시나리오1) 공격자(kali C2) OLE 객체가 삽입된 악성한글 문서를 생성한 다음 인터넷 게시판에 업로드2) 피해자 (windows10)는 이것을 다운로드 하고 실행한다.3) 파일 실행과 동시에 피해자 시스템(windows 10) 에서는 공격자가 미리 msfconsole을 통해 리스너를 준비해둔 kali로 역방향 리버스쉘 연결이 시도된다. 4) 공격자는 이 초기쉘을 통해 피해자의 시스템(windows 10) 내부에 접근 한다.5) 공격자는 미리 제작한 미터프리터 리버스 쉘 페이로드인 google.exe 파일을 C:\Users\Public 경로에 업로드.6) UAC 우회를 위한 권한 상승을 수행하기 위해 Reg ADD 명령어를 이용해 레지스트키를 생성.7) 특정 프로그램을 실행했을 때, 관리자권한으로 ..
- Wazuh의 FIM 기능- 특정 폴더에 FIM 설정 테스트 FIM (File Intergrity Monitoring)파일 무결성 모니터링 기능이다.시스템의 주요 파일 또는 디렉터리 변경을 실시간 감지하며, 단순 변경 기록이 아니라 파일생성, 수정, 삭제, 권한 변경 등의 보안 위협의 징후를 파악하는 데 핵심적인 역할을 한다.- 악성코드로 실행 파일이 변경될 때- 웹쉘이 서버에 업로드될 때- 설정 파일이 외부에서 조작될 때- 정밀 분석 지원 (이전/이후 해시값 비교, 변경된 시각과 사용자 정보) FIM 테스트1) FIM 감시 대상 설정실제 FIM 감시 대상 디렉터리를 설정한다.윈도우 에에전트에서 ossec config 파일을 수정해야한다. 해당 경로의 ossec.conf를 notepad 관리자 권한..
Wazuh의 MITRE ATT&CK 모듈에 대한 분석 기술에 대해 정리했다. - Wazuh의 MITRE ATT&CK 기능 이해- 레지스트리 키를 이용하여 지속성 유지 스크립트를 실행하여 TTPs 매핑 MITRE ATT&CK 개요MITRE ATT&CK 은 실제 사이버 공격자들이 사용하는 전술, 기법, 절차들을 체계적으로 정리해놓은 데이터베이스다. 이 프레임워크는 방어자에게 공격자의 행위를 이해하고 대응 전략을 수립하는데 매우 유용한 기준이 된다. Wazuh는 이런 MITRE ATT&CK을 탐지 시스템에 통합하여 발생한 보안 이벤트들이 어떤 전술과 기법에 해당하는지 자동으로 분류하고, 시각화할 수 있도록 구성되어있다. Wazuh MITRE ATT&CKDashboard Wazuh 대시보드에서 Treat I..
Wazuh Analysis Engine 동작 흐름과 디코더, 룰 구조 및 커스텀 룰 작성 방식에 대한 이해를 작성. - Wazuh Decoder 구조와 원리- Wazuh Rule 기본 구조- Default Rule과 Custom Rule- Wazuh Rule Order Analysis Engine 로그의 라이프사이클은 생성 -> 수집 및 전송 -> 수신 -> 디코딩 -> 롤 평가 -> 경고 생성 단계를 거친다.Analysis Engine 은 Wazuh 서버 내에서 동작하는 핵심 분석 프로세스로 로그를 단순히 저장하는 것이 아니라 위협 가능성을 실시간으로 평가하는 역할을 한다. Wazuh는 수신된 로그 메세지를 일관되게 해석하고 분석하기 위해 디코더를 사용한다.Apache 는 HTTP 로그를, SSH는 로..
Discover에서 로그 필터링 기술을 정리해봤다. 윈도우에서 ubuntu에 ssh 접속 한 로그를 확인해봤다. - Discover 메뉴의 필드 구성 및 DQL(Document Query Language) 필터링 문법 활용- Ubuntu와 Windows 운영체제별 로그 확인- ossec.conf 파일과 log_alert_level 설정 이해 Wazuh alerts는 Wazuh 에서 생성되는 보안 경고 데이터를 저장하는 인덱스다. Wazuh monitoring 은 Wazuh 자체의 상태 및 모니터링 정보를 저장하는 인덱스다. Wazuh statistics는 Wazuh 의 통계 데이터를 저장하는 인덱스다. Wazuh에서 로그를 검색하고 필터링하는 쿼리 언어다. DQL 주요 문법 SSH 접속 테..
Linux 로깅 시스템 구성과 로그 구조 및 보안 관점에서 중요한 로그 파악 방법을 작성했다. - journald 로깅 시스템, 로그 구조, 중요 보안 로그- auditd 로깅 시스템- Apache Log- 로그 로테이션journaldLinux는 systemd라는 init 시스템을 가지고있다. systemd는 리눅스가 부팅될 때 가장 먼저 실행되어 시스템 전체를 초기화하고, 각종 서비스를 켜고 끄는 역할을 한다.journald는 systemd의 구성요소로 systemd의 서비스로그, 커널 메세지, syslog API 메세지 등의 다양한 프로세스에서 생긴 로그들을 수집해서 저장한다.journalctl의 전용 명령어를 통해 다양한 조건으로 로그를 검색할 수 있도록 지원한다. 과거 리눅스는 syslogd 라..
Windows 이벤트 로그 구성와 Sysmon 로그 및 주요 보안 이벤트를 정리한다. - 로그와 개념- Windows의 이벤트 로그- 보안 관점에서 주의 깊게 보아야 할 Event ID- Sysmon 로그 Windows 로그 시스템 Windows는 이벤트 기반 로그 시스템을 사용한다. 모든 것을 실시간으로 기록하는 것은 성능이나 자원 측면에서 비효율적이기 때문이다. 그래서 윈도우는 특정 사건이 발생했을 때만 로그를 기록하는 이벤트 기반 로그 시스템을 갖추고 있다. 여기서 말하는 이벤트란 시스템 내부에서 발생하는 하나의 사건으로, 로그인 성공 및 프로세스 생성, 파일 변경 등이 하나의 이벤트가 된다.각 이벤트들은 위와 같은 EVTX 포멧의 파일로 저장이 된다. 이 EVTX 파일은 XML 구조를 가진 ..
Linux Agent 설정하기 현재 단일 노드 방식으로 설치된 Wazuh 서버로 진행. Wazuh 서버는 192.168.1.100. 초기에는 에이전트가 설치되지 않은 모습이다. ubuntu server (192.168.1.80) 에서 에이전트를 설치해보자dpkg -i ./wazuh-agent_4.11.2-1_amd64.deb 그다음 /var/ossec/etc/ossec.conf 의 Wazuh 설정 파일에서 서버 IP를 입력한다. 그다음 enrollment 태그를 하단에 삽입한다.해당 태그는 에이전트가 서버와 연결될 때 식별 정보 및 인증 정보를 정의하는 섹션이다. 그리고 그 안에 에이전트 네임 태그를 생성하여 해당 우분트 에이전트를 표현할 이름을 지정한다. 이후 설정한 것이 반영되도록 데몬 reloa..