'정보보안/침해대응' 카테고리의 글 목록

정보보안/침해대응 (3)

Apache log4j 취약점 CVE-2021-44228 POC

정보보안/침해대응 알 수 없는 사용자 2021. 12. 15. 20:40

log4j는 프로그래밍 중 로그를 남기 위해 사용하는 자바 기반 로깅 유틸리티이며, 특정 OS에 국한되지 않고, 자바 기반의 모든 상용 프로그램(웹캠, 네비게이션, 의료 장비)등에 사용되므로 위험도가 높습니다. 해당 취약점은 2021년 12월 9일에 발표, CVSS에서 score 10으로 보고되었습니다. JNDI와 LDAP을 이용해 Java 객체를 찾을 수 있고, ldap://localhost:1389=JNDITutorial을 접속하면 LDAP 서버에서 JNDITutorial 객체를 조회 할 수 있습니다. 이번 사태에 치명적이게 된 이유가 log4j에서 편의를 위해 사용하던 ${prefix:name} 형식으로 Java 객체를 볼 수 있게 하는 문법이 존재하기 때문입니다. ex) {java:version}..

윈도우 침해사고 아티팩트 이벤트 로그 분석 방법

정보보안/침해대응 알 수 없는 사용자 2020. 11. 3. 10:45

2020/11/01 - [정보보안/침해대응] - 침해사고 초기 대응 - 윈도우 [메모리, 아티팩트, 디스크 덤프] 수집 침해사고 초기 대응 - 윈도우 [메모리, 아티팩트, 디스크 덤프] 수집 침해사고 초기 대응 침해사고 발생 시 해당 LAN선만 제거 후 침해사고대응팀에게 신고한다. 보통 LAN선과 컴퓨터를 종료하고 신고하는 경우가 많은데, 컴퓨터 종료 시 Volatility Evidence가 다 날아가 isacacia.tistory.com 위에 글에서 아티팩트 정보를 수집하는 방법에 대해 알아보았는데, 이번 글에서는 아티팩트 정보들에서 점검하는 항목들을 알아보자. MFT 분석 MFT는 Master File Table의 약자로 NTFS 파일 시스템에 존재하는 모든 폴더, 파일의 메타 데이터 정보를 저장한다..

침해사고 초기 대응 - 윈도우 [메모리, 아티팩트, 디스크 덤프] 수집

정보보안/침해대응 알 수 없는 사용자 2020. 11. 1. 13:45

침해사고 초기 대응 침해사고 발생 시 해당 LAN선만 제거 후 침해사고대응팀에게 신고한다. 보통 LAN선과 컴퓨터를 종료하고 신고하는 경우가 많은데, 컴퓨터 종료 시 Volatility Evidence가 다 날아가기 때문에 침해사고 분석이 더욱더 어려워진다. 그럼 Volatility Evidence에는 어떤 것들이 있는지 알아보자. ＃1 시스템 정보 1. 시스템 시간 2. 클립보드 데이터 3. 실행중인 프로세스 정보 4. 현재 로그인한 계정 정보 5. 콘솔 명령 6. 메모리 덤프 ＃2 네트워크 정보 1. ARP 테이블 2. IP, DNS 설정 정보 3. 통신중인 프로세스 4. 네트워크 환경 설정 5. 라우팅 테이블 6. 원격 사용자 정보 7. 원격 접근 파일 시스템 메모리 덤프 수집 메모리 덤프를 간단하..

1

Copyright © ML All Rights Reserved

Designed by JB FACTORY