本エントリは This Week in 4n6 (FourAndSix=Forensics) で紹介された各記事の冒頭を表示し、チェックする記事をザッピングするために自動生成&投稿したものです。4n6 は こちら からご確認いただけます。
FORENSIC ANALYSIS
Chris Doman at Cado Security
Digital Forensics Myanmar
Get link Facebook Twitter Pinterest Email Other Apps April 21, 2023 Download Chip Off (Mobile Forensics Myanmar Language ) Mobile Forensics Get link Facebook Twitter Pinterest Email Other Apps Comments Post a Comment Popular posts from this blog eCDFP (Data Representation & File Examination) (Part-5) November 19, 2021 Exe Analysis EXE File တွေကို အခြားသော File Type တွေလိုပဲ Analysis, Extract ပြုလုပ်လို့ရပါတယ်။ Text, Document, Word File တွေကို ဖွင့်ကြည့်တာက Executing ပြုလုပ်တာမဟုတ်ပါ။ EXE File ကိ...
Domiziana Foti
LetsDefend- SOC142 — Multiple HTTP 500 ResponseIn this alert we have a problem related to the HTTP response status.HTTP response status codes indicate whether a specific HTTP request has been successfully completed. Responses are grouped in five classes:Informational responses (100 – 199)Successful responses (200 – 299)Redirection messages (300 – 399)Client error responses (400 – 499)Server error responses (500 – 599)We have the following information to start our analysis:Monitoring DashboardFir...
Oleg Afonin at Elcomsoft
Automating Scrolling Screenshots with Raspberry Pi PicoAutomating DFU Mode with Raspberry Pi PicoPerfect Acquisition Part 4: The Practical PartPerfect Acquisition Part 3: Perfect HFS AcquisitionHomePod Forensics III: Analyzing the Keychain and File SystemObtaining Serial Number, MAC, MEID and IMEI of a locked iPhoneUnderstanding Partial File System Extraction: What Data Can and Cannot be Accessed on iOS 15.6-16.1.2 DevicesPerfect Acquisition Part 2: iOS BackgroundHomePod Forensics II: checkm8 an...
Forensic Science International: Digital Investigation
Jamf
Start Trial Jamf Blog April 17, 2023 by Jamf Threat Labs Threat advisory: Mobile spyware continues to evolve Jamf Threat Labs Jamf Threat Labs examines two sophisticated spyware attacks and provides recommendations for organizations to defend users from increasingly complex threats. Introduction Jamf Threat Labs has been studying the ongoing use of sophisticated spyware, including indicators previously attributed to NSO Group’s Pegasus, to target iPhones used by high-risk individuals. Over a per...
Mattia Epifani at Zena Forensics
By Mattia Epifani - April 17, 2023 Following up my previous blog post, I decided to create a curated list of iOS Forensics References, organized by folder with specific references (links to blog post, research paper, articles, and so on) for each interesting file. The list is available as a GitHub repository to make it easier to keep it updated. If you have any proposal for addition in terms of file/folders or a specific reference, please let me know and I'll be happy to add it to the list.//git...
N00b_H@ck3r
Try Hack Me: Boogeyman 1 (BlueTeam) Posted bylightkunyagami April 16, 2023 3 Comments on Try Hack Me: Boogeyman 1 (BlueTeam) This room was released on 4/14/2023 and is rated medium in difficulty. Shout-out to the room creator, ar33zy. You can access the room at //tryhackme.com/room/boogeyman1/. This is a blueteam side of the cybersecurity field. The skills/tools to be tested and needed to complete this challenge are Phishing Analysis, PowerShell Log Analysis, Linux Commands, and Traffic Analysis...
Orange Cyberdefense
Reading time ~6 min Posted by Reino Mostert on 28 March 2023 Categories: Bitlocker, Clone, Virtualisation On a recent red-team I was given a client laptop from which I was expected to simulate an insider-threat/employee laptop compromise scenario over their VPN. I was given a normal employee user account and did not have local administrator privileges. The laptop itself was riddled with security products and snitchware, threatening to report back every action taken on the system to the SOC/SIEM....
Plainbit
2021년 5월 7일, Colonial Pipeline은 랜섬웨어 공격을 받았고, 다음 날 공격자에게 75 BTC를 전송했다. 본 글에서는 공격자에게 전송된 75 BTC를 추적한 내용에 대해 살펴본다. 박현재 Apr 04, 2023 9 min read ※ QLUE 솔루션에 익숙하지 않으신 분들은 QLUE 그래프 해석 글을 읽고 오시면 이해하는데 도움이 될 수 있습니다.1. 사건 개요[그림 1] 콜로니얼 파이프라인 사건 관련 cctvnews 기사[그림 2] 콜로니얼 파이프라인 사건 관련 itworld 기사1-1) 공격 관련2021년 4월 공격 그룹은 유출된 VPN 비밀번호를 사용해 미국의 정유 회사인 Colonial Pipeline 社의 컴퓨터 네트워크에 접근2021년 5월 6일(현지시간) Colonial Pipeline 社의 100GB 가량 데이터가 탈취됨2021년 5월 7일(현지시간) Colonial Pipeline 社에 랜섬웨어 공격 발생공격 그룹은 랜섬웨어 몸값 BTC를 지불...
현주연 Apr 21, 2023 7 min read AXIOM Cyber를 이용한 macOS 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다."AXIOM Cyber 소개"로 이동원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. 또한, 원격 로그인을 위해 SSH 설치 후 IP주소를 확인하고 기록해둬야 한다. USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.수집 대상에 네트워크 연결수집 대상의 전원선 연결수집 대상의 화면 잠금 및 보호기 관련 설정 off수집 대상에 SSH 설치 후 IP주...
김서준 and other authors Apr 21, 2023 10 min read 1. 개요코로나19 이후, 비대면 원격근무 환경이 확산되면서 보안에 취약할 수 있는 PC, 프린터 등 엔드포인트(EndPoint) 기기를 노린 침해사고가 증가하고 있다. 또한 사이버 공격 도구를 거래하는 플랫폼의 확산으로 공격 도구에 대한 접근성이 높아지면서 침해사고가 더욱 증가할 것으로 보인다. 실제로 과학기술정보통신부에서 발표한 ‘2023년 사이버 보안 위협 전망 보고서’에 따르면 국내 침해사고 건수가 전년 대비 약 1.6배 증가해 사이버 위협이 지속적으로 증가하고 있는 것을 알 수 있다.기본적으로 Windows에서는 시스템의 성능, 오류, 경고, 운영 정보 등의 중요한 정보를 이벤트 로그로 저장해 침해사고 발생 시 이벤트 로그 분석으로 공격자나 악성코드의 행위를 식별하고 대응하는데 활용된다.Sysmon(System Monitor)은 MS사의 Sysinternals suite에 포함된 시스템 모니...
안상욱 Apr 21, 2023 3 min read ✅아티팩트 수집기 비교 대상1. Magnet RESPONSE2. Kape3. Artifact Collector4. Cyber Triage Collection Tool Magnet RESPONSE KAPE Aritifact Collector Cyber Triage Collection Tool 수집 방식 Raw 파일 수집 Raw 파일 수집 SQLite 저장 JSON 저장 아티팩트 커스텀 X O O X 수집 결과 Zip & zdmp(memory) Raw, Zip, Vhdx, Vhd forensicstore (SQLite 파일) gz OS 지원 Windows 7+ Windos 7+ Windows 2000 + Windows XP + VSCs 수집 X O X X Memory 수집 O X X X 설정 파일 X tkape yaml X 파일 해시 X O O O ADS 수집 X O X X Magnet RESPONSEMagnet RESPONSE 실행 화...
2023년 3월 13일, Euler Finance는 스마트 컨트랙트의 취약점으로 인해 Flash Loan Attack을 당하게 되어 약 2억 달러에 해당하는 자금을 탈취당했다. 하지만 공격자는 피해 금액의 약 90%를 돌려주게 되었는데... 본 사건의 전반적인 내용과 공격 과정을 자세하게 살펴본다. 안혜송 & 박현재 Apr 21, 2023 20 min read 1. 필요한 배경 지식Flash Loan : 승인, 실행 및 모두 한 번의 거래로 상환되는 무담보 대출Euler Finance : 사용자가 다양한 암호화 자산을 대출하고 빌릴 수 있도록 설계된 이더리움 DeFi 렌딩(담보대출) 프로토콜eToken(담보 토큰), dToken(부채 토큰) : dToken 양이 eToken 양을 초과하면 청산이 시작2. 사건 개요2023년 03월 13일Euler Finance에 대한 flash loan 공격으로 DAI, USDC, wBTC, staked Ether(stETH)의 거래에서 약 2억 달...
현주연 Apr 21, 2023 6 min read AXIOM Cyber를 이용한 Linux 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다."AXIOM Cyber 소개"로 이동원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. 또한, 원격 로그인을 위해 SSH 설치 후 IP주소를 확인하고 기록해둬야 한다. USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.수집 대상에 네트워크 연결수집 대상의 전원선 연결수집 대상의 화면 잠금 및 보호기 관련 설정 off수집 대상에 SSH 설치 후 IP주...
Bill Marczak, John Scott-Railton, Bahr Abdul Razzak, and Ron Deibert at The Citizen Lab
Key Findings In 2022, the Citizen Lab gained extensive forensic visibility into new NSO Group exploit activity after finding infections among members of Mexico’s civil society, including two human rights defenders from Centro PRODH, which represents victims of military abuses in Mexico. Our ensuing investigation led us to conclude that, in 2022, NSO Group customers widely deployed at least three iOS 15 and iOS 16 zero-click exploit chains against civil society targets around the world. NSO Group...
Justin Vaicaro at TrustedSec
Incident Response Rapid Triage: A DFIR Warrior’s Guide (Part 1 – Process Overview and Preparation) April 18, 2023 By Justin Vaicaro in Incident Response, Incident Response & Forensics, Threat Hunting In this series, I will be discussing how to handle an incident with the speed and precision of a DFIR warrior. With a rapid triage mindset, you’ll be able to assess the situation quickly and efficiently, just like a Jiu-Jitsu practitioner sizing up their opponent before delivering a devastating subm...
Incident Response Rapid Triage: A DFIR Warrior’s Guide (Part 2 – Incident Assessment and Windows Artifact Processing) April 20, 2023 By Justin Vaicaro in Incident Response, Incident Response & Forensics, Threat Hunting In Part 1 of this series, we identified that there are three (3) key parts to successful incident preparation: ensuring that a solid incident triage process is in place, creating centralized analysis documentation, and solidifying incident communication. In Part 2 of this series, ...
