💻모의해킹/Microsoft

디지털 포렌식

포렌식 & 디지털 포렌식 ① 포렌식(Forensics) 법의학이란 의미로 법정에서 사용되는 증거 수집 및 분석을 의미함 법률적으로 중요한 사실 관계를 연구하고 해석하며 감정하는 학문 ② 디지털 포렌식(Digital Forensics) 디지털 기기를 매개체로 하여 발생한 특정 행위의 사실 관계를 법정에서 규명하고 증명하기 위한 절차와 방법 따라서, 법정에서 규명하기 위해 디지털 데이터의 증거 능력 고려 아날로그 증거와 달리 디지털 데이터는 쉽게 복제 가능하기에 검증된 절차와 방법 등이 요구됨 (쉽게 설명하면) 용의자를 특정하여 증거물로 사법기관에 제출하기 위해 디지털 포렌식을 통해 데이터 수집 따라서, 포렌식과 디지털 포렌식은 증거 수집하고자 하는 대상에서 차이가 발생한다.(디지털 포렌식은 대상이 데이터)..

파일 삭제 흔적 찾기 (NTFS) #nagoona

이걸 왜 했냐면? 공격자가 파일을 지우는 방법이 몇가지 있는데 이와 관련하여 확인할 수 있는 아티팩트가 궁금했었다. 이를 윈도우에서 특히 많이 쓰이는 파일시스템인 NTFS에서 사용되는 아티팩트에서 확인해보려고한다. 삭제된 파일이 중요한 이유는 침해사고 분석이 일어난 시간을 근거로 타임라인 분석방법을 사용하기 때문이다. 공격자가 악성 행위를 위해 설치 및 악성 파일이나 접근 및 수정한 파일에 대한 시간정보는 상당히 중요하다. 이 외에도 시스템에 일어난 행위를 파악할때 존재하는 파일은 간단하게 MFT의 타임스탬프를 이용하면 되나 삭제된 파일은 남아있지 않을 수 도 있다는 생각이들어서 조사해보았다. 파일이 삭제되는 원인 및 추적방법 I. 공격자가 악성코드(혹은 스크립트)를 이용하여 자동적으로 파일을 삭제하는 ..

MFT Parsing 도구 - analyzeMFT

Windows OS는 NTFS 파일 시스템을 사용한다. NTFS 파일 시스템은 MFT(Master File Table)에 파일의 메타 데이터를 저장한다. 파일 메타 데이터에는 파일의 생성, 수정, 접근 시각 등의 포렌식 관점으로 중요한 정보들이 들어있다. $MFT는 이런 MFT 엔트리들의 집합이다. 그렇다면 $MFT 파일이 어딨고 어떤 정보가 들어있는지 확인해보자. ​ MFT는 시스템 드라이브(일반적으로 C 드라이브) 바로 아래에 존재한다. $가 붙은 파일들은 시스템 관련 파일로써 일반적인 방법으로는 볼 수도 없다. 해당 파일을 찾았으니 이제 내용을 볼까? ​ microsoft-windows...어쩌구 저쩌구하는 문자열이 보이지만 나머지 값들이 무얼 뜻하는지 알아보기 힘들다. 하나하나 메타데이터 길이별로..

Windows Registry 침해 대응 분석

범위 - 레지스트리 , 웹 브라우저 , $MFT , 휴지통 , 프리패치, 웹 로그 , 쉘백 - 점프리스트 , 링크파일 ,메모리 파일 ,스케쥴러 - 이벤트로그 , 썸네일, 아이콘 캐시 , 서비스 레지스트리 - 운영체제와 응용프로그램 운영에 필요한 정보를 저장하기 위한 계층형 데이터베이스 - 부팅 과정, 로그인, 서비스 실행, 응용프로그램 실행, 사용자 행위와 관련된 모든 것들을 기록하여 관리함 - 이때, 레지스트리 정보는 하이브 파일로 관리한다. 레지스트리 - 시스템 정보와 사용자 다양한 정보를 확인할 수 있다. - 최근 열람한 문서 파일 목록, 실행 파일 목록, 시스템 정보 등을 확인할 수 있다. - 레지스트리 확인 명령어 : Ctrl+R -> ‘regedit’ 명령 실행 레지스트리 구성(Root Key..

🌏Window Froensic Tool List

Vloatility SysinternalSuite AnalyazeMFT 디지털포렌식 분석의 대상은 주로 여러 데이터를 모은 선별 데이터 묶음이나 저장장치 이미지다. 사건 유형과 분석 목적에 따라 특정 파일만 분석하는 경우도 있지만 이때도 해당 파일이나 레코드를 복구까지 해야 하기 때문에 파일시스템이나 파일 포맷의 구조, 복구 원리 등을 이해하고 있어야 한다. 분석 결과의 오류 가능성을 줄이려면 분석에 활용되는 다양한 아티팩트의 이해가 선행되야 하고 거기에 더해 풍부한 경험을 갖춰야 한다. 좋은 분석가라면 운영체제 버전이나 사용 환경에 따라 변하는 아티팩트의 차이점과 한계점을 인식하고 있어야 한다. 처음 분석 분야에 들어왔다면 널리 알려진 EnCase, FTK, AXIOM 등의 통합 포렌식 도구로 문제를 ..

Windows 침해 대응 및 분석 기법 ( 금융보안원 교육 )

과거의 공격양상 (약.. 10년전..?) exe 또는 dll 확장자 파일을 통해 함수 호출 변수를 통한 C&C에서로의 공격을 감행함 하지만 안티바이러스에서 다 검출되기에 현재는 이런 재래식 형태로 공격을 감행하지 않음. 그래서 LotL(Living of the Land) 공격기법 --> 기존의 있는 시료들을 통해 공격을 감행하는 기법 wscrpite.exe, certutil.exe 등 기존의 Windows Built in 설치 파일을 통한 공격 감행 형태로 양상 변형 최근 공격 형태의 양상 1.악성 문서 파일 생성 2.공격자는 Victim PC 에 악성문서 전달 3. maleware.hwp 문서파일 통해 한글 오피스 프로그램 실행됨 maleware.hwp 실행 시, 유관된 dll 파일을 메모리에 적재함 ..

[CVE-2022-30190] MS Offfice 제로데이 취약점 분석 & MSDT-Follina 취약점 분석

본문은 해외의 저명한 유튜버 'Network Chuck' 의 Pollina 취약점을