Brutus 이번 랩은 리눅스 로그 분석, DFIR에 대해 다뤄볼 예정이고 블루팀 트랙의 첫 번째 머신이다 Intro to Blue Team 트랙은 Defensive 해커들에게 특화된 머신들을 모아놓은 로드맵임워게임이나 챌린지 대부분이 offensive여서 블루팀인 나에겐 너무 소중하다..  auth.log 로그파일 필드 날짜, 시간HostnameServicePIDUserAuthentication StatusIP 주소, 호스트네임1. Analyze the auth.log. What is the IP address used by the attacker to carry out a brute force attack? 공격자가 브루트 포스 공격에 사용한 Ip 주소를 찾는데 'Failed password'가 연속..

일단 문제 파일을 다운로드받고 실행해보니 패스워드 값에 따라 플래그 출력 여부가 나뉜다파일 종류를 보니까 ELF 형식의 파일이다strings [file] 실행파일의 문자열을 출력해보니 누가봐도 패스워드처럼 보이는 문자열이 있다  입력하니 성공적으로 플래그를 찾음 근데 문제를 풀 수 있는 방법이 하나 더 있다바로 ltrace 명령어 사용하기!  ltrace로 패스워드 test를 입력했을때 어떤 과정을 거치는지를 볼 수 있다strcmp 비교하는 함수가 등장하고, test 단어와 s3cr3t ~ 문자열을 비교하므로 이게 패스워드임을 알 수 있다 생각보다 너무 간단하게 풀어서 머쓱하다..

이번에는 실시간 이벤트 뿐만 아니라 엔드포인트 로깅을 보고 여러 엔드포인트에서의 이벤트들을 살펴보고비정상 징후 탐지, 이벤트 수집에 대해 알아보자 Windows Event LogWindows 이벤트 로그는 윈도우 API를 사용해서 XML 형식으로 변환한 raw 데이터다. 이 로그파일의 이벤트들은 .evt .evtx 확장자로 바이너리 포맷으로 저장되며 .evtx 파일은 C:\Windows\System32\winevt\Logs 경로에 위치함이벤트 로그를 살펴볼려면 세 가지 방법을 사용하면 된다Event Viewer(GUI)Wevtutil.exe(CLI)Get-WinEvent(Powershell cmdlet)두 번째 방법을 사용해서 로그를 살펴보자wevtutil gl System /f:xml 시스템 로그 구성..

Endpoint 엔드포인트란?데이터 통신을 위한 네트워크 연결에 사용되는 물리적 혹은 가상 디바이스 Core Windows Processes  core windows processes를 알기 전에 Task Manager의 윈도우 프로세스를 알아보자Task Manager(작업 관리자)는 윈도우의 빌트인 유틸리티이고 윈도우에서 실행 중인 프로세스와 사용 중인 자원(CPU, 메모리)을 확인할 수 있다.> 기호는 프로세스의 부모-자식 관계를 나타냄. 예를 들면 Systme > smss.exe Sysinternals이번엔 윈도우의 백그라운드에서 실행 중인 아티팩트를 분석해 보자, Sysinternals은 70개 이상의 윈도우 기반 툴의 모음이다. 각 기능들은 아래의 카테고리로 분류할 수 있음File and Dis..

이번 juicy details 룸은 공격이 발생한 네트워크 로그 파일을 분석해서공격자가 사용한 기술과 툴, 취약한 엔드포인트, 액세스 된/탈취된 중요 데이터를 파악하면 된다첨부된 로그 파일을 분석해서 알아보자Reconnaissance1. What tools did the attacker use? (Order by the occurrence in the log)  공격자가 사용한 툴을 찾는 문제다. 로그 목록이 엄청 길긴 하지만 Nmap, Hydra, sqlmap 등 툴 이름을 찾을 수 있었다: nmap, hydra, sqlmap, curl, feroxbuster 2. What endpoint was vulnerable to a brute-force attack? brute force 공격에 취약한 엔드포..

Reconnaissance  레콘이란?잠재적 타깃에게 본격적으로 공격을 실행하기 전에 정보를 수집하는 과정을 의미한다. 타깃의 취약점이나 성능과 기능을 파악할 수 있기 때문에 전략을 계획하고 더 정교한 공격을 하는데 도움이 된다레콘은 Active/Passive 이렇데 두 가지로 분류됨Active Reconnaissance: 직접적으로 타깃 지점에 접근해서 정보를 얻을 수 있지만 스스로를 드러내게 됨Passive Reconnaissance: 거리를 두고 정보를 얻는 방식이고 스스로를 드러내지 않으면서 리소스를 얻음 Passive Reconnaissance시스템에 직접적으로 접근하지 않고 공개 소스에서 데이터를 얻거나 스스로를 나타내지 않은 채 트래픽을 인터셉트하는 방식이다. 이외에도 Wireshark를 이..