LetsDefend - Challenge - Learn Sigma

Learn Sigma 챌린지에서는 Sigma Rule 파일을 샅샅이 들여보는 게 전부입니다. 그러므로 이 문제를 계기로 하여 Sigma가 뭔지 알아보겠습니다.sigma rule에 대한 자세한 정보는 https://sigmahq.io/docs/basics/rules.html 에서 확인할 수 있습니다.Sigma란?Sigma는 2017년 Florian Roth와 Thomas Patzke에 의해 개발된 로그 데이터 포맷입니다.SIEM마다 고유한 룰 포맷을 사용하지 말고, 공통 형식을 사용하여 호환성을 키우기 위한 목적으로 개발되었습니다.yaml 파일 형식을 사용합니다. 주요 작성 규칙은 다음과 같습니다.들여쓰기로 구조를 표현 (일반적으로 2칸 또는 4칸 공백 사용)키-값 쌍은 콜론(:)으로 구분리스트는 대시(-..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 27.
  • textsms
LetsDefend - challenge > phishing Email 풀어보기

LetsDefend - challenge > phishing Email 풀어보기

letsDefend.io에서 Beginner level의 챌린지인 phishing Email을 풀어보겠습니다.Beginner level답게 아주 간단하니 쉽게 풀어볼 수 있습니다. VM에 접속하고 바탕화면에 있는 Files -> PhishingChallenge.zip -> paypal.eml 파일을 엽시다. 겉으로 보기엔 그럴듯 해 보이는 이메일입니다.이제 피싱메일인지 아닌지 문제를 따라가며 조사해봅시다. 1. What is the return path of the email? view email source를 선택해 이메일 소스를 확인해보겠습니다.살짝 내리면 Return-Path가 바로 보입니다. 2. What is the domain name of the url in this mail? 본문..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 27.
  • textsms
LetsDefend - MSHTML 풀어보기

LetsDefend - MSHTML 풀어보기

MSHTML 챌린지를 해결해보자. 위 4개의 파일을 조사해야 한다. 답변해야 할 질문은 다음과 같다. 1. Examing the Employees_Contact_Audit_Oct_2021.docx file, what is the malicious IP in the docx file?2. Examing the Employee_W2_Form.docx file, what is the malicious domain in the docx file?3. Examing the Work_From_Home_Survey.doc file, what is the malicious domain in the doc file?4. Examing the income_tax_and_benefit_return_2021.docx, wha..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 2.
  • textsms
LetsDefend - SOC138 Detected Suspicious Xls File 풀어보기

LetsDefend - SOC138 Detected Suspicious Xls File 풀어보기

수상한 Xls 파일을 발견한 시나리오다.심각도는 중간으로 분류했다.케이스를 생성하고 플레이북을 시작한다.기본 정보는 위와 같다.먼저 위협 지표(threat indicator)를 선택해야 한다.위협 지표는 위협의 존재를 암시하는 신호로, IP 주소 및 파일 해시와 같은 디지털 아티팩트나, 내부자 위협을 감지하는 데 필요한 비정상적인 로그인 패턴, 과도한 데이터 다운로드와 같은 행동 변화가 있다. 시나리오에서는 3가지 위협 지표가 나열되어 있다. 어떤 위협이 있었는지 파악해보자.첨부파일 확인 먼저 파일을 가상 머신에서 다운로드해 압축을 해제했다.요약 정보에 나온대로 ORDER SHEET SPEC.xlsm 파일이 있다.이 파일의 md5 해시는 7ccf88c0bbe3b29bf19d877c4596a8d4이다. ..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 2.
  • textsms
LetsDefend - SOC146 - Phishing Mail Detected 풀어보기

LetsDefend - SOC146 - Phishing Mail Detected 풀어보기

LetsDefend의 SOC 분석가 과정을 진행하다가 추가 학습 자료로 제공되고 있기에 풀어보았다. SOC 과정에서 문제를 클릭하면 위와 같이 Monitoring - Investigation Channel에 등록된다. 여기서 요약 정보를 확인해볼 수 있다.Phishing mail detected - Excel 4.0 Macros 라는 Rule에 의해 탐지되었다.메일은 trenton이 송신했다. Action에서 >>를 눌러 case를 생성한다. Case Management에 정보가 넘어가고, playbook을 시작할 수 있게 된다. 플레이북을 시작하면 단계별로 확인해야 할 사항이 나타난다.먼저 이메일의 기본 정보를 파악해야 한다. 다른 정보는 요약 화면에서 확인할 수 있지만, 메일에 첨부 파일이 있는지..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 1.
  • textsms

LetsDefend challenge - Investigate Web Attack

LetsDefend의 SOC 과정을 진행하다가 만나는 첫 챌린지다. 분석해야 할 로그 파일은 access.log에 존재한다.내용이 너무 많아 전체 복사를 할 수 없어 느릿느릿한 vm으로 처리해야 했다. Q1. Which automated scan tool did attacker use for web reconnaissance? 웹 정찰을 위해 어떤 자동화 스캔 툴을 사용했는지 묻고 있다.로그 초반에 bwapp 앱의 경로를 쭉 훑고 있는데, 공통적으로 등장하는 5글자 프로그램이 있다. Q2. After web reconnaissance activity, which technique did attacker use for directory listing discovery? 웹 정찰을 마치고 어떤 방법으로 디렉..

  • format_list_bulleted 보안/letsDefend
  • · 2025. 10. 1.
  • textsms