Incident Response
Fodhelper를 이용한 UAC bypass
수업을 진행하면서 UACME를 이용하여 UAC bypass를 한 흔적을 분석해본 시간이 있었다. 이 떄 UACME에서 Fodhelper를 이용하였는데 이 과정이 궁금해서 한번 개인적으로 정리해보았다. UAC 가장 먼저 UAC에 대하여 한번 알아보자. 사용자 계정 컨트롤(User Account Control, UAC)은 마이크로소프트의 윈도우 비스타 운영 체제에서 처음 선보인 보안 기술이다. 윈도우 서버 2008과 윈도우 7에도 도입되었다. 관리자가 권한 수준을 높이는 것을 허용할 때까지 응용 프로그램들은 표준 사용자 권한으로 제한을 둠에 따라 운영 체제의 보안을 개선하는 데 중점을 두었다. UACME UACME는 위와 같은 UAC를 우회 할 수 있는 즉, UACbypass를 할 수 있는 opne sour..
Incident Response
침해사고대응에 대해 전체적인 개념에 대해 정리를 하기 위해 글을 썼다. 용어 정리 내용에 들어가기 앞서 사용하는 여러 용어에 대해 적어두었다. Incident vs Event Event(사건) 시스템 또는 네트워크에서 관찰 가능한 모든 행위를 의미한다. 예) 공유 폴더에 연결하는 사용자 웹 페이지 요청을 수신하는 서버 이메일을 보내는 사용자 Incident(사고) 사내 컴퓨터 보안 정책 위반, 시스템 권한의 불법적인 사용, 민감한 데이터에 대한 무단 접근, 악성코드 실행 등과 같은 부정적인 결과를 초래하는 유해한 모든 이벤트를 의미한다. 예) 봇넷에게 웹서버에 많은 양의 연결 요청을 보내 서비스 거부를 유발하도록 명령 사내 이메일을 통해 수신된 악성 첨부파일 실행 조직의 민감한 데이터를 입수한 공격자가 ..
Amcache 수집 및 분석
침해사고대응 수업 진행을 하면서 amcache에 대한 정보를 정리해 두었다. amcacheparser로 export 되는 csv에 대한 내용이 궁금해서 찾아본 내용이 대부분이다. Amcache amcache란? amcache는 Windows 7에서 RecentFileCache.bcf파일이 윈도우 8부터는 레지스트리 하이브 파일인 amcache.hve로 대체되었다. amcache는 최근 실행한 프로그램에 대한 정보를 가지고 있으며, 연결된 usb나 블루투스 장치와 관련된 정보들도 가지고 있다. amcache 수집 amcache는 다음과 같은 경로(C:\Windows\appcompat\Programs)에 위치한다. amcache 추출 amcache의 분석은 rega, amcacheparser등 여러 툴이 있..
ATT&CK Attack Framework
Requirement 1. ATT&CK Att&ck Framework 개념, 용어, 활용방안 등 배경지식 설명 ATT&CK Framework? Miter Corp에서 개발 한 ATT&CK Framework는 기업 네트워크에 대한 수백만 건의 공격에서 관찰된 위협적인 전술 및 기술에 대한 동적 문서이다. ATT&CK Use Cases Adversary Emulation 특정 적에 대한 사이버 위협 인텔리전스를 적용하여 기술 도메인의 보안을 평가하는 과정과 그 위협을 모방하기 위해 그들이 어떻게 운용하는지를 평가한다. Adversary Emulation은 조직의 라이프사이클의 모든 해당 지점에서 적대적인 활동의 탐지 및/또는 완화를 검증하는 능력에 초점을 맞춘다. ATT&CK는 Adversary Emulat..