behindthescenes이라는 리버싱 챌린지를 풀어보았음$ ./behindthescenes ./challenge  어떤 패스워드를 입력하면 플래그를 알려주는 방식인듯하다파워쉘 powershell에서 strings 명령어로 대략 내용을 볼 수 있다  챌린지의 패스워드가 HTB{strings} 이런 구조라는 힌트가 있다디컴파일러 IDA에서 살펴보자  지금까지 했던 리버싱 문제들과는 다르게 cmp 조건문으로correct wrong 으로 나뉘는게 아니라 쭉 이어지는 구조다메모리 할당하는 _memset, _sigaction 같은 함수가 호출된다  디컴파일된 모습을 보니까 sigaction 구조체가 선언딘후에 memset으로 초기화된다sigaction() 함수를 호출해서 핸들러가 동작하도록 한다 근데 코..

해당 포스팅은 LetsDefend에서 무료로 제공되는 How to Investigate a SIEM Alert? 코스를 공부하며 정리한 글입니다. DetectionSIEM Alert 경고는 사전 정의된 규칙 알고리즘에 기반해서 SIEM 시스템에서 생성되는 알림이다. 조직의 특정 보안 요구 사항에 맞게 맞춤화할 수도 있는데 정의된 기준에 맞으면 경고를 발생시킨다. 모니터링 페이지부터 살펴보자 Monitoring경고 확인을 위한 대시보드이고, 세 개의 섹션으로 나뉜다main channelinvestigation channelclosed alertsMain Channel 심각도: 낮음, 중간, 높음, 위급으로 구분 날짜: 사건 발생 날짜 (UTC +0) 규칙 이름: 이벤트에 의해 트리거 된 특정 규칙 Even..

명령어  MOV 두 연산자의 크기가 동일해야 한다 Operand 대상은 메모리 공간, 데이터, 레지스터 가능source 피연산자 값을 destination 피연산자로 복사mov DWORD [0x00000100], 0Ah: A=10 이라는 값을 []안에 있는 메모리 주소로 복사한다 mov eax, DWORD [0x00000100]: `[0x00000100]` 안에 있는 값을 eax로 복사한다 [대괄호]가 나오면 주소값으로 생각하기LEASource 피연산자 참조 메모리 주소를 Destination 피연산자 저장 ⇒ 주소 값을 저장 lea eax, [edx+4]  edx = 8: edx+8 =12가 eax에 저장된다 ADDSource 피연산자를 동일한 크기의 Destination 피연산자에 더함 Source ..

해당 포스팅은 LetsDefend에서 무료로 제공되는 SIEM101 코스를 공부하며 정리한 글입니다. Log Collection 로그 수집Log, Logging로그 파일은 운영체제에서 발생한 이벤트나 다른 소프트웨어 실행 과정에서 발생한 이벤트를 기록, 혹은 사용자 간의 메시지 등을 기록한 파일이다. 로깅은 로그를 기록하는 행위를 뜻함. 기본적인 로그에는 시간, source system, 메시지가 포함되는데 예를 들어 우분투에서 /var/log/auth.log 파일을 보면 아래와 같다. 호스트, 방화벽, 서버 로그, 프록시 등에서 수집한 로그를 SIEM으로 보내야 하는데, 로그가 수집되는 경로는 주로 두 가지다Log AgentsAgentlessLog Agents로그 에이전트 소프트웨어가 필요한데, 로그를..

Phising 피싱 공격사용자를 속여 악성 링크를 클릭하게 하거나 악성 파일을 실행하게 하는 공격이다Cyber Kill Chain 모델에서 Delivery 단계에 해당하고, 사전에 준비한 악성 콘텐츠를 피해자에게 전송함   Information Gathering 정보수집스푸핑신분을 도용하거나 숨겨 신뢰할만한 사용자로 위장해 공격자가 다른 사람이름으로 메일을 보내는 공격.SPF, DKIM, DMARC 등의 프로토콜로 발신자 주소를 검증해 방지할 수 있다.스푸핑 여부를 수동으로 확인하기 위해서는 SMTP 주소를 확인해야 함. Mxtoolbox 같은 도구로 도메인의 SPF, DKIM, MX 레코드등을 얻어 스푸핑 여부를 판단한다.자체 메일 서버가 있는 대형 기관이라면 고유의 IP 주소가 있으므로 Whois 기..

레지스터: cpu내에 존재하는 작은 크기의 다목적 저장공간, 물리적으로 가깝기 때문에 CPU가 직접 접근할 수 있고 속도가 빠름. 산술, 논리, 반복, 스택메모리 등 정보 프로그램 실행에 필요한 정보(메모리 주소, 데이터 등)이 있음 반면 메모리(RAM ..)는 더 많은 데이터를 저장할 수 있음 ALU가 계산기라면 레지스터는 메모장, 연습 범용 레지스터(General purpose register)산술/논리 연산에 사용되는 피연산자 정보, 주소 계산을 위한 피연산자 정보, 메모리 포인터 정보를 담고있는 레지스터비트에 따라서 레지스터 명칭도 조금씩 달라진다 32 bits : EAX EBX ECX EDX 16 bits : AX BX CX DX  8 bits : AH AL BH BL CH CL DH DL EA..