웹 서버 소프트웨어 중 하나는 Apache HTTP 서버입니다. 그러나 웹 서버의 보안은 항상 중요한 관심사였으며, 악의적인 공격자들은 여러 방법으로 시스템을 침해하려고 시도합니다. 본 게시물은 Apache HTTP 서버의 백도어 중 하나인 Apache2 mod_backdoor에 대해 소개하고 이에 대한 로그를 분석하고자 합니다. **Apache2 mod_backdoor**는 Apache2 모듈을 사용하는 은밀한 백도어로서, 공격자에게 무단으로 웹 서버에 액세스할 수 있는 기회를 제공합니다. 이 백도어는 시스템의 보안에 심각한..
공부/Forensic
MS-SQL 대상 공격 방식 중 하나인 CLR Assembly(Shell) 공격 : MS-SQL Attacks via the CLR as an alternative to xp_cmdshell
🗣️ Introduction MS-SQL에서는 xp_cmdshell이라는 프로시저를 통해 Windows Command 명령을 수행할 수 있습니다. 하지만 보안상의 이유로 기본적으로 비활성화되어 있으며, xp_cmdshell을 통한 명령 실행의 경우에도 필터링 등으로 차단될 가능성이 높다. SQL Server 2005 부터 Microsoft Windows .NET Framework 의 CLR(Common Language Runtime) 기능을 제공합니다. 이를 통해, NET Framework 언어로 작성된 코드를 SQL Server에서 실행할 수 있게되어 C# 또는 Visual Basic .NET과 같은 .NET Framework 언어로 작성된 함수, 프로시저, 데이터 형식 등을 SQL Server에서 직..
MITRE ATT&CK
MITRE ATT&CK - Signed Binary Proxy Execution
Notion : https://oval-taste-7e9.notion.site/Signed-Binary-Proxy-Execution-5762c9f05e144616a0178ff8013278b6 1. Signed Binary Proxy Execution Sub-Techniques Sub-techniques **T1218.001 - Compiled HTML File** **T1218.002 - Control Panel** **T1218.003 - CMSTP ( Microsoft Connection Manager Profile Installer )** **T1218.004 - InstallUtil** **T1218.005 - Mshta ( Microsoft HTML Application )** **T1218.0..
MITRE ATT&CK
MITRE ATT&CK - Process Injection
Notion : https://oval-taste-7e9.notion.site/Process-Injection-02685376049140bdabcfc82ff562331c S1. Get Target Process Handle 새로운 프로세스 생성 또는 실행 중인 프로세스의 핸들 획득 CreateProcess / OpenProcess svchost.exe, rundll32.exe, ... S2. Alloc Virtual Address Memory for Target Process 타겟프로세스의 가상주소공간에 새로운 메모리 영역(DLL 삽입 공간) 할당 상황에 따라 토큰 활성화 필요 SeDebugPrivilege OpenProcessToken LookupPrivilegeValue AdjustTokenPrivi..
공부/Forensic
Digital Forensic / Incident Response
DF / IR ? Digital Forensic 디지털 기기를 활용한 범죄수사 정당성, 무결성, 보관성, 신속성, 재현성 Incident Response 침해사고 발생 시 대응하는 일련의 행위들 보안의 3요소 기밀성, 가용성, 무결성 침해사고에 대한 법적 근거 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 48조의 2(침해사고의 대응) 제 48조의 3(침해사고의 신고) 개인정보보호법 제 62조(침해 사실의 신고) 침해사고 대응 절차 수집 및 탐지 분석 협의 전파 및 발령 대응 및 복구 침해사고 대응 분석 절차 침해사고 분석 요청 원인분석 및 추척 이미지 분석 침투경로 추척 로그 분석 악성코드 수집 및 분석 대응 및 처리 분석결과 공유 및 사후 대책 제공 C&C 차단 악성코드 분석 정보 공유 및 차단
