Information Security ˗ˋˏ ♡ ˎˊ˗
반응형

Security 94

[WindowsSystem] Registry에 대해서

1. Registry 윈도우에서 모든 시스템 정보가 저장되는 계층형 데이터베이스(DB) 부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자 행위 등 윈도우 시스템에서 수행되는 모든 활동에 참여한다. 시스템 환경 설정 값과 시스템/애플리케이션 정보를 보관한다. 2. Registry 요소 1) Key(키): 폴더 - Root Key: 최상위 폴더 - Sub Key: 하위 폴더 2) Value(이름): 폴더 내 정보 3) Data(데이터) 윈도우 레지스트리 편집키: Window 키 + R => regedit 하이브 (Hive): 키의 트리 구조 작은 레지스트리 데이터 구조체들의 집합 혹은 서브셋 HKLM과 HKU는 독자적인 정보를 갖는 Master Key, 나머지는 루트키의 서브셋(derived..

[LiveForensic] 라이브포렌식에 대해(휘발성 정보 수집)

1. 라이브 포렌식 - 실제 작동 중인 컴퓨터에서 증거 추출한다. - 기존에 단순히 플러그 뽑아서 전원을 차단하였지만, 많은 위험을 내포한다. 증거물의 훼손이나 변경이 생길 수 있어 법적 증거력이 상실된다. - 그래서 라이브 포렌식 도구를 이용한다. 2. 라이브포렌식 대상 - 현재 실행 중인 프로세스 - 실행된 콘솔 명령어 - 암호화되지 않은 비밀번호나 데이터 - 메신저 내용 - IP 주소 등 네트워크 정보 - 침해 즉시 메모리에 상주하는 악성코드 - 메모리 - 열려있는 파일, 임시파일의 목록 3. 휘발성 정보 수집 1) 네트워크 연결 정보 방화벽 로그를 우선적으로 분석한다. 장기간에 걸친 연결 정보를 보관한다. 도구 - Netstat -nao: 현재 사용 중인 네트워크 정보 - Ipconfig: 로컬 ..

[DigitalForensic] FAT 파일 시스템 (with FTK Imager)

0. 하드디스크의 구조 하드디스크의 물리적인 구조 - Sector: 하드디스크의 물리적인 최소 단위(512 bytes = 1 sector) - Track: 섹터 단위의 모음, 원심 전체를 말한다. - Track sector: 같은 구역에 있는 sector의 집합 - Cluster: sector 단위를 묶어 데이터의 입출력 단위를 정한다. 기본단위는 4,096 bytes로 8 sector이다. 1. FAT 파일시스템 FAT 파일 시스템의 4개의 영역 1. BPB: BIOS Parameter Block의 머리글자이며 흔히 boot sector 혹은 boot record라고 한다. BPB안에 FAT에 대한 세부 정보가 들어 있으므로 이 정보를 가지고 다른 영역의 위치를 찾아낼 수 있다. 2. FAT: File..

[DigitalForensic] 파일 시스템(FileSystem)

1. 파일 시스템 - 필요성: 저장 매체의 용량이 증가하면서 저장되는 파일의 수도 증가하였다. 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약이 필요하다. - 정의: 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식으로, 사용자에게 파일과 디렉토리를 계층 구조로 데이터를 저장하도록 한다. 1.1 디지털 데이터 - 디지털 데이터는 이진수를 사용한다. - 이진수는 0과 1로 표현되며, 비트(bit)라고 한다. 많은 경우, 최소단위로 1byte(=8bit)를 사용한다. - 메모리, 저장장치, 네트워크 통신 등 모든 디지털 시스템에서 이진수를 사용하여 데이터를 저장하고 처리한다. 1) 물리적 단위 실제 물리적 장치(메모리 등)에서 사용되며, 최근에 저..

[210118] 새로운 랜섬웨어 패밀리 바북, 복잡한 암호화 알고리즘 채용해

www.boannews.com/media/view.asp?idx=93998 새로운 랜섬웨어 패밀리 바북, 복잡한 암호화 알고리즘 채용해 올해 첫 새 랜섬웨어 패밀리가 발견됐다. 이름은 바북 락커(Babuk Locker)이며, 줄여서 그냥 바북이라고 하기도 한다. 이미 몇몇 조직들이 바북의 공격을 받아 협박 편지를 손에 쥐고 고심하는 상태 www.boannews.com 줄거리 올해 첫 랜섬웨어 '바북 락커(Babuk Locker)'가 발견되었다. 공격자들은 표적에 따라 맞춤형 공격을 실시하고, 강력한 암호화 알고리즘을 채용했다. '바북 락커'가 암호화하는 방법 파일 암호화를 크게 두 가지 방식으로 진행한다. 작은 파일을 암호화 할 때와 큰 파일을 암호화할 때로 나뉜다. 작은 파일은 약 41MB 이하의 용량..

[210114] 中, 2020년 12월 정보보안 취약점 1,200여개

中, 2020년 12월 정보보안 취약점 1,200여개로 연중 최저치 줄거리 중국에서 지난해 12월 중 정부기관, 기업, 연구소, 학교 등에서 쓰고 있는 정보시스템에서 나타나는 정보보안 취약점이 1,200여개인 것이 나타났다. 지난 한해 가장 적은 취약점 규모이며 한 달 저네 비해 35% 감소했다. 그 중에서 애플리케이션 프로그램 부문 취약점이 가장 많았다. 그 다음은 웹 애플리케이션 부문 취약점이다. 몰랐던 지식 애플리케이션 프로그램 부분 취약점에 대해서 살펴보려고 한다. 애플리케이션 보안 - 정의: 애플리케이션 수명 주기 전체에서 애플리케이션을 위협으로부터 보호하는 것을 목표로 한다. 애플리케이션 보안의 중요성 - 위협 성공 사례 중 대다수가 애플리케이션 계층에 존재하는 취약점을 악용가능한 표적으로 삼..

[210113] 자이젤 방화벽·컨트롤러 취약점 발견

www.boannews.com/media/view.asp?idx=93909&kind=1&search=title&find=%C3%EB%BE%E0%C1%A1 [긴급] 자이젤 방화벽·컨트롤러 취약점 발견... 사용 중인 국내 정부부처·발전소 보안 ‘비상’ 최근 자이젤(ZYXEL)의 방화벽과 AP(엑세스 포인트) 컨트롤러 등 네트워크 장비에 관리자 권한을 가진 하드코딩된 백도어 계정이 숨어 있는 취약점(CVE-2020-29583)이 발견돼 해당 장비를 사용하고 있는 www.boannews.com 자이젤 방화벽·컨트롤러 취약점 발견... 사용 중인 국내 정부부처·발전소 보안 ‘비상’ 줄거리 자이젤(ZYXEL)의 방화벽과 AP(액세스 포인트) 컨트롤러 등 네트워크 장비에 관리자 권한을 가진 하드 코딩된 백도어 계정..

[210112] 파수, VDI 환경 지원하는 화면 보안 사업 연이어 수주

m.boannews.com/html/detail.html?mtype=6&tab_type=1&idx=94092 파수, VDI 환경 지원하는 화면 보안 사업 연이어 수주 파수(대표 조규곤)가 데스크톱 가상화(VDI) 환경의 화면 보안 사업을 연이어 수주했다고 밝혔다. 코로나19 장기화로 재택근무가 일상화되면서, 많은 기업 및 기관이 집에서도 회사와 동일한 환경 m.boannews.com 파수, VDI 환경 지원하는 화면 보안 사업 연이어 수주 줄거리 파수에서 데스크톱 가상화(VDI) 환경의 화면 보안 사업을 수주한다. 재택근무로 인해 기업 외부에서 사내 시스템 접속을 지원하는 VDI의 사용이 늘어나면서, VDI 환경에서도 PC 화면 내 중요 정보 유출을 방지할 수 있는 화면 보안 솔루션에 대한 요구가 커지고..

[210111] 북한의 APT37, 악성 워드 문서 활용해 한국 공격

m.boannews.com/html/detail.html?tab_type=1&idx=94024 북한의 APT37, 악성 워드 문서 활용해 한국 공격했었다 보안 업체 멀웨어바이츠(Malwarebytes)가 북한의 해킹 그룹에 대한 새로운 내용의 보고서를 발표했다. APT37로 분류되는 공격 단체가 록랫(RokRAT)이라는 멀웨어를 사용해 한국 정부 기관들로부터 정보 m.boannews.com 북한의 APT37, 악성 워드 문서 활용해 한국 공격했었다 줄거리 2020년 1월에 컴파일링 된 악성 워드 문서가 발견되었다. 해당 파일에는 매크로가 삽입되어 있었고, 피해자가 이 문서를 열면 발동된다. 주입된 페이로드를 기반으로 이 샘플이 APT37 그룹과 연관되어 있다고 생각하였다. [공격순서] 매크로 발동 -> ..

[MemoryForensic] Volatility-2.6 설치 (Windows10_v1809)

1. python 2.7.14(64bit) 2. pycrypto-2.6 3. Distorm3-3.3.4 win-amd64 4. pillow pip install Pillow 5. yara-python-2.0 6. Volatility-2.6 www.volatilityfoundation.org/26 Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org 다운받아서 압축풀기 C:\python27\Lib\site-packages\ 아래에 압축한 폴더 넣기(volatility-2.6) 7. 실행하기 C:\python27\Lib\site-packages\volatility-2.6..

반응형