목록Project/Program (49)
선릉역 1번 출구
[adventofcyber2023] - Day_11_Active Directory Jingle Bells, Shadow Spells
Story: AntarctiCrafts의 조직은 일부 사용자가 너무 많은 권한을 가지고 있음 목표: Active Directory 이해, 비지니스용 Windows Hello 소개, GenericWrite 권한을 활용하기 위한 전제 조건 이해, Shadow Credentials 공격의 작동 방식 이해, 취약점 악용하는 방법 공부 1. Active Directory - AD는 Windows 환경에서 기업이 주로 사용하는 시스템으로 중앙 집중식 인증 시스템임 - DC(도메인 컨트롤러)는 AD의 핵심이며 일반적으로 도메인 내 데이터 저장, 인증 및 권한 부여를 관리함 - AD는 각각 특정 속성과 권한을 가진 사용자, 그룹, 컴퓨터 등의 개체를 포함하는 디지털 데이터베이스임 2. WHfB(Windows Hello..
[adventofcyber2023] - Day_10_ SQL injection Inject the Halls with EXEC Queries
Story: Best Festival Company는 회사 웹사이트인 bestfestival.thm이 올해 크리스마스 상황에 대한 일부 정보를 노출하고있다는 보고를 받고 보안센터가 이를 조사한 결과 웹사이트가 하이재킹되어 손상된 것을 확인함 목표: SQL Injection 취약점을 이해하고 식별하기, 누적된 쿼리를 활용해 SQL Injection을 원격 코드 실행으로 전환하기 1. SQL - SQL는 RDBMS 작업과 동적 웹사이트 구축에 필수적임 - 명시적으로 SQL을 사용하지 않아도 일상 생활 속에서 간접적으로 사용하고 있음 - 영어를 기반으로 특정 키워드(select, from, where, join)를 사용해 언어와 유사한 방식으로 작업을 표현하는 구조화된 명령으로 구성 2. PHP - 웹개발에서..
[adventofcyber2023] - Day_9_Malware analysis She sells C# shells by the C2shore
Story: 원격으로 제어할 수 있는 악성코드 소스코드를 기반으로 C2의 백엔드 인프라를 분석해 복수할 계획 목표: 악성코드 샘플을 안전하게 분석하기 위한 기초, .NET 바이너리의 기본 사항, .NET으로 작성된 악성 코드 샘플을 디컴파일하기 위한 dnSpy 도구, 악성코드 소스코드 분석을 위한 필수 방법론 구축 1. 악성코드 샌드박스 - 실제 컴퓨터처럼 작동하는 가상 컴퓨터 설정과 같음 - 전문가가 맬웨어를 테스트하고 위험 없이 작동할 수 있는지 확인 할 수 있음 - 일반적인 환경 설정 네트워크 제어 : 맬웨어가 생성하는 네트워크 트래픽을 제한하고 모니터링함 가상화 : Hyper-V와 같은 기술을 사용해 통제되고 격리된 환경에서 실행 모니터링 및 로깅 : 시스템 상호 작용, 네트워크 트래픽, 파일 수..
[adventofcyber2023] - Day_8_Disk forensics Have a Holly, Jolly Byte!
Story: Best Festival Company와 AntarctiCrafts의 합병이 마무리되고 Tracy McGreedy는 비밀리에 Malicious한 행위를 계획함. 그의 조수인 Van Sprinkles는 주춤하며 사이버 공격을 시작하다 McSkidy의 팀이 McGreedy의 악행을 막는 것을 도와주는데... 목표: FTK Imager를 사용해 디지털 artefacts와 evidence 분석하기, 삭제된 디지털 유물과 증거 복구하기, 증거로 사용된 드라이브/이미지의 무결성 확인하기 1. 악성 USB 분석하기 - 먼저 쓰기를 차단하고 시스템에 연결된 USB를 복제함 - FTK Imager 원본 증거에 영향을 주지 않고 컴퓨터 데이터를 수집하고 분석을 수행할 수 있도록 하는 도구 원본 증거의 진위성,..
[adventofcyber2023] - Day_7_Log analysis ‘Tis the season for log chopping!
Story: 인수 과정에서 자신을 지역 관리자로 강등시킨 회사에 대한 복수를 위해 Tracy McGreedy는 다크 웹에서 다운로드한 악성코드인 CrypTOYminer를 모든 워크스테이션과 서버에 설치함. McGreedy에게 알려지지 않은 사실은 해당 악성코드에는 데이터 도용 기능이 포함되어 있어 악성코드작성자가 데이터를 갈취할 수 있다는 것임. 악성코드가 실행되어 비정상적인 트래픽이 발생하는 지금, 대규모의 데이터 대역폭이 네트워크를 움직이는 것으로 관찰되는데... 목표: 로그 파일과 그 중요성을 다시 살펴보기, 프록시가 무엇인지 이해하고 프록시 로그의 내용을 분석하기, 로그 항목을 수동으로 구문 분석하는 Linux 명령주 ㄹ기술 구축하기, 일반적인 사용 사레를 기반으로 프록시 로그 분석하기 1. Lo..
[adventofcyber2023] - Day_6_Memory corruption Memories of Christmas Past
Story: 코드가 표준에 부합하는지 확인하기 위해 남극의 일부 Frostings는 B팀의 지원을 받아 메모리 손상 취약성에 대해 빠른 교육 세션을 받게 됨 목표: 특정 언어가 어떻게 메모리를 안전하게 처리하지 못하는 지 이해하기, 변수가 인접한 메모리로 overflow되는 것 이해하기, buffer overflow를 통해 액세스해서는 안 되는 메모리를 직접 변경해보기 1. Memory corruption - 프로그램을 실행할 때 모든 프로그램은 RAM으로 올라감 - 메모리에 저장된 각 변수는 개발자가 의도한 대로 특정 방식으로만 조작이 가능하나, 특정 변수의 메모리 부분을 수정한다면 영향을 미칠 수 있음 2. Accessing the Debug Panel -*특정 변수의 메모리 레이아웃을 관찰해보자 -..