정보보안 노력 이야기

안녕하세요~! 오늘은 Windows 10의 PowerShell v5에 기존의 사용자가 정의한 로그 형식이 아닌 기본적으로 명령어 실행 기록, 로그가 생성되는 것에 대해서 포렌식적으로 의미가 있지 않을까 생각하여 현재까지 조사된 내용을 포스팅 하게 되었네요 현재 파일리스 형태의 PowerShell을 이용한 악성 행위, 공격을 자주 접하게 되는데 이는 PowerShell을 이용해 기존 악성코드 탐지에서 우회할 수 있고 흔적을 최소화하는 효가가 있습니다. 따라서 포렌식적으로 PowerShell 흔적을 찾을 수 있다면 이는 흔적조사, 악성 행위 탐지에 지대한 영향을 줄 것으로 보입니다. 테스트 환경 우선 저는 Windows 10으로 확인했습니다. powershell v5 이상 (테스트는 5.1.16299.666..

안녕하세요 오랜만에 글을 쓰게 되네요. 그동안 개인적인 사정이 여러개 겹쳐 글을 쓰는 것에 소홀했었네요 오늘은 포렌식 관련 글을 처음 쓰게 되었습니다. 물론 법적으로 공부하시는 분들에게는 제가 작성하는 글이 맞지 않거나 틀린 부분이 있을 수 있다는 점을 말씀드리며법의학적으로 공부하게 되면서 알게된 Frye와 Daubert에 대해서 간략하게 설명하려고 합니다. 그럼 먼저 Frye와 Daubert가 무엇인지 부터 알아보겠습니다. 사실 과제 중에 하나였기 때문에 다소 문법이 딱딱하게 느껴지시더라도 양해 부탁드릴게요~! 개요 Frye standard와 Daubert standard는 과학증거에 대한 증거능력을 판단하기 위한 기준입니다. 이 두가지의 기준에 대한 차이점을 알아보기 위해 Frye와 Daubert를 ..

WLAN Mgmt(management) Frame들을 하나 하나 설명드리려고 합니다. WLAN Frame 중 type에 의하여 표시되는 Frame의 종류는 관리(Management), 제어(Control), 데이터(Data)가 있습니다. 이 중 관리 프레임의 역할은 주변의 네트워크 스캔을 통하여 네트워크와 단말을 식별하는 과정을 거치며 정당한 사용자를 인증하는 인증 절차, 마지막으로 이러한 인증 절차를 통과한 사용자와 통신규약을 협의하고 결합하는 과정을 위해 사용되고 있습니다. 이러한 관리 프레임 중 단말이 네트워크를 알 수 있도록 홍보하는 역할을 하며 이미 연결된 단말에서도 다른 AP로 옮겨갈 수 있도록 주변 자신의 허용하는 영역에 브로드캐스트로 뿌려지게 되는 Beacon을 좀 더 자세히 다루겠습니다...

드디어 ping option 마지막 글이네요 중간에 다른 길로도 빠지고 정리해 놓은 글이 날라가는 바람에 다른 글들을 작성하다가 드디어 정리하게 되었습니다. 그럼 2번째 글에 이어서 옵션들을 설명하겠습니다. -R 옵션 라우팅 경로에 대해서 출력해주는 옵션입니다. 해당 패킷을 보내게 되면 보시는 것과 같이 요청패킷과 응답이 돌아오는 경로를 패킷내에 포함해 패킷에 표시하게 합니다. IP헤더에서 9개까지만 받을 수 있으므로 그 이상은 표시할수가 없으며 대부분의 라우터나 방화벽에서 이를 차단하고 있기 때문에 외부로 보내게 되면 무시하거나 버리도록 설정되어 있습니다. -s 옵션 패킷의 사이즈를 정해 보내는 옵션입니다. 화면에서 보시듯 -s 10으로 보낸 것과 기본 default size값으로 보내 보았고 이를 패..

무선 랜 패킷을 분석하고 사용하기 위해서 기본 적인 프레임 구조를 숙지해야 한다고 생각하여 프레임 구조를 정리하게 되었습니다. 물론 세세하게까지는 아직 정의가 좀 안된 부분이 있어서 가지고 있는 서적이나 지식, 자료등을 정리해 작성하도록 하겠습니다. WLAN MAC Frame 우선 기본적인 802.11 MAC frame 형식을 그려보았습니다. 관리를 위한 프레임의 포맷입니다. 각각의 부분에 대해서 설명하도록 하겠습니다. Frame Control 프레임의 유형(제어,관리,데이터)을 정의하며 제어 정보를 제공합니다. 제어 정보라는 것은 프레임이 DS로 인지(To DS), DS로부터 인지(From DS), fragmentation 정보나 보호되는 정보인지를 나타냅니다. Duration/ID 지속 시간 필드로 ..

무선 네트워크를 통하여 취약점 진단, 모의해킹, 크랙킹, 무선네트워크 스캔 등을 위해 가장 먼저 해야할 일이 바로 모니터 모드를 통한 주변 네트워크 스캔 및 정보 취득 이라고 할 수 있겠습니다. 그런 일을 하게 해주는 것이 모니터 모드인데요. 이러한 모니터 모드를 통해 얻을 수 있는 정보로는 우선 타켓팅 선별, SSID, MAC주소 식별, 암호화 및 암호 정보 수집, 네트워크 스니핑등이 있겠습니다. 운영체제는 Kali를 사용하겠습니다. 기본적으로 kali에는 aircrack-ng가 설치되어있으며 다른 운영체제에서 사용하시려고 한다면 aircrack-ng를 설치하셔야 합니다. 무선 어댑터를 우선 컴퓨터와 연결하여 모니터 모드로 설정하기 위해서 가장 먼저 네트워크 이름 부터 알아야하겠습니다. apt upda..

유닉스 계열의 운영체제는 syslog 표준 인터페이스를 통해 커널 및 응용프로그램에 의해 발생 로그를 체계적으로 생성하고 관리합니다. 이러한 syslog의 동작 방식을 보면 커널 및 응용프로그램이 syslog API를 통해 로그를 생성하면 데몬 프로세스가 syslog.conf 설정 파일을 참조해 로그를 기록하는 모습을 보입니다. 이러한 설정파일은 /etc/syslogd.conf로 어떤 로그를 남길지, 어디에 남길지를 설정할 수 있으며 이러한 정의 규칙 포맷에 대해서 설명하도록 하겠습니다. vi /etc/rsyslog.d/50-default.conf vi /etc/rsyslog.conf 해당 항목들은 Linux ubuntu 기반으로 작성되었으며 Linux는 syslog를 개선한 rsyslog를 사용하고 있..

로그 파일 중 ftp 관련된 log인 xferlog에 대해서 작성하고자 합니다. 리눅스 시스템에서 작동되는 FTP 관련 데몬인 proftpd나 vsftpd의 서비스의 내용을 기록하는 파일 입니다. 우선 리눅스에서 vsftpd 데몬을 설치하여 log파일을 생성하도록 하겠습니다. ubuntu에 ftp패키지 설치 하도록 하겠습니다. apt-get update apt-get install vsftpd 설치하게 되면 이후에 설정 파일에서 로그에 대한 관련 구문의 주석을 삭제 해주셔야 합니다. 저는 업로드 하는 상황을 위해 쓰기권한의 구문도 주석을 제거 하였습니다. vi /etc/vsftpd.conf 이렇게 되면 서버의 구성은 끝나게 되고 윈도우에서 FTP로 접근하여 업로드 작업을 합니다. 이제 생성된 로그를 확인..

shadow 파일에 대해서 설명하려고 합니다. 패스워드를 암호화 하여 보호하기 위해 만들어진 것으로 기존의 /etc/passwd파일에 있던 비밀번호를 shadow 파일에 암호화하여 저장하게 됩니다. 이 파일은 일반적으로 root만의 접근 권한(읽기)이 존재합니다. 또한 패스워드에 대한 만료, 갱신기간, 최소기간 등의 시간상의 관리정책을 저장하고 있습니다. 위 항목 중 vagrant 계정의 예시로 파일 형식에 대해서 설명 드리도록 하겠습니다. 항목 사용자의 계정명(vagrant) 계정의 이름이 되겠습니다. 암호화된 패스워드 (1. $6 2. $Uibo72vW 3. $qRbq6qfHGmWzw910R2VfEHZO4stVUGNZQ8.M3x6nejaXyMODsAjYXM1schjw5FwGFZR2mVApmtmB8Em..

시스템 분석에서 로그에 대한 관리와 분석은 매우 중요한 부분입니다. 로그는 사용자의 로그인 부터 명령을 수행한 것이나 해커의 침입의 흔적, 또는 보안 솔루션에서 제공하는 로그 등 다양한 분류가 있으며 그 분류를 따지지 않고 분석에서 매우 중요합니다. 이러한 로그에 대한 분석 또한 중요하지만 관리적인 측면에서 정책이 제대로 설정되어 있어야 합니다. 이번에는 윈도우에서의 로그를 확인해보도록 하겠습니다. 윈도우는 유닉스 계열의 운영체제와는 다른 로그 체계를 가지고 있으며, 사실 많은 문제점을 가지고 있어 보안 수준이 낮다고 할 수 있습니다. 윈도우에서 로그는 이벤트라고하며 이벤트뷰어를 통해 확인 할 수 있습니다. 우선 감사정책을 먼저 확인해보도록 하겠습니다. Windows 10을 기준으로 윈도우키를 눌러 검색..