Program (19) 썸네일형 리스트형 침해사고 분석 및 대응을 위한 시각화 도구 아키텍처 및 기능 소개 침해사고 분석 및 대응을 위한 시각화 도구 개발 0. 시작안녕하세요. 저는 [토스뱅크] 사이버보안 엔지니어 부트캠프(공격&방어 기술) 1회 수료생이자, Greedy 팀의 민수림입니다.이번 부트캠프에서 진행했던 프로젝트를 소개합니다!각 단계별 더 상세한 내용은 추가 게시물로 업로드할 예정입니다. 목차는 다음과 같습니다. 1. 프로젝트 개요1.1 프로젝트 주제처음 토스뱅크에서 제공한 4가지 큰 주제 중에서 나는 "MITRE ATT&CK 기반 침해사고 분석 및 대응"이라는 주제를 선택하였다. 그 이유는 공격, 분석, 방어까지 모든 영역을 한 번에 파악할 수 있을 것 같았고, 처음 해보는 주제라서 재미있을 것 같아서 선택하였다. 1.2 진행 과정 해당 주제에 맞게 공격 시나리오를 설계하고, 시뮬레이션 후 분석까지 진행하려면 공격 시나리오에 대한 선행 공.. DNS 터널링(DNS Tunneling) 1. DNS Tunneling1.1 DNS DNS(Domain Name System)는 사람이 인식하기 쉬운 도메인 이름을 IP 주소로 변환하기 위한 분산형 이름 해석 시스템이다. 사용자가 웹 브라우저에 도메인을 입력하면, 클라이언트는 DNS 질의를 생성해 로컬 DNS 서버 또는 리졸버로 전송하고, 최종적으로 권한 DNS 서버로부터 해당 도메인에 대응되는 IP 주소를 응답받는다. 이 과정은 대부분의 네트워크 통신에서 선행되며, DNS가 정상적으로 동작하지 않으면 사실상 인터넷 사용이 불가능해진다. 이러한 특성 때문에 DNS 트래픽은 네트워크 환경에서 기본적으로 허용되는 경우가 많고, 보안 장비에서도 상대적으로 완화된 검사를 적용받는다. 자세한 내용은 이전 글에서!https://xsreem.tistory... Google Drive API 사용 방법 1. Google Drive API1.1 Google Drive API 개요Google Drive API는 Google Drive에 저장된 파일과 폴더를 외부 애플리케이션에서 직접 제어할 수 있도록 제공되는 REST API이다. 단순한 파일 저장 기능을 넘어, 파일 검색, 메타데이터 조회, 권한 제어, 대용량 파일 전송까지 포함하는 종합적인 파일 관리 인터페이스를 제공한다. 이로 인해 개인용 애플리케이션뿐만 아니라 기업 환경의 백엔드 자동화, 로그 보관, 데이터 파이프라인 구성에도 널리 활용된다. 1.2 Google Drive API 동작 구조Google Drive API는 클라이언트, 인증 계층, 그리고 Drive API 엔드포인트라는 세 가지 요소로 구성된다. 클라이언트는 Python, JavaSc.. KAPE(Kroll Artifact Parser and Extractor) 1. KAPE(Kroll Artifact Parser and Extractor)1.1 개요KAPE를 이용하면 포렌식 아티팩트를 수집하고 분석하는 일련의 과정을 자동화할 수 있으며, 원하는 분석 행위만을 빠르게 수행할 수 있어 효율적이다. 특히 목적에 맞게 사용자가 커스텀하여 이용할 수 있다. 1.2 프로세스 1.3 내용 2. 설치2.1 사이트 접속 및 정보 입력https://www.kroll.com/en/services/cyber/incident-response-recovery/kroll-artifact-parser-and-extractor-kape 2.2 메일 확인 및 다운로드 버튼 클릭 2.3 다운로드 파일 확인파일/폴더명설명Documentation사용 계약 조항, 매뉴얼이 저장된 텍스트 .. Havoc Framework 1. Havoc Framework1.1 개요Havoc은 침투 테스트, 레드팀, 블루팀을 위해 설계된 오픈소스 C2 프레임워크이다. 1.2 구성요소구조구성요소설명C2 ServerTeamserverListener 운영, Agent 콜백 처리, 명령 전달OperatorHavoc Client (UI)C2를 조작·운영, Teamserver 접속, Listener·Payload 생성, 세션 관리~/Havoc/profiles/havoc.yaotl에 운영자 계정정보 존재AgentDemon / SMB / External피해자 시스템에서 명령 실행 1) TeamServer서버는 중앙 제어 서버이다.Operator(Client)와 에이전트(Implants)간의 모든 통신과 명령 전달을 담당하고, 에이전트에 작업을 할당하며.. [MITRE ATT&CK Framework] ID 1. MITRE ATT&CK Framework ID1.1 개념MITRE ATT&CK Framework의 ID는 공격자의 전술(Tactics)과 기술(Techniques)을 체계적으로 식별하고 분류하기 위한 고유 식별자이다.MITRE ATT&CK Framework가 궁금하다면..! MITRE ATT&CK Frameworkhttps://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/ MITRE ATT&CK Framework 이해하기💌 후속 콘텐츠, 계속 받아보세요 ▶ 01. 개요 지금도 사이버 공간을 위협하려는 공격xsreem.tistory.com 1.2 종류객체 유형형식정의역할T.. [APT] APT29 POSHSPY https://cloud.google.com/blog/topics/threat-intelligence/dissecting-one-ofap?hl=en Dissecting One of APT29's Fileless WMI and PowerShell Backdoors (POSHSPY) | Mandiant | Google Cloud BlogThe BfeOnServiceStartTypeChange Filter was bound to the CommandLineEventConsumer WindowsParentalControlsMigration. The WindowsParentalControlsMigration consumer was configured to silently execute a base64-encode.. [System] svchost 1. svchost1.1 svchost 개요svchost.exe: Windows 서비스들을 실행하는 호스트 프로세스(Host Process for Windows Services)많은 Windows 서비스는 실행 파일(.exe)이 아닌 DLL(Dynamic Link Library) 형태로 제공되는데, DLL은 독립적으로 실행될 수 없기 때문에 이를 대신 실행하고 관리하는 호스트 프로세스가 필요하다. svchost.exe는 이러한 DLL 기반 서비스들을 불러와 실행하는 역할을 한다. *DDLhttps://xsreem.tistory.com/211 [System] DLL1. DLL 개요1.1 DLL+ 로드 라이브러리 1.2 IAT1.3 EAT1.4 DLL Injectioniat가 변조 대상, 공격 벡터여기를 변.. [System] DLL 1. DLL 개요1.1 DLL+ 로드 라이브러리 1.2 IAT1.3 EAT1.4 DLL Injectioniat가 변조 대상, 공격 벡터여기를 변조하여 임의의 것을 올릴 수 있음 1.5 DLL Ejection 2. dll이 exe가 동작하는 방식 확인2.0 설명- 대상: loader.exe- mydll.dll 2.1 loader.c 코드 분석#include #include int main() { // DLL 로드 HMODULE hDll = LoadLibrary("mydll.dll"); if (!hDll) { printf("DLL 로드 실패: %lu\n", GetLastError()); return 1; } printf("DLL 핸들: 0x%p\n",.. 이전 1 2 다음
