활성 데이터? 실행중인 프로세스, 연결 중인 네트워크, 현재 로그인 중인 사용자 현재 시스템 시소스 상황, 현재 전송 중인 패킷, 클립보드에 저장된 데이터, 메모리 등 시스템 전원이 켜져있고 살아있는 상태의 데이터를 말함. 휘발성 민감도/중요도에 따른 수집순서 물리메모리가 가장중요. 모든 활성 메모리가 저장되는 곳이 메모리 이기때문. 활성메모리를 수집하기위한 분석도구/스크립트 - BITLIVE_WIN 관리자 권한으로 cmd를 실행하고 BITLIVE_win.bat이 저장된 위치에서 BITLIVE_win.bat 스크립트를 실행해준다. 스크립트 중 일부, 다음의 형태로 스크립트가 동작하며 활성 데이터를 수집한다. 수집 행위에 대해 출력, 로깅, 수집명령어를 파일로 리다이렉션 스크립트를 실행시키면 먼저 프리패치..

파일카빙? 메타정보를 이용하지않고 파일의 시그니처를 이용하여 복구하는 방식. 분석도구 - winhex tools - opendisk pc의 c드라이브이미지를 분석하기 적절치 않았기 때문에 분석 파일인 rat-d1 파일을 분석함. partition1, 2로 나뉘어져 있는데 100MB에 윈도우 운영체제와 파일이 모두 들어가 있을수 없으므로 2를 선택한다. free space - 현재는 사용하지 않는 영역을 도구에서 모아서 파일형태로 제공. 삭제된 파일 등을 확인할 수 있다. 파일카빙을 위해 tools - disk tools - file recovery by type 을 선택함. 도구에서 가지고있는 파일의 시그니처가 출력된다. 파일카빙을 위해 시그니처 jpeg, png를 선택하고 결과를 저장할 output p..

포트스캔? 포트스캔이란 운영중인 서버에 열려있는 TCP/UDP 포트를 검색하는 행위. 취약점 점검이나 공격을 위한 정보수집에 활용될 수 있다. nmap 명령어를 활용해 스캔할 수 있다. 스캔하여 많은 포트가 열려있으면 취약하다고 볼 수 있음. 포트스캐닝 종류 - TCP CONNECT, SYN, FIN, NULL, XMAS 등 다양한 기법들이 있다. -UDP SCAN 스캔시 초당 1개의 메시지에 ICMP 도달불가 메시지 전송가능. 스캔을 병렬로처리, 자주사용되는 포트에 대해 스캔, 방화벽 뒤에서 스캔, host-timeout 수행 ex) nmap -sU -p 53, 161 포트 지정법 -p port_range - ex) 1-1024 사전에 정의된 포트번호 스캔 -F - 100개의 잘 알려진 포트스캔 -r ..

ARP 취약점? ARP 요청이 없어도 응답이 가능함. ARP 응답을 보낸 사람이 누구인지 검증할 수단이 없음 => ARP 프로토콜자체에 취약점으로 인해 동일 네트워크에서 스푸핑 취약점 발생. 1. ettercap을 실행하면 동일 네트워크의 호스트들을 스캔할 수있다. 2. arp 스푸핑 공격 대상 192.168.175.183, 192.168.175.232를 Add to target1,2에 등록한다. 3. target -> current taget에서 확인이 가능. 4. mitm -> arp poisoning 클릭 후 sniff remote connection선택 5. 192.168.175.232 -> 192.168.175.183 으로 텔넷접속 6. 공격자(칼리)에서 접속을 확인가능함 .232에서 .183으..

APR? 네트워크 주소를 링크계층 주소 IP -> MAC으로 대응시켜주는 프로토콜 내부네트워크에서는 IP가 아닌 MAC으로 통신이 이루어진다. ARP 동작원리 1. 192.168.0.3의 MAC주소를 알기위해 네트워크에 ARP REQUEST 패킷을 브로드 캐스트한다. 타겟의 맥주소는 모르기 때문에 00-00-00으로 설정 2. ARP 요청을 받은 PC는 샌더 IP와 MAC을 ARP테이블에 저장함. 3. VICTIM2 는 자신의 MAC과 IP주소를 ARP응답 패킷에 설정하여 ARP요청패킷에 받은 MAC과 IP주소를 타겟 주소에 설정하여 응답한다. 응답시 유니캐스트로 응답한다. 4. VICTIM1의 APR테이블에 VICIM2의 IP, MAC이 저장됨.

다음의 명령어를 활용해 생성가능한 악성코드의 종류를 볼 수있다. 생성할 악성코드의 페이로드의 목록을 확인가능. 원하는 행위를 하는 악성코드 생성가능. vba 악성코드를 생성하여봤고 cat명령어를 통해 생성된 악성코드가 확인가능함