wonder

> RED OT도 예를 들어 수력발전시설 업데이트하다가 댐이 열리면 사람죽고, 공장 나라가 멈출 수 있으니 압박감이 크다. 송유관 랜섬웨어 사건이 있기 전까지, OT에 대한 고급 전문지식이나, 보안 개념이 많이 없었습니다. Sans 자격증을 보면 알겠지만 OT가 금단의 지식같은 느낌이고 할 수 있는 사람도 적기 때문입니다. -- > BLUE SIEM&EDR siem을 위주로 다루는 엔지니어도 있습니다. agent 심어주는 os별로 다르니 다 배워야합니다. REGEN 정규 parsing 처음 이런 알람들이 오고 raw data> 쓸만한 정보로 parsing합니다. 이런 걸 하는게 SOC팀입니다. anti virus MITER caldera - 블루팀 테스트 해볼 때도 있습니다. SOC팀이 제대로 감지하는지..

wine resourcehacker.exe 리눅스 OS에서 win 실행파일인 exe를 실행시켜줍니다. 일종의 가상환경 같은 것처럼 작동합니다. msf revshell(exe)에 png, ico파일을 넣어 아이콘을 삽입해줍니다. 그 후 같이 융합하여 cmd + 실제 img viewer 실행도 시켜야하니 FakeImageExploiter를 이용합니다. 실행하면 이미지 뷰어가 뜨면서 의심여지가 없이 잘 나옵니다. 만약 기본 세팅인 '확장자가 안보이도록' 해놓은 일반인의 컴퓨터라면 누가봐도 png파일이고 실행도 되므로 의심할여지가 없습니다. 결국 exe파일이나 zip파일이나 어떻게든 백신우회해서 실행하자마자 바로 쉘에 연결되서 컴퓨터의 사진자료부터 시작해서 다운받게 할 수 있기 때문에 절대 잠깐이라도 함부로 클..

소프트웨어 공급망 공격 원래 보안시스템은 신뢰할 수 있는 사람만 오도록 합니다. 따라서 공격자가 일반적인 방법으로는 EDR 등 행동 탐지되므로 내부망 공격이 어렵죠. 하지만 공급망 공격이라는 방법도 있습니다. 현실에서 택배도 의심없이 보안 통과하는 것처럼 오픈소스 소프트웨어에 악의적 심겨놓고 기다립니다. 공격자가 공격하기 너무 좋습니다. 사례) log4j 라이브러리 로그를 남기는 걸 좋아아는 개발자들이 개발된 라이브러리를 가지고 만들려고 합니다. 소프트웨어기도 하지만 오픈소스입니다. 전세계에서 누가쓰는지 관리 못합니다. 이 사태가 터졌을 때는 우리 제품에서 사용되는지 명확히 확인하는 게 우선시였습니다. 가전제품 embedded방식으로도 사용되고 있어서 무시할 수 없습니다. 안쓰느 데가 없을 정도로 이제 ..

파이썬 자동화 https://wikidocs.net/book/6353 사장님 몰래 하는 파이썬 업무자동화(부제 : 들키면 일 많아짐) 이 책은 파이썬 업무자동화에 대한 내용을 다룹니다. 파이썬의 기초는 어느 정도 알고 있으나 업무자동화 영역에 어떻게 활용해야 될지 모르시는 분, 다양한 업무 자동화 사례를 통해 … wikidocs.net 매우 쉽게 안해보거나 잘 모르는 사람은 정말 놀랄만한 자동화 방법입니다. 그 중에서도 구현하기가 너무 복잡할 것 같다면 pyautoGUI로 마우스, 키보드를 자동으로 조작하면 됩니다. 업무, 일상에 적용할 예시를 들면 블로그 글 서식 작성하기 - 맨날 수동으로 폰트크기, bold체, 사진가져오고 그랬습니다. 도메인이 오픈되었는지, 업데이트 되었는지 날짜가 확실하지 않을 때..

메모장에 편집하고, cmd에서 실행하는 대신 cmd랑 똑같은 역할입니다. terminal *변수 이름 = "데이터" 로만 해주면 되고 A,B,C 만 안하면 됩니다. 헷갈리지 않게 name 이라는 데이터상자에 값을 넣는다고 생각하면 편합니다. print() 에는 무조건 ' or " 있어야 됩니다. 없으면 변수라고 생각해서변수를 찾기 때문에 에러납니다. 저장한 데이터가 영원하진 않습니다. 변수를 지우면 단기기억으로 > 장기기억 외부로 빼서, import해줘야합니다. *데이터유형 1+1 11 데이터 유형이 문자였습니다. data type 지켜야됩니다. print(type(name)) 함수 쓰면 데이터 유형 확인가능 int 정수 float 소수점 다른 유형끼리 더하면 에러납니다. boolean 등 데이터 유형은..

☞ r쉘 취약점 echo "+ +" > .rhosts 해당 명령어를 .rhosts 에 넣으면 누구나 비밀번호 없이 들어옵니다. 예전에 r쉘 , r로그인은 ip로 인증하는 구조였습니다. 하지만 구조적인 취약이 있었기 때문에 ssh로 바뀝니다. 일단 다른 취약점을 이용해서 이 명령어를 실행하고 최후의 소셜엔지니어링 기법으로 전화로 명령어를 실행하게, 설정하게 합니다. 이걸 하기 위해서 tcp session hijacking를 활용합니다. ☞ tcp session hijacking 그 당시 ip스푸핑은 다른 사람한테 응답이 가니까 공격에 활용할 방법을 모르는 상태였습니다. tcp - 잘보내는거 목표. (seqNO등 손실되지 않았는지 확인). udp - 막 보내는거. > 그래서 대부분의 기능이 tcp 기반입니다..