本エントリは This Week in 4n6 (FourAndSix=Forensics) で紹介された各記事の冒頭を表示し、チェックする記事をザッピングするために自動生成&投稿したものです。4n6 は こちら からご確認いただけます。
FORENSIC ANALYSIS
David Spreadborough at Amped
BlackMamba
Hey Everyone,Few days before I complete the BlackEnergy Ctf challenge in cyberdefenders. It is not a hard one but not too easy. So let’s get jump into the basics of memory forensics. Site : cyberdefenders.orgcategory : Memory ForensicTool : volatility 2, volatility 3 First of all, i find the exact operating system profile for further analysis.Q1 ) Which volatility profile would be best for this machine?ANS: We already find the answer from the previous step.Q2) How many processes were running whe...
Forensafe
28/04/2023 Friday Adobe Acrobat Reader is a software developed by Adobe Inc. to manage Portable Document Format (PDF) files. It was initially developed to preview PDF files but it is now supporting many other features such as editing, e-signing, and format-converting. The basic features are available to users for free, however, the app has a set of premium features available on a paid subscription. Digital Forensics Value of Adobe Acrobat Reader Adobe Acrobat Reader is widely used by users acros...
Haircutfish
HaircutfishFollowApr 23·8 min readTryHackMe Wireshark: The Basics — Task 1 Introduction & Task 2 Tool OverviewGetting The VM StartedStarting at Task 1, you will see the green Start Machine button. Click this button to get the VM Started.Scroll to the top where the banner is. On the right side of the page, you will see the blue Show Split view. Click this blue button.The page will split, now just wait till the VM loads.Once the VM loads, click the View in Full Screen icon in the bottom left of th...
Ian D
Unexcitedly, this isn’t about ChatGPT which of course is all the rage right now. Having said that, keen to explore an interesting quirk within the GUID Partition Scheme (GPT) of a virtualized disk with you.I am guilty for teaching this over the years and to be honest there’s a lot of guides and literature online that suggest the same — that at offset 0x38 (decimal offset 56) for 72 bytes a Partition Name (UNICODE) is stored within the 128 byte GUID Partition Entry. However, testing with Windows ...
Markus Tuominen and Mehmet Mert Surmeli at WithSecure
Novel Analysis Methods for Shimcache Unleashing the Power of Shimcache with Chainsaw Markus Tuominen CTO Office, Research Mehmet Mert Surmeli Principal Incident Response Consultant Reading time: 25 min Introduction WithSecure™ Incident Response team has released a new subcommand for the Chainsaw forensic tool named “analyse”. This new subcommand incorporates three innovative and novel techniques to aid the analysis and timestamp enrichment of Shimcache entries. This plug-in has been included wit...
N00b_H@ck3r
Posted bylightkunyagami April 29, 2023 2 Comments on CyberDefenders: AzurePot This Blue Team challenge was published on April 20, 2023, on CyberDefenders.org. You can access the challenge at //cyberdefenders.org/blueteam-ctf-challenges/101#nav-overview. Shoutout to Tyler Hudak for creating the challenge. I completed the challenge on the same day it was published. I got so hooked that I didn’t want to stop until I completed it. I rated the challenge to be between Medium – Hard in difficulty. The ...
Phalgun Kulkarni and Julia Paluch at Aon
Windows Search Index: The forensic artifact you’ve been searching for Home → Aon’s Cyber Labs → Windows Search Index: The forensic artifact you’ve been searching for Summary Windows Search Indexer [Microsoft Documentation] is a service which enables faster searching of files, emails, and other content on Windows systems. The service builds an index that the system refers to whenever a search is run. Using the Windows Search index, investigators obtain important data about indexed files and user ...
Plainbit
현주연 Apr 24, 2023 7 min read AXIOM Cyber를 이용한 Windows 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다."AXIOM Cyber 소개"로 이동원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 종료되어 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다. 원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정 또한 전부 제거해야 한다.USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 설정하지 않아도 된다.수집 대상에 네트워크 연결수집 대상의 전원선 연결수집 대상의 화면 잠금 및 보호기 관련 설정 OFF1. 케이스 생성케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber...
현주연 Apr 25, 2023 5 min read AXIOM Cyber를 이용한 AWS 원격 수집은 총 4단계(케이스 생성 ➡ 수집 범위 지정 ➡ 클라우드 설정 ➡ 수집)로 이뤄진다.[그림 1] AXIOM Cyber를 이용한 클라우드 원격 수집 단계1. 케이스 생성케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.[그림 2] AXIOM Cyber 라이센스가 활성화된 모습💡AXIOM Cyber를 이용한 클라우드 원격 수집AXIOM Cyber를 이용한 클라우드 원격 수집은 Remote Computer 를 눌러...
현주연 Apr 26, 2023 4 min read AXIOM Cyber를 이용한 Azure 원격 수집은 총 4단계(케이스 생성 ➡ 수집 범위 지정 ➡ 클라우드 설정 ➡ 수집)로 이뤄진다.[그림 1] AXIOM Cyber를 이용한 클라우드 원격 수집 단계1. 케이스 생성케이스 생성은 AXIOM으로 이미지 프로세싱할 때와 동일하게 생성한다. AXIOM Cyber으로 원격 수집 시 대상의 전체 용량이 수집되기 때문에, 케이스의 저장 위치를 정할 때는 수집할 데이터보다 큰 용량의 폴더를 선택해야 한다.케이스 생성 이후 수집 형태를 선택할 때 아래 사진처럼 Remote Computer라는 항목이 활성화되어 있지 않다면 보유하고 있는 AXIOM의 라이선스에 AXIOM Cyber가 포함되는지 확인해야 한다.[그림 2] AXIOM Cyber 라이센스가 활성화된 모습💡AXIOM Cyber로 클라우드 원격 수집AXIOM Cyber로 클라우드를 원격 수집할 때는 Remote Computer 를 눌러 수...
2023년 3월 13일, Euler Finance는 스마트 컨트랙트의 취약점으로 인해 Flash Loan Attack을 당하게 되어 약 2억 달러에 해당하는 자금을 탈취당했다. 하지만 공격자는 피해 금액의 약 90%를 돌려주게 되었는데... 본 사건의 전반적인 내용과 공격 과정을 자세하게 살펴본다. 안혜송 & 박현재 Apr 21, 2023 20 min read ※ 본 게시글의 암호화폐 주소 추적은 BIG의 암호화폐 추적 솔루션인 "QLUE"를 사용했습니다.1. 필요한 배경 지식Flash Loan : 승인, 실행 및 모두 한 번의 거래로 상환되는 무담보 대출Euler Finance : 사용자가 다양한 암호화 자산을 대출하고 빌릴 수 있도록 설계된 이더리움 DeFi 렌딩(담보대출) 프로토콜eToken(담보 토큰), dToken(부채 토큰) : dToken 양이 eToken 양을 초과하면 청산이 시작2. 사건 개요2023년 03월 13일Euler Finance에 대한 flash loan ...
현주연 Apr 21, 2023 6 min read AXIOM Cyber를 이용한 Linux 원격 수집은 "AXIOM Cyber 소개" 글에서 살펴본 것과 같이, 총 4단계(케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집)로 이뤄진다."AXIOM Cyber 소개"로 이동원활한 원격 수집을 위해 분석가는 수집을 진행하기 전 아래와 같은 설정을 해야 한다. 이는 수집 대상의 네트워크 연결이 끊기거나 전원이 꺼져, 분석가 시스템과 연결이 끊어지는 것을 방지하기 위함이다.원격 수집 시 수집 대상의 화면이 꺼지는 것을 방지하기 위해 수집 대상의 화면 잠금 설정도 다 꺼줘야 한다. 또한, 원격 로그인을 위해 SSH 설치 후 IP주소를 확인하고 기록해둬야 한다. USB를 이용해 직접 배포할 예정이면 원격 로그인 옵션은 굳이 설정하지 않아도 된다.수집 대상에 네트워크 연결수집 대상의 전원선 연결수집 대상의 화면 잠금 및 보호기 관련 설정 off수집 대상에 SSH 설치 후 IP주...
안혜송 Apr 20, 2023 8 min read 기존 대출 기관은 돈을 빌린 사람이 사라지거나, 유동성이 부족해 대출자가 너무 많이 빌려주거나 제때 상환 받지 못하는 리스크가 존재했다. 플래시 론은 이 두 리스크를 보완하고자 2019년 마블 프로토콜(Marble Protocol)에 의해 이더리움 블록체인에 도입되었다.플래시 론이란?승인, 실행 및 모두 한 번의 거래로 상환되는 무담보 대출로 한 트랜잭션 내에 이자를 포함한 상환과 대출이 이뤄지는 방식이다. 자체 실행 스마트 컨트랙트를 통해 이루어지며 스마트 컨트랙트 조건에 따라 대출금을 즉시 상환할 수 없는 경우 실행되지 않는다. 무담보이기 때문에 주로 차익 거래에 사용되고, 공격이 실패해도 수수료만 지불하고 상환하면 되기 때문에 위험이 적어 공격에 자주 이용된다.무담보 대출이 가능한 이유는 스마트 컨트랙트의 롤백 기능 덕분이다. 트랜잭션 실행 전 상태를 기록하는 스마트 컨트랙트의 경우 트랜잭션을 롤백할 수 있다. 플래시 론은 트랜...
안혜송 Apr 19, 2023 7 min read 비트코인은 트랜잭션이 남아 조회나 추적이 가능하기 때문에 익명성에 한계가 있다. 익명성을 유지하기 위해 프라이버시 코인(Privacy Coin), 스텔스 주소(Stealth Address), 믹싱(Mixing)을 활용한 코인조인(CoinJoin), 코인셔플(CoinShuffle)과 같은 프로토콜을 사용하는 등의 방법을 선택할 수 있다. 여기서는 믹싱을 활용한 프로토콜 중 코인조인을 살펴보겠다.코인조인(CoinJoin) 이란 ?코인조인은 비트코인 코어 담당 그레고리 맥스월(Gregory Maxwell)에 의해 제안된 익명화 구현 방식이다. 비트코인을 전송할 때 혼자 전송하지 않고, 여러 사용자가 같이 전송해서 누가 누구에게 전송했는지 모르게 거래 내역을 섞는 방식을 사용한다. 따라서, 코인조인을 사용하면 한 트랜잭션에 여러 개의 입력과 여러 개의 출력이 생겨 사용자 추적이 어려워지기 때문에 거래 내역을 익명화할 수 있고 개인정보 보호를...
안혜송 Apr 17, 2023 7 min read 필 체인(Peel Chain)이란?필 체인은 자금 세탁을 목표로 장기간에 걸쳐 여러 번의 소액 거래를 진행해 대량의 암호화폐를 세탁하는 기술이다. 주로 소액을 암호화폐 거래소로 송금하고, 남은 큰 금액은 새로운 주소로 전달되는 과정을 반복한다. 필 체인의 출력으로 거래소로 들어오는 암호화폐의 양이 적기 때문에 거래소에서는 AML(Anti Money Laundering) 정책의 위험 신호를 탐지하지 못하고 당국에 보고할 가능성이 줄어들게 된다. 따라서, 필 체인은 암호화폐 거래 흔적을 복잡하게 만들어 자금과 주소 추적을 회피하기 위해 사용된다.⭐정리공격자는 필 체인 방법을 사용해 거래소에서 위험 신호가 발생하지 않도록 소량의 금액을 여러 번에 걸쳐 세탁해 트랜잭션 추적을 어렵게 만든다.필 체인 동작 과정[그림 1] 필 체인 동작 과정보통 단일 금액을 입금받은 지갑에서 2개의 주소로 출력이 생성된다. 적은 금액의 출력은 자금을 보내는 주...
현주연 & 김민주 Apr 13, 2023 5 min read AXIOM Cyber는 조직에 최적화된 원격 수집을 지원하여, 업무 효율성을 높여주는 Magnet 사의 디지털 포렌식 솔루션이다. AXIOM Cyber는 AXIOM에서 제공하는 모듈(Computer, Mobile, Cloud Vehicle)에 대한 수집을 지원하며, 추가적으로 Ad-hoc 에이전트를 기반한 원격 수집을 수행한다. [그림 1] AXIOM Cyber 라이센스가 활성화된 모습AXIOM Cyber를 이용한 원격 수집은 "케이스 생성 ➡ Agent 생성 및 배포 ➡ 수집 범위 지정 ➡ 수집" 이렇게 총 4단계로 이루어진다. 아래의 4단계는 AXIOM Cyber에서 수집을 제공하는 모든 OS(Windows, mac OS, Linux)의 데이터 원격 수집에 있어서 동일하게 진행된다.[그림 2] AXIOM Cyber 원격 수집 단계☁️클라우드 서비스 원격 수집 단계클라우드 데이터를 원격 수집할 때는 PC 데이터 원격 수집...
김민주 Apr 26, 2023 8 min read 디지털포렌식의 중요성이 대두되며 많은 기관이나 기업에서 디지털포렌식을 수행하게 되었다. 과거에는 디지털포렌식 도구 선택의 폭이 넓지 않았기 때문에 많은 분석가가 사용하는 EnCase 제품을 사용했지만, 점차 각국의 다양한 제조사에서 디지털포렌식 도구를 개발하고 있기에 디지털포렌식 도구 선택의 폭이 넓어졌다. 따라서, 최근에는 더욱더 쉽게 디지털포렌식을 수행할 수 있게 하는 도구를 선정해 사용하는 추세이며, 그중 가장 대표적인 도구인 MAGNET AXIOM을 많은 분석가가 사용하고 있다.MAGNET AXIOM은 가장 포괄적이고 통합된 디지털포렌식 플랫폼을 제공하는 도구이다. 이는 Magnet Forensics에서 제작한 디지털포렌식 솔루션이며, 직관적인 UI를 제공해 디지털포렌식을 처음 접하는 분석가도 쉽게 사용할 수 있다.1. AXIOM 특징1.1. 아티팩트 데이터 분석기존에 개별로 분석했던 아티팩트를 통합해 분석할 수 있으며, 시스...
김서준 and other authors Apr 28, 2023 43 min read 1. 개요이전 'Sysmon 활용 가이드: 개념 및 설치 방법'에서 Sysmon이 무엇이며 어떻게 설치할 수 있는지 알아봤다. 본 글에서는 Sysmon이 기록하는 이벤트의 구성 항목을 살펴본다.Sysmon은 프로세스 생성을 포함해 총 29개의 이벤트로 구성되어 있으며, 목적에 맞게 이벤트를 활용하면 엔드포인트 보안을 보다 효과적으로 강화할 수 있다.Windows Vista 이상에서는 이벤트가 Microsoft-Windows-Sysmon%4Operational.evtx에 기록되고, 그 이전 버전에서는 System.evtx에서 확인할 수 있다.[그림 1] 이벤트 뷰어에서 확인한 Sysmon 이벤트 로그Sysmon 이벤트 구성 항목의 설정값(이름, Type 등)은 "sysmon.exe -s" 명령을 사용해 확인할 수 있다.[그림 2] sysmon.exe -s 결과 일부2. Sysmon 이벤트ID 1. Pr...
김서준 and other authors Apr 21, 2023 10 min read 1. 개요코로나19 이후, 비대면 원격근무 환경이 확산되면서 보안에 취약할 수 있는 PC, 프린터 등 엔드포인트(EndPoint) 기기를 노린 침해사고가 증가하고 있다. 또한 사이버 공격 도구를 거래하는 플랫폼의 확산으로 공격 도구에 대한 접근성이 높아지면서 침해사고가 더욱 증가할 것으로 보인다. 실제로 과학기술정보통신부에서 발표한 ‘2023년 사이버 보안 위협 전망 보고서’에 따르면 국내 침해사고 건수가 전년 대비 약 1.6배 증가해 사이버 위협이 지속적으로 증가하고 있는 것을 알 수 있다.기본적으로 Windows에서는 시스템의 성능, 오류, 경고, 운영 정보 등의 중요한 정보를 이벤트 로그로 저장해 침해사고 발생 시 이벤트 로그 분석으로 공격자나 악성코드의 행위를 식별하고 대응하는데 활용된다.Sysmon(System Monitor)은 MS사의 Sysinternals suite에 포함된 시스템 모니...
Justin Vaicaro at TrustedSec
Incident Response Rapid Triage: A DFIR Warrior’s Guide (Part 3 – Network Analysis and Tooling) April 25, 2023 By Justin Vaicaro in Incident Response, Incident Response & Forensics, Threat Hunting Within the first two installments of this series, we identified the key to successful incident preparation starts with making sure a solid incident triage process is in place, centralized analysis documentation is created, and the incident communication cadence has been solidified. This, in conjunction ...
