본문 바로가기

computer forensics

멀웨어 Datper의 흔적을 조사하는 ~ 로그 분석 도구 (Splunk · ELK 스택)를 활용 한 조사 Splunk 편 먼저 Splunk에서 Datper 통신 로그를 추출하기 위해 다음에 서술 방식으로 사용자 검색 명령을 만듭니다. 이 방법으로 만든 명령은 Splunk 6.3 이상에서 사용할 수 있는지 확인합니다.Splunk 사용자 지정 검색 명령 작성 및 조사 사용자 지정 검색 명령을 다음과 같이 작성하십시오. 보다 상세한 절차에 대해서는 Splunk Documentatio [1] 을 참고하십시오.Splunklib 설치 다음과 같은 Web 페이지에서 SplunkSDK (SoftwareDevelopmentKit) for Python을 다운로드하고 그 안에 포함되어있는 splunklib 폴더를 $ SPLUNK_HOME / etc / apps / search / bin에 복사합니다. Splunk SDK for.. 더보기
The Sleuth Kit 4.4.2 and Autopsy 4.4.1 have been released New versions of your favourite open source DFIR tools – the Sleuth Kit and Autopsy, – have been released. The Sleuth Kit 4.4.2 New Features: usnjls tool for NTFS USN log (from noxdafox)Added index to mime type column in DBUse local SQLite3 if it exists (from uckelman-sf)Blackboard Artifacts have a shortDescription methoBug Fixes: Fix for highest HFS+ inum lookup (from uckelman-sf)Fix ISO9660 cra.. 더보기
Nullcon ctf MISC 300 artefact 파일 문제 풀이 아래 명령어로 파일 확인xz 파일 형태 xz 는 무손실 데이터 압축 프로그램 및 LZMA2 압축 알고리즘 파일 형식이다.XZ는 7-Zip 프로그램의 축소 된 버전으로 간주 할 수 있다.참고 링크 : https://ko.wikipedia.org/wiki/Xz 파일확장자를 xz 형태로 바꿈 unxz 명령어를 이용 압축해제 file 명령어 이용 파일 확인Linux rev 1.0 ext3 확인됨 extundelete artefact --restore-all 명령어로 파일 복구 ls 명령어 이용 복원된 파일 확인파일 복원 된 것을 확인 .junk files 파일 찾는다 . flag text is somewhere inside ./ts8U/c0pmcYvxe 여기를 확인하여 본다. 파.. 더보기
Acquiring Linux Memory from a Server Far Far Away In the past it was possible to acquire memory from linux systems by directly imaging (with dd) psudo-device files such as /dev/mem and /dev/kmem. In later kernels, this access was restricted and/or removed. To provide investigators and system administrator’s unrestricted access, loadable kernel modules were developed and made available in projects such as fmem and LiME (Linux Memory Extractor). .. 더보기
DDos Syn 패킷 분석 첫째, 우리는 SYN 공격 이 무엇인지 이해해야한다 . 우리 공격자의 IP 주소의리스트를 보내기때문에 (임의의 순서로, 공백으로 구분) 그래서 우리는 그들을 추적하고 그들을 막을 수 있습니다 한 번에 플래그 SYN = 1 많은 패킷을 전송 하기 때문에 서버는 현재 과부하 상태이다.pacp 파일을 열어서 Open pcap with Wireshark > Statics > Conversations 탭을 열게 되면 다음과 같이 보이게 된다. Server (victim): 128.237.255.81 인것을 확인 할 수 있고 필터링을 통해 아래와 같이 확인 합니다.Use filter to filt all packets from attack:tcp && ip.dst == 128.237.255.81 && tcp.fla.. 더보기
네트워크 포렌식 (backdoor) 아래 봇 서버에서 감염된 .DLL 파일을 실행에 의해 시작 악성 트래픽에 PCAP 분석하는 솔류션을 통해 pcap 파일을 얻게 되었다.해당 pacp 파일을 snorby 브라우저를 통해서 확인 하였다. 이 쉘 코드에 대한 표시 언뜻 보면 CPU를 통해 NOOP을 썰매로 사용 버퍼 오버플로 공격.한걸로 보여진다.1. 클라이언트가 손상되었다 원래 웹 요청의 전체 URI는 무엇인가?문제를 주어진 5 대의 서버가 있었다. 그들 중 네 쿠키 쉘 코드 및 잠재적 인 버퍼 오버 플로우 탈취 (209.85.143.100, 209.85.143.18와 92.122.126.216)의 문제를 제공했다. 그러나 단 하나의 (10.20.0.111) 클라이언트 실행 파일을 보내거나 쉘 코드 (그림 27)를 통해 dll을. 클라이언트.. 더보기
네트워크 포렌식 문제 스니핑을 통해 패킷을 얻었다 flag를 찾아보아라 frame contains flag 필터를건후 아래 패킷을 살펴 본다 위에 필터링이 이루진 것을 살펴 보니 base64 형태이고 base64 encode/decode 형태로 이루어진 python 형태의 소스코드를 살펴 볼수 있다. 소스코드를 더 상세히 살펴 보기 위해서 sublime text에서 살펴 보자 base64 인코딩, caesar 암호 및 ROT13 기능 - 우리는 세 가지 다른 암호화 / 인코딩 루틴을 사용할 수 있다는 것을 참조우리가 입력을 인코딩하고 "2"를 앞에 추가 64 기수로 시작 것 같습니다. (기본값은 50) 지정된 후, 여러 번, 우리는 랜덤 함수를 선택하고 현재의 입력에서 실행합니다.우리의 반전에 중요한 줄은 TMP이다 = '{.. 더보기
The Pmem Memory acquisition suite. The Rekall project has maintained a set of open source memory acquisition tools for a while now. After all, Memory acquisition is the first step in memory analysis. Before any analysis can be done, we need to acquire the memory in the first place. There are a number of commercial solutions to acquire memory, but sadly open source solutions have been abandoned or not maintained (For example win32.. 더보기
Hunting and Decrypting Communications of Gh0st RAT in Memory This blog post contains the details of detecting the encrypted Gh0st RAT communication, decrypting it and finding malicious Gh0st Rat artifacts (like process, network connections and DLL) in memory. I also present a Volatility (Advanced Memory Forensics Framework) plugin (ghostrat) which detects the encrypted Gh0st RAT communication, decrypts it and also automatically identifies the malicious Gh.. 더보기