LetsDefend - MSHTML 풀어보기

LetsDefend - MSHTML 풀어보기

MSHTML 챌린지를 해결해보자. 위 4개의 파일을 조사해야 한다. 답변해야 할 질문은 다음과 같다. 1. Examing the Employees_Contact_Audit_Oct_2021.docx file, what is the malicious IP in the docx file?2. Examing the Employee_W2_Form.docx file, what is the malicious domain in the docx file?3. Examing the Work_From_Home_Survey.doc file, what is the malicious domain in the doc file?4. Examing the income_tax_and_benefit_return_2021.docx, wha..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 2.
  • textsms
LetsDefend - SOC138 Detected Suspicious Xls File 풀어보기

LetsDefend - SOC138 Detected Suspicious Xls File 풀어보기

수상한 Xls 파일을 발견한 시나리오다.심각도는 중간으로 분류했다.케이스를 생성하고 플레이북을 시작한다.기본 정보는 위와 같다.먼저 위협 지표(threat indicator)를 선택해야 한다.위협 지표는 위협의 존재를 암시하는 신호로, IP 주소 및 파일 해시와 같은 디지털 아티팩트나, 내부자 위협을 감지하는 데 필요한 비정상적인 로그인 패턴, 과도한 데이터 다운로드와 같은 행동 변화가 있다. 시나리오에서는 3가지 위협 지표가 나열되어 있다. 어떤 위협이 있었는지 파악해보자.첨부파일 확인 먼저 파일을 가상 머신에서 다운로드해 압축을 해제했다.요약 정보에 나온대로 ORDER SHEET SPEC.xlsm 파일이 있다.이 파일의 md5 해시는 7ccf88c0bbe3b29bf19d877c4596a8d4이다. ..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 2.
  • textsms
LetsDefend - SOC146 - Phishing Mail Detected 풀어보기

LetsDefend - SOC146 - Phishing Mail Detected 풀어보기

LetsDefend의 SOC 분석가 과정을 진행하다가 추가 학습 자료로 제공되고 있기에 풀어보았다. SOC 과정에서 문제를 클릭하면 위와 같이 Monitoring - Investigation Channel에 등록된다. 여기서 요약 정보를 확인해볼 수 있다.Phishing mail detected - Excel 4.0 Macros 라는 Rule에 의해 탐지되었다.메일은 trenton이 송신했다. Action에서 >>를 눌러 case를 생성한다. Case Management에 정보가 넘어가고, playbook을 시작할 수 있게 된다. 플레이북을 시작하면 단계별로 확인해야 할 사항이 나타난다.먼저 이메일의 기본 정보를 파악해야 한다. 다른 정보는 요약 화면에서 확인할 수 있지만, 메일에 첨부 파일이 있는지..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 1.
  • textsms

LetsDefend challenge - Investigate Web Attack

LetsDefend의 SOC 과정을 진행하다가 만나는 첫 챌린지다. 분석해야 할 로그 파일은 access.log에 존재한다.내용이 너무 많아 전체 복사를 할 수 없어 느릿느릿한 vm으로 처리해야 했다. Q1. Which automated scan tool did attacker use for web reconnaissance? 웹 정찰을 위해 어떤 자동화 스캔 툴을 사용했는지 묻고 있다.로그 초반에 bwapp 앱의 경로를 쭉 훑고 있는데, 공통적으로 등장하는 5글자 프로그램이 있다. Q2. After web reconnaissance activity, which technique did attacker use for directory listing discovery? 웹 정찰을 마치고 어떤 방법으로 디렉..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 1.
  • textsms

malware traffic analysis - 2024-11-26 NEMOTODES 분석

https://www.malware-traffic-analysis.net/2024/11/26/index.html Malware-Traffic-Analysis.net - 2024-11-26 - Traffic analysis exercise: Nemotodes2024-11-26 - TRAFFIC ANALYSIS EXERCISE: NEMOTODES ASSOCIATED FILES: Zip archive of the pcap: 19.7 MB (19,664,067 bytes) Zip archive of the alerts: 297.5 kB (297,496 bytes) NOTES: Zip files are password-protected. Of note, this site has a new pawww...

  • format_list_bulleted 보안/웹해킹
  • · 2025. 9. 8.
  • textsms
멀웨어 분석과 리버스 엔지니어링 23장, 24장, 25장 - Suricata, 샌드박스, 바이너리 계측

멀웨어 분석과 리버스 엔지니어링 23장, 24장, 25장 - Suricata, 샌드박스, 바이너리 계측

2025.08.23 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 4장 - 가상 메모리 및 PE 파일2025.08.24 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 5장 - 윈도우 내부2025.08.24 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 6장, 7장 - 멀웨어 이해 & 패커2025.08.26 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 8장 - 지속성 메커니즘2025.08.26 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 9장 - 네트워크 통신2025.08.28 - [보안/시스템해킹] - 멀웨어 분석과 리버스 엔지니어링 10장 - 코드 인젝션, 프로세스 할로잉, API 후킹2025.09.01 - [보안/시스템해킹] - 멀웨어..

  • format_list_bulleted 보안/시스템해킹
  • · 2025. 9. 6.
  • textsms