구글 캘린더를 이용한 RAT - GCR
점점 정상 클라우드 서비스를 C2로 사용하는 악성코드가 많이 등장하는 것 같다.. 타임라인 분석 시 좀 더 상세하게 확인해야 할 필요가 늘고 있다. 아래는 Github 주소 https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
점점 정상 클라우드 서비스를 C2로 사용하는 악성코드가 많이 등장하는 것 같다.. 타임라인 분석 시 좀 더 상세하게 확인해야 할 필요가 늘고 있다. 아래는 Github 주소 https://github.com/MrSaighnal/GCR-Google-Calendar-RAT
클라우드 서비스를 이용하여 관련 이미지를 import하는 경우, QEMU 형식의 파일로 저장될때가 있음. 이 경우, FTK Imager 등으로 인식이 안되는데 이때 아래 도구로 변환이 가능함 qemu-img for Windows https://cloudbase.it/qemu-img-windows/ 도구 다운로드 후 아래 방식으로 현재 이미지 파일의 형식을 먼저 확인 qemu-img.exe info [이미지 파일] "file format" 부분에 현재 이미지 형식을 확인한 뒤, 아래 명령어로 변환 진행 # qemu-img.exe convert -f [기존 이미지 형식] -O [변환 이미지 형식] [기존 이미지명] [변환 이미지명] qemu-img.exe convert -f qcow2 -O vmdk IMAG..
🗣️ Introduction 웹 서버는 인터넷의 핵심 구성 요소 중 하나로, 웹 페이지를 호스팅하고 사용자에게 웹 콘텐츠를 전달하는데 사용됩니다. 인터넷 상에서 가장 널리 사용되는 웹 서버 소프트웨어 중 하나는 Apache HTTP 서버입니다. 그러나 웹 서버의 보안은 항상 중요한 관심사였으며, 악의적인 공격자들은 여러 방법으로 시스템을 침해하려고 시도합니다. 본 게시물은 Apache HTTP 서버의 백도어 중 하나인 Apache2 mod_backdoor에 대해 소개하고 이에 대한 로그를 분석하고자 합니다. **Apache2 mod_backdoor**는 Apache2 모듈을 사용하는 은밀한 백도어로서, 공격자에게 무단으로 웹 서버에 액세스할 수 있는 기회를 제공합니다. 이 백도어는 시스템의 보안에 심각한..
🗣️ Introduction MS-SQL에서는 xp_cmdshell이라는 프로시저를 통해 Windows Command 명령을 수행할 수 있습니다. 하지만 보안상의 이유로 기본적으로 비활성화되어 있으며, xp_cmdshell을 통한 명령 실행의 경우에도 필터링 등으로 차단될 가능성이 높다. SQL Server 2005 부터 Microsoft Windows .NET Framework 의 CLR(Common Language Runtime) 기능을 제공합니다. 이를 통해, NET Framework 언어로 작성된 코드를 SQL Server에서 실행할 수 있게되어 C# 또는 Visual Basic .NET과 같은 .NET Framework 언어로 작성된 함수, 프로시저, 데이터 형식 등을 SQL Server에서 직..
Notion : https://oval-taste-7e9.notion.site/Signed-Binary-Proxy-Execution-5762c9f05e144616a0178ff8013278b6 1. Signed Binary Proxy Execution Sub-Techniques Sub-techniques **T1218.001 - Compiled HTML File** **T1218.002 - Control Panel** **T1218.003 - CMSTP ( Microsoft Connection Manager Profile Installer )** **T1218.004 - InstallUtil** **T1218.005 - Mshta ( Microsoft HTML Application )** **T1218.0..
Notion : https://oval-taste-7e9.notion.site/Process-Injection-02685376049140bdabcfc82ff562331c S1. Get Target Process Handle 새로운 프로세스 생성 또는 실행 중인 프로세스의 핸들 획득 CreateProcess / OpenProcess svchost.exe, rundll32.exe, ... S2. Alloc Virtual Address Memory for Target Process 타겟프로세스의 가상주소공간에 새로운 메모리 영역(DLL 삽입 공간) 할당 상황에 따라 토큰 활성화 필요 SeDebugPrivilege OpenProcessToken LookupPrivilegeValue AdjustTokenPrivi..
OSINT - Open Source INTelligence 공개된 자료와 정보활동의 합성어 Intelligence의 변화 14세기 15~20세기 21세기 Intelligence의 종류 HUMINT Human + Intelligence의 합성어 인간의 인간관계에 의해 획득되는 정보 특징 TECINT Tech + Intelligence의 합성어 장비를 활용한 정보활동 특징 SIGINT Signal + Intelligence의 합성어 메세지, 전자신호 등에서 획득되는 정보 특징 OSINT OpenSource + Intelligence의 합성어 공개된 정보를 활용한 정보활동 과거의 비밀첩보활동등과 다르게 공개적이고 합법적인 수단을 통해 획득된 정보 인터넷에서 비용을 들이지 않고 대량의 정보를 수집 및 분석이 가..