이론악성 MS Office 문서 분석 절차 1. 악성 MS Office 문서 파일 트리아지(분류)- MS Office 파일 내에서 VBA 코드, DDE/DDEAUTO 명령어, 쉘 코드, OLE 객체 포함 여부를 확인2. 악성 스크립트/명령어 확보- 파일 내에 있는 VBA 코드 혹은 스크립트 위치를 파악하여 분석을 위해 추출- 난독화 되어 있을 경우, 난독화를 해제하여 분석이 용이하도록 조치3. 악성 개체 분석- 시스템 상에 생성하거나 실행하는 파일, 추가로 다운로드 하는 파일, 악성코드 배포 서버의 도메인 등을 확인- 코드 분석 과정에서 추가로 식별된 VBA 스크립트, PowerShell 스크립트, 실행 파일, 쉘 코드를 분석- 악성코드 배포 서버로부터 다운로드 되는 데이터가 확보 가능할 경우, 추가로 ..

ls 명령어와 file * 명령어로 디렉토리 내의 내용과 파일 종류를 확인할 수 있다→ 바이너리 구조인 CFBF, Zip 압축 형태인 OOXML 둘다 존재함이 확인됨 다음은 oledump.py 을 사용해서 CFBF 파일을 파싱해보자oledump.py malicious-1012a43.doc  출력 결과를 보면7: M 12289 'Macros/VBA/ThisDocument' 이런식으로 나오는데 여기에 M은 매크로를 의미한다 다음은 ooxml 파일을 파싱해보자 oledump.py malicious-d142f4eb.docx zip 형태인 OOXML 파일을 파싱하니 에러가 발생한다확장자를 zip으로 변경하고 압축해제를 하면 된다 cp malicious-d142f4eb.docx malicious-d142f4eb.z..

저번 포스팅에서 nessus를 처음 사용해보았는데이번에는 테스트 퀴즈를 풀면서 실습능력을 키워보자!  1. Which company created Nessus? 2. Under Scan Templates in Nessus, there is a scan for what type of Ransomware?캡쳐하는걸 까먹었는데 WannaCry가 워낙 유명한 랜섬웨어여서 쉽게 맞힘 3. When creating a new Plugin Rule, what 4 fields do you need to enter? nessus에서 new rule 생성을 들어가니까host, severity, plugin ID, expiration date을 쉽게 찾을 수 있었다.  4. Is there a scan template sp..

Nessus란? Tenable 사에서 개발한 취약점 스캐너툴네트워크 보안을 위한 포트스캐닝 등 취약점 스캐닝을 위해 사용하는데무료로 제공되는 essentials 버전을 사용해도 실습에 무방하다 https://www.tenable.com/downloads/nessus  위의 링크에 들어가서 다운받고 activation code를 발급받는다이 코드는 나중에 설치 과정에서 필요하므로 잘 챙겨놓기    nessus를 다운받은 Downloads 디렉토리로 이동하고deb 파일을 다운로드 받는다 sudo dpkg -i Nessus-10.8.3-ubuntu1604_amd64.debservice nessusd start ## nessus 시작  https://kali:8834/nessus의 로컬 웹 gui 사이트이다여길..

MS Office 문서의 두 가지 포맷CFBF(복합 파일 이진 형식 Compound File Binary Format): 여러 파일과 디렉토리를 하나의 파일에 저장하는 마이크로소프트의 파일형식이고섹터와 클러스터로 이루어져 있는 FATR 구조와 유사함 OOXML(Office Open XML): ZIP 형태로 압축된 xml 기반의 파일 포맷, CFBF의 문제(구조 복잡성, 호환문제)를 해결함메타 정보를 담고있는 XML 파일과 다양한 바이너리 파일이 압축된 형태  CFBFOOXML형식BinaryXML 기반구조FAT 파일 시스템과 유사메타정보를 담은 XML 파일 + 바이너리 파일 압축된 포맷확장자DOX, PPT, HWPDOCX, PPTX, HWPX CFBF 파일의 포맷: root directory와 하위 dir..

해당 포스팅은 Microsoft Learn에서 제공되는 learning path를 학습하며 정리한 글 입니다. Powershell은 플랫폼 간 작업 자동화, 구성 관리에 사용된다. Command-line shell 과 프로그래밍 언어로 구성되어 있는데주로 사용되는 용도들은작업 자동화 및 오케스트레이션 구성 관리 서버 및 클라우드 관리 사용자 정의 도구 제작 스크립팅오늘은 파워쉘 입/출력, 코드 입력 오류 진단, 요소 식별들을 공부해보겠음 New-Item HelloWorld.ps1code HelloWorld.ps1  샌드박스를 사용해도 되지만 이미 powershell이 설치되어 있어서 위 명령어를 실행해보니  vscode에 HelloWorld.ps1 라는 파일이 생성되었다 New-Item이라는 명령어는 ...