시나리오1) 공격자(kali C2) OLE 객체가 삽입된 악성한글 문서를 생성한 다음 인터넷 게시판에 업로드2) 피해자 (windows10)는 이것을 다운로드 하고 실행한다.3) 파일 실행과 동시에 피해자 시스템(windows 10) 에서는 공격자가 미리 msfconsole을 통해 리스너를 준비해둔 kali로 역방향 리버스쉘 연결이 시도된다. 4) 공격자는 이 초기쉘을 통해 피해자의 시스템(windows 10) 내부에 접근 한다.5) 공격자는 미리 제작한 미터프리터 리버스 쉘 페이로드인 google.exe 파일을 C:\Users\Public 경로에 업로드.6) UAC 우회를 위한 권한 상승을 수행하기 위해 Reg ADD 명령어를 이용해 레지스트키를 생성.7) 특정 프로그램을 실행했을 때, 관리자권한으로 ..

- Wazuh의 FIM 기능- 특정 폴더에 FIM 설정 테스트 FIM (File Intergrity Monitoring)파일 무결성 모니터링 기능이다.시스템의 주요 파일 또는 디렉터리 변경을 실시간 감지하며, 단순 변경 기록이 아니라 파일생성, 수정, 삭제, 권한 변경 등의 보안 위협의 징후를 파악하는 데 핵심적인 역할을 한다.- 악성코드로 실행 파일이 변경될 때- 웹쉘이 서버에 업로드될 때- 설정 파일이 외부에서 조작될 때- 정밀 분석 지원 (이전/이후 해시값 비교, 변경된 시각과 사용자 정보) FIM 테스트1) FIM 감시 대상 설정실제 FIM 감시 대상 디렉터리를 설정한다.윈도우 에에전트에서 ossec config 파일을 수정해야한다. 해당 경로의 ossec.conf를 notepad 관리자 권한..

Wazuh의 MITRE ATT&CK 모듈에 대한 분석 기술에 대해 정리했다. - Wazuh의 MITRE ATT&CK 기능 이해- 레지스트리 키를 이용하여 지속성 유지 스크립트를 실행하여 TTPs 매핑 MITRE ATT&CK 개요MITRE ATT&CK 은 실제 사이버 공격자들이 사용하는 전술, 기법, 절차들을 체계적으로 정리해놓은 데이터베이스다. 이 프레임워크는 방어자에게 공격자의 행위를 이해하고 대응 전략을 수립하는데 매우 유용한 기준이 된다. Wazuh는 이런 MITRE ATT&CK을 탐지 시스템에 통합하여 발생한 보안 이벤트들이 어떤 전술과 기법에 해당하는지 자동으로 분류하고, 시각화할 수 있도록 구성되어있다. Wazuh MITRE ATT&CKDashboard Wazuh 대시보드에서 Treat I..

Wazuh Analysis Engine 동작 흐름과 디코더, 룰 구조 및 커스텀 룰 작성 방식에 대한 이해를 작성. - Wazuh Decoder 구조와 원리- Wazuh Rule 기본 구조- Default Rule과 Custom Rule- Wazuh Rule Order Analysis Engine 로그의 라이프사이클은 생성 -> 수집 및 전송 -> 수신 -> 디코딩 -> 롤 평가 -> 경고 생성 단계를 거친다.Analysis Engine 은 Wazuh 서버 내에서 동작하는 핵심 분석 프로세스로 로그를 단순히 저장하는 것이 아니라 위협 가능성을 실시간으로 평가하는 역할을 한다. Wazuh는 수신된 로그 메세지를 일관되게 해석하고 분석하기 위해 디코더를 사용한다.Apache 는 HTTP 로그를, SSH는 로..

Discover에서 로그 필터링 기술을 정리해봤다. 윈도우에서 ubuntu에 ssh 접속 한 로그를 확인해봤다. - Discover 메뉴의 필드 구성 및 DQL(Document Query Language) 필터링 문법 활용- Ubuntu와 Windows 운영체제별 로그 확인- ossec.conf 파일과 log_alert_level 설정 이해 Wazuh alerts는 Wazuh 에서 생성되는 보안 경고 데이터를 저장하는 인덱스다. Wazuh monitoring 은 Wazuh 자체의 상태 및 모니터링 정보를 저장하는 인덱스다. Wazuh statistics는 Wazuh 의 통계 데이터를 저장하는 인덱스다. Wazuh에서 로그를 검색하고 필터링하는 쿼리 언어다. DQL 주요 문법 SSH 접속 테..

Linux Agent 설정하기 현재 단일 노드 방식으로 설치된 Wazuh 서버로 진행. Wazuh 서버는 192.168.1.100. 초기에는 에이전트가 설치되지 않은 모습이다. ubuntu server (192.168.1.80) 에서 에이전트를 설치해보자dpkg -i ./wazuh-agent_4.11.2-1_amd64.deb 그다음 /var/ossec/etc/ossec.conf 의 Wazuh 설정 파일에서 서버 IP를 입력한다. 그다음 enrollment 태그를 하단에 삽입한다.해당 태그는 에이전트가 서버와 연결될 때 식별 정보 및 인증 정보를 정의하는 섹션이다. 그리고 그 안에 에이전트 네임 태그를 생성하여 해당 우분트 에이전트를 표현할 이름을 지정한다. 이후 설정한 것이 반영되도록 데몬 reloa..

보안 사고는 외부만의 문제가 아니라 내부자의 부주의, 잘못된 설정, 클릭 한 번의 실수로도 사고가 발생할 수 있다. 기존의 백신 시그니처 탐지는 한계에 도달했고, 최신 공격은 지능적이며 패턴을 찾기가 힘들다. 따라서 시그니처 기반은 과거 공격 패턴에만 반응하여 새로운 위협은 탐지할 수 없다. 누가, 언제, 어떤 권한으로 무엇을 실행했는지를 실시간 분석하여 행위를 기반으로 탐지하는 것이 추가적으로 필요하다. 단말 보안 솔루션의 역할? 조직의 정보자산을 외부 공격, 내부 위협, 기술적 오류 등 다양한 위험 요소로부터 보호하기 위해 사용하는 소프트웨어 또는 하드웨어 기반의 보안 솔루션 기술이다. 또한 공격을 차단하는 동시에 공격이 성공했을 경우에도 비즈니스 연속성과 복원력을 보장한다. Wazuh는 통합 위협 ..