해당 포스팅은 LetsDefend에서 무료로 제공되는 How to Investigate a SIEM Alert? 코스를 공부하며 정리한 글입니다. DetectionSIEM Alert 경고는 사전 정의된 규칙 알고리즘에 기반해서 SIEM 시스템에서 생성되는 알림이다. 조직의 특정 보안 요구 사항에 맞게 맞춤화할 수도 있는데 정의된 기준에 맞으면 경고를 발생시킨다. 모니터링 페이지부터 살펴보자 Monitoring경고 확인을 위한 대시보드이고, 세 개의 섹션으로 나뉜다main channelinvestigation channelclosed alertsMain Channel 심각도: 낮음, 중간, 높음, 위급으로 구분 날짜: 사건 발생 날짜 (UTC +0) 규칙 이름: 이벤트에 의해 트리거 된 특정 규칙 Even..

명령어  MOV 두 연산자의 크기가 동일해야 한다 Operand 대상은 메모리 공간, 데이터, 레지스터 가능source 피연산자 값을 destination 피연산자로 복사mov DWORD [0x00000100], 0Ah: A=10 이라는 값을 []안에 있는 메모리 주소로 복사한다 mov eax, DWORD [0x00000100]: `[0x00000100]` 안에 있는 값을 eax로 복사한다 [대괄호]가 나오면 주소값으로 생각하기LEASource 피연산자 참조 메모리 주소를 Destination 피연산자 저장 ⇒ 주소 값을 저장 lea eax, [edx+4]  edx = 8: edx+8 =12가 eax에 저장된다 ADDSource 피연산자를 동일한 크기의 Destination 피연산자에 더함 Source ..

해당 포스팅은 LetsDefend에서 무료로 제공되는 SIEM101 코스를 공부하며 정리한 글입니다. Log Collection 로그 수집Log, Logging로그 파일은 운영체제에서 발생한 이벤트나 다른 소프트웨어 실행 과정에서 발생한 이벤트를 기록, 혹은 사용자 간의 메시지 등을 기록한 파일이다. 로깅은 로그를 기록하는 행위를 뜻함. 기본적인 로그에는 시간, source system, 메시지가 포함되는데 예를 들어 우분투에서 /var/log/auth.log 파일을 보면 아래와 같다. 호스트, 방화벽, 서버 로그, 프록시 등에서 수집한 로그를 SIEM으로 보내야 하는데, 로그가 수집되는 경로는 주로 두 가지다Log AgentsAgentlessLog Agents로그 에이전트 소프트웨어가 필요한데, 로그를..

Phising 피싱 공격사용자를 속여 악성 링크를 클릭하게 하거나 악성 파일을 실행하게 하는 공격이다Cyber Kill Chain 모델에서 Delivery 단계에 해당하고, 사전에 준비한 악성 콘텐츠를 피해자에게 전송함   Information Gathering 정보수집스푸핑신분을 도용하거나 숨겨 신뢰할만한 사용자로 위장해 공격자가 다른 사람이름으로 메일을 보내는 공격.SPF, DKIM, DMARC 등의 프로토콜로 발신자 주소를 검증해 방지할 수 있다.스푸핑 여부를 수동으로 확인하기 위해서는 SMTP 주소를 확인해야 함. Mxtoolbox 같은 도구로 도메인의 SPF, DKIM, MX 레코드등을 얻어 스푸핑 여부를 판단한다.자체 메일 서버가 있는 대형 기관이라면 고유의 IP 주소가 있으므로 Whois 기..

레지스터: cpu내에 존재하는 작은 크기의 다목적 저장공간, 물리적으로 가깝기 때문에 CPU가 직접 접근할 수 있고 속도가 빠름. 산술, 논리, 반복, 스택메모리 등 정보 프로그램 실행에 필요한 정보(메모리 주소, 데이터 등)이 있음 반면 메모리(RAM ..)는 더 많은 데이터를 저장할 수 있음 ALU가 계산기라면 레지스터는 메모장, 연습 범용 레지스터(General purpose register)산술/논리 연산에 사용되는 피연산자 정보, 주소 계산을 위한 피연산자 정보, 메모리 포인터 정보를 담고있는 레지스터비트에 따라서 레지스터 명칭도 조금씩 달라진다 32 bits : EAX EBX ECX EDX 16 bits : AX BX CX DX  8 bits : AH AL BH BL CH CL DH DL EA..

introEXE파일은 혼자 일할 수 X → DLL에 정의된 API을 호출해야 함→ PE-COFF 파일에는 참조해야 하는 DLL, API 관련 정보들을 구조화하는데 이를 임포트 테이블이라고 함임포트테이블에 바인딩 때문에 저장매체에서와 메모리에서 실행될 때 내용이 약간 달라진다 CFF Explorer를 사용해서 임포트 테이블의 위치를 살펴보자CFF ExplorerOptional Header 안에 위치한 데이터 디렉토리에 export/import/TLS 에 관한 정보가 있고 해당 정보들이 존재하는 포인터와 사이즈 정보가 있다 Nt Header\Optional Header\Data Directories에 들어가니 export\import 디렉토리 정보가 뜬다00007000은 절대주소가 아닌 오프셋이므로 파일의 ..