목록Red Team/레드팀 개념 (8)

wonder

정보보안 스터디 - 25주차 1일 - CTI 정보 수집

☞ 레드팀입장에서의 CTI(cyber threat intelligence) CTI란 원래 블루팀의 방어자들이 APT, 공격자들의 공격을 막기위해서 정보를 수집하고 거기에 맞게 방화벽을 구축한다든지 대응하는 용도로 썼습니다. 레드팀 입장에서의 CTI는 적팀의 TTPs 전략이나 도메인, 정보를 알아야 그 APT처럼 비슷하게 보여서 레드팀 소속이 아니도록 안티포렌식을 할 수도 있고, 군사목적일 경우 APT 침입해서 아군처럼 보일 수 있다는 점이 있습니다. 어쨌든 레드팀 입장에서도 타겟에 대해서 아는것이 많아야 공격하는 데 계획도 맞춰서 짤 수 있으며 공격 성공률도 높아집니다. 그래서 CTI가 양쪽 모두 중요한 것입니다. 따라서 threat-intel-drive 방식으로 진행해야합니다. 보통 engagement..
Red Team/레드팀 개념 2023. 3. 31. 07:48
정보보안 스터디 - 24주차 5일 - 타겟 정보 수집 방법

tryhackme, hackthebox 등 CTF를 제대로 하기 시작했습니다. ☞ 레드팀 과정은 lockeeh martin kill 이나 MITRE 등의 kill chain을 따릅니다. 보통 initial access 부터 post-exploitation 이렇게 말하기도 하지만 자세하게 과정을 나눠 진행합니다. Reconnaissance - 정찰, 정보수집 Weaponization - office 문서 파일리스 악성코드, 백도어 등 페이로드 준비 Delivery - Email, USB, web 등을 통해 이 페이로드를 타겟에 전달. Exploitation - 실행할 제로데이, 취약점 코드를 exploit Installation - mimikatz, rubeus 등 멀웨어를 실행Command & Contr..
Red Team/레드팀 개념 2023. 3. 28. 09:31
정보보안 스터디 - 24주차 3일 - 다크파워 랜섬웨어 갱단

원문 - https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month ☞ 다크파워 랜섬웨어 갱단 다크파워 랜섬웨어 그룹이 2월 말부터 감시받기 시작해서 현재까지 한달 이내에 10곳 이상 랜섬웨어 exploit을 하는 활발한 활동을 보여주고 있습니다. ☞ 특징 가장 큰 특징은 1) 나라를 가리지 않고, 농업, 교육, 헬스케어, IT, 제조업 등 분야도 다양하다는 것입니다. 2) 다른 그룹과는 조금다르게 Rim이라는 프로그래밍 언어를 쓴다는 것이고 언어를 이렇게 다양하게 사용하는 이유는 같은 수법, 프로그램을 사용하더라도 언어가 다르다면 탐지를 피할 수 있는 장점이 있기 ..
Red Team/레드팀 개념 2023. 3. 26. 08:45
정보보안 스터디 - 23주차 5일 - DPAPI 개념과 악용

☞ DPAPI(data protection API)란 DPAPI는 winAPI 윈도우내에서 지원되는 API집합(dpapi.dll)입니다. 대칭/비대칭 암호화는 어떤 방식이든 키가 주어지고 관리를 해야되는 것은 맞습니다. 개발자입장에서는 개발에 집중해야하는데 hash 알고리즘, encryption 방식, key manage 등 키를 관리하는 데 신경쓰는 것이 매우 어렵고 귀찮습니다. 그래서 hash 암호화에 대해 개발할 필요없이 그걸 도와주기 위해서 DPAPI이 나왔습니다. 암호화, 복호화와 관련된 다양한 winAPI를 제공해줍니다. 사용자체는 restAPI사용하여 운영체제에 부탁하면 response가 오는 등 쉽습니다. DPAPI의 키를 다시한 번 암호화하며 키들을 마스터키 하나만 사용해서 안전하게 관리..
Red Team/레드팀 개념 2023. 3. 21. 03:21
정보보안 스터디 - 23주차 3일 - OSINT를 이용한 ASM, 클라우드 보안

☞ OSINT를 이용한 ASM(attack surface management) 공격 표면 관리 OSINT를 이용해 APT그룹의 공격 표면을 찾는 방법입니다. 또는 공격자들도 활요하는 방법이기 때문에 방어를 할 때 최대한 공격 표면을 없애야 겠다고 생각하고 기업블루팀에서도 사용합니다. 그러니까 Threat Intelligence가 많이 활용하여 위협들을 찾는 방법입니다. 외국에서는 이미 발달해있고 한국은 아직 잘 안 알려져있습니다. OSINT하면 공개정보라서 되게 구글 검색, nmap 정보 수집 정도로만 생각할 수도 있는데 범위가 커서 대부분 OSINT를 이용합니다. 탐색이 어려운 것을 쉽게 찾을 수 있습니다. surface web 인터넷 웹입니다. 권한이 없는 사용자가 시스템에 무단으로 엑세스, 추출할 ..
Red Team/레드팀 개념 2023. 3. 19. 11:24
정보보안 스터디 - 23주차 1일 - 인프라 작전보안

☞ 레드팀 인프라 작전보안(OPSEC) ☞ 목적은 1) 고객사의 데이터 문서를 주고받을 때 레드팀(보안업체)을 공격하는 공격자가 있을 수 있기 때문에 파일을 암호화를 하지 않으면 데이터를 뺏깁니다. 그 공격자는 보안업체를 공격하려고 하는 악성해커가 될 수도있고 블루팀이 찾아보는 것일 수도 있습니다. 2) 블루팀 보통 블루팀이 레드팀서비스 진행을 모르는 상태에서 공격자가 들어오는 것을 인지하면 즉 공격자의 domain, server, infra를 찾게되면 신고하고 takedown 차단합니다. 이걸 늦추기 위해서 티나지 않게 작전을 수행하는 것이 중요합니다. 3) 작전 성공률 작전보안을 지킬 경우 성공률이 높아집니다. 그 말은 실제 공격자와 비슷하게 시뮬레이션 했다는 의미가 됩니다. 물론 최대한 비슷하게는 ..
Red Team/레드팀 개념 2023. 3. 17. 01:49
이전 Prev 1 2 Next 다음