AnbyMata의 해킹 노트

TryHackMe - "CSRF". Write-up + Extra Study!출처: https://tryhackme.com/room/csrfV2 CSRFLearn how a CSRF vulnerability works and methods to exploit and defend against CSRF vulnerabilities.tryhackme.com [1] Overview of CSRF AttackCSRF (Cross-site Request Forgery)- 사용자가 로그인 상태를 악용해, 사용자 대신 요청을 보내는 공격- 브라우저가 인증 정보 관련 쿠키를 자동으로 포함한다는 점을 악용 [1-1] CSRF 공격 흐름1. 웹 애플리케이션의 요청 형식 파악2. 사용자에게 악성 링크 전송 → 클릭 유도3..

[10-1] 프로세서와 명령 로그의 정보프로세스와 명령 로그 = 공격자의 실제 행위 흔적 - 실행 파일 경로 : 정상 (`/usr/bin`), 의심 (`/tmp`, `/dev/shm`)- 명령 인자 : 실행한 옵션 및 대상 (파일 다운로드, 특정 IP 접속...)- 부모-자식 관계 (PPID) : 프로세스를 실행한 근원 추적 = 공격 흐름 추적- UID / EUID : 실행한 권한 파악 = 권한 상승 여부 확인 각 공격 단계의 명령어들1. Reconnaissance (정찰) - `id`, `whoami`, `uname -a`, `ps`, `netstat` → 시스템/네트워크 정보 수집 2. Execution (실행) - `bash`, `sh`, `python3`, `perl` → 악성 코드 실행 3. D..

[9-1] 로그인 직후 권한 상승을 시도하는 이유일반 사용자 권한의 제한- 시스템 설정 불가 - 핵심 설정 파일을 수정해 백도어를 심는 보안 기능 무력화 행위 불가능- 접근 제한 - 다른 사용자의 데이터나 민감한 시스템 파일 접근 불가능- 서비스 제어 제한 - 새로운 악성 서비스 설치 및 기존 보안 서비스 중지 불가능- 흔적 은폐 불가 - 시스템의 Audit Log(감사 로그)를 임의로 변경 및 삭제 불가능 root(관리자) 권한으로 가능한 것들- 자유로운 파일 조작 - 시스템 내 모든 파일 조작 가능- 커널 및 서비스 장악 - 커널 모듈을 로드하여 탐지가 힘든 루트킷 설치 및 서비스 조작 가능- 계정 관리 - 새로운 관리자 계정 생성 및 sudoers 파일을 변경해 권한 고착화 가능- 네트워크 제어 -..

[8-1] SSH 실패 vs SSH 성공이상 패턴 (Red Flags)- Brute Force = 단시간에 다수의 실패 후 로그인 성공- Scanning = 존재하지 않는 계정을 포함한 다양한 계정명 시도- Post-Exploitation = 로그인 직후 sudo, 파일 다운도르, 지속성 확보 행위 SSH 실패 로그- invalid user = 시스템에 존재하니 않는 계정으로 접속 시도 → 자동화된 스캔 도구에 의한 목록 기반 공격 가능성- 출발지 IP = 외부 IP에서 직접 시도되는 invalid user 접근 → 100% 차단 및 모니터링 대상 SSH 성공 로그- password = 탈취 위험이 상대적으로 높은 인증 방식 → 실패 횟수가 많다면 계정 탈취 가능성이 높음- publickey = 비교적 ..

[7-1] Linux 로그의 기본 지도 - /var/log 인증 및 권한 (Auth & Permission)- /var/log/auth.log (Ubuntu/Debian) & /var/log/secure (RHEL 계열)→ 사용자 로그인 성공/실패, sudo 권한 상승, su 전환 등 인증과 관련된 기록들 시스템 및 서비스 (System & Service)- /var/log/syslog (Ubuntu/Debian) & /var/log/messages (RHEL 계열)→ 시스템 전반의 운영 메시지 및 커널 로그 기록들 - /var/log/kern.log (Ubuntu/Debian) & /var/log/dmesg (RHEL 계열)→ 커널 수준에서 발생하는 하드웨어 및 드라이버 관련 메시지 - journalc..

[6-1] Linux의 주요 관찰 행위 유형Auth & System (인증 및 권한)- 사용자 로그인/로그아웃 - SSH 접속이나 Console을 통한 접근 기록 확인- 권한 상승 - sudo나 su 명령을 통해 일반 사용자의 관리자 권한 획득 시도 감지 Process & System (프로세스 및 서비스)- 명령 실행 - 사용자가 입력한 Shell 명령어, cron(예약된 작업), systemd(시스템 서비스)의 실행 상태 추적- 서비스 제어 - 특정 서비스의 시작, 중지, 변경 이력 관찰 File & Network (파일 및 네트워크)- 파일 시스템 변화 - 중요한 설정 파일이나 데이터의 생성, 수정, 삭제 행위 모니터링- 네트워크 연결 - Outbound(외부로 나가는 통신)과 Inbound(들어오..

[5-1] Cyber Kill Chain (사이버 공격의 흐름)1. 초기 침투 (Initial Access) - 피싱 메일 = 악성 메일 유포 및 유입 - 흔적: 악성 URL 클릭, 첨부파일 실행 → Email Gateway: 헤더 분석을 통한 발신자 평판 이상 및 악성 파일 탐지 → Proxy: 로그 내 알려진 C2 서버나 악성 도메인으로의 접속 기록 2. 권한 확보 (Credential Access) - 인증정보 탈취 = ID/PW 탈취 및 권한 확보 - 시스템 접속 권한 확보 - 흔적: 로그인 실패 폭증, MFA 우회 시도 → SIEM (Auth Log): 특정 계정에 대한 Brute Force 공격 및 비정상적인 인증 패턴 감지 3. 지속성 유지 (Persistence) - 비정상 로그인 = 탈취..

[4-1] SOC의 주요 보안 도구들SIEM (Security Information and Event Management)- 중앙 관제 플랫폼- 인프라 전체의 로그 수집- 로그들을 정구화하고 상관관계를 분석하여 위협 탐지- 범위: 전체 인프라를 넓게 조망 EDR (Endpoint Detection and Response)- 개별 PC나 서버(endpoint) 내부에서 일어나는 프로세스 실행, 파일 생성 등 상세 확인- 위협시 격리 및 파일 차단 조치 수행- 범위: 호스트 내부를 깊게 분석 IDS/IPS (Intrusion Detection/Prevention System)- IDS = 네트워크 트래픽 흐름 속에서 악성 패턴이나 비정상 통신 탐지- IPS = 악성 패턴이나 비정상 통신 탐지 시 정책에 따..