Easy 난이도를 넘어서 이번엔 Medium레벨의 챌린지로 넘어갔다Wireshark에 pcap 파일을 로드해서 악성 네트워크 트래픽 분석을 해보자 Tryhackme vpn에 연결해서 가상머신에 연결한 환경에서 진행했다 1. What was the date and time for the first HTTP connection to the malicious IP? 1. 필터에 http 적용2. 시간순으로 정렬3. 하단 섹션의 arrival time 에 있는 시간 확인 2. What is the name of the zip file that was downloaded? 같은 네트워크 파켓의 HTTP 섹션을 살펴보자GET 메소드를 사용해서 documents.zip 파일을 다운로드 받은게 보인다 3. What..

MITRE 테크닉/기술을 전술기준으로 분류한 표를 의미함.열 Column은 전술, 행 Row는 전술 수행에 사용되는 테크닉 정보를 담고있다Enterprise, Mobile, ICS(산업제어시스템) 버전으로 각각 분류되어 제공된다 첫번째에 있는 레콘을 살펴보자   Reconnaissance는 테크닉에 해당하고 아래 테이블에 있는 Scanning IP Blocks는 서브테크닉이다더 내려가보면 레콘이 단순히 타깃의 정보를 찾는다는 개념에서 더 깊이 들어가서네트워크 구조 Topology, DNS, 도메인 정보 수집까지 포함한다는걸 알 수 있다  Mitigations TTPs에 맞게 적용할 수 있는 대응책 Mitigations 매커니즘과 전략이 있다  MITRE Tactics enterprise 기준 tactic..

플래그를 출력하는 패스워드를 찾아보자디컴파일하기 전에 칼리리눅스에서 파일을 실행했다 chmod +x [filename]./[filename]실행권한을 부여하는거 잊지말기!  일단 테스트로 username을 admin으로 입력하고 시도해보니 실패한다IDA에서 정적분석을 해보겠음  strcmp 함수가 등장하는걸로 보니 문자열 비교를 하는 기능이 있을듯이번엔 디컴파일해보자  플래그에 해당하는 THM{}는 찾았는데 반복문으로는 힌트를 딱히 못 찾음조건값에 해당하는 값을 decrypt해봐도 해당하는 문자는 못 찾았다다시 칼리 리눅스로 돌아가보자  깃허브 URI 다음에 등장하는 AGB6~ 이게 패스워드가 아닐까저번 리버싱에서 썼던 ltrace 명령어를 활용해서 테스트 ltrace ./file.exe admin st..

유료버전을 구독하지 않고 가상머신에 연결하기 위해서는 OpenVpn으로 Tryhackme에 연결해야 한다이걸로 은근히 애먹는 경우가 있고 나도 예전에 어려움을 겪어서 기록 차원으로 남겨놓겠음  1. OpenVPN 설치https://openvpn.net/client/client-connect-vpn-for-windows/ OpenVPN Connect - Client Software For Windows | OpenVPNDownload OpenVPN Connect for Windows. Secure and reliable VPN client software with easy setup.openvpn.net 가이드에서는 OpenVPN GUI를 설치하라고 하는데 난 그냥 OpenVPN Connect를 설치했다결..

IOCs(Indicator Of Compromise) 침해지표시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 나타내는, 침해사고 분석에 사용되는 네트워크 혹은 운영체제의 아티팩트특정 위협이나 공격의 발생의 판단을 위한 시그너처로 활주로 사용되는 정보에는 해시값, 파일 이름 및 경로, C2 도메인, IP 주소, URL, 레지스트리 키 등IOC 예시: 네트워크 트래픽 비정상, 비정상 로그인 시도, 동일한 파일에 다수의 접근 시도, 수상한 DNS 요청 IOCs 식별 및 대응 방법디지털 공격 징후는 로그 파일에 기록되고 주기적으로 디지털 시스템의 수상한 활동을 모니터링한다. SIEM, XDR 솔루션이 이런 과정을 AI, ML로 프로세스화하고 비정상징후 경고알림을 생성하기도 한다. 보안팀에서 IOC를 탐..

MITRE ATT&CK이란실제 공격 사례들을 특성, 기법, 절차 목표, 위험성 등을 기준으로 분류하여 정리한 지식 정리본이다. 해당 기술 자료를 활용해서 인프라의 보안 상태를 확인하고 threat modelling 방법론을 개발하기도 한다. Microsoft Sentinel에서 MIRE 페이지가 있어서 프레임워크를 확인하고 활성화된 분석 규칙을 활용할 수 있다. https://www.fortinet.com/kr/resources/cyberglossary/mitre-attck Mitre Att&CK 프레임워크란 무엇이며 어떻게 유용합니까? | 포티넷MITRE ATT&CK의 정의, 다양한 요소, 네트워크 보안을 분석하는 데 사용할 수 있는 방법을 알아보십시오.www.fortinet.com  공격 취약점 중심..