본문 바로가기

전체 글218

[Turla] “NewPass” appears on the APT threat scene https://boggy-sun-2ec.notion.site/Venomous-Bear-updates-its-arsenal-NewPass-appears-on-the-APT-threat-scene-39d588f3b6a847ba94ce85148c7ca999 Venomous Bear updates its arsenal: “NewPass” appears on the APT threat scene Venomous Bear == Turla boggy-sun-2ec.notion.site 틀린 부분, 보완 사항 댓글로 많이 알려주세요 🙂 2023. 5. 1.
[Turla] New backdoor delivered via Armenian watering holes https://boggy-sun-2ec.notion.site/Tracking-Turla-New-backdoor-delivered-via-Armenian-watering-holes-5d8787806dbe4a78973f0399132d3fde Tracking Turla : New backdoor delivered via Armenian watering holes Reference boggy-sun-2ec.notion.site 틀린 부분, 보완 사항 댓글로 많이 알려주세요 🙂 2023. 5. 1.
[Windows Forensic Artifacts - 9] Windows Timeline 윈도우 10부터 추가 Timeline 최근 한 달간 내용만 저장, 파일, 폴더, 실행, 브라우저 등 기록 사용자가 실행하고 있는 응용프로그램 사용자가 과거에 실행했던 응용프로그램 인터넷 검색 기록 확인 자주 열어본 파일 확인 사용자의 지난 활동 추적 ⇒ 사건이 일어난 시점을 중심으로 생성, 수정, 삭제, 접근한 파일 분석 최대 30일의 사용자 행위를 보관 실행방법 Windows +Tab 버튼 정보 레지스트리 경로 Users\\AppData\Local\ConnectedDevicesPlatform\L.\ActivitiesCache.db 여기서 계정명 확인해야 함 유저 계정에 따라 경로가 달라짐 • 로컬 계정: L.{로컬 계정명} • 마이크로소프트 계정: {마이크로소프트 식별자(CID)} • Office 36.. 2023. 3. 12.
[Windows Forensic Artifacts - 8] Thumbnail & Icon cache Thumbnail 미리보기 파일 그래픽 이미지를 축소한 것으로 많은 양의 이미지를 빠르게 탐색하기 위한 것 윈도우 폴더 미리보기 기능에 사용 초기 방문 시 썸네일을 캐시해두고 재방문 시 캐시된 데이터 보여줌 → 성능 향상 한번 저장된 썸네일은 원본 파일이 삭제되더라도 삭제되지 않음 썸네일 지원 파일 JPEG, BMP, GIF, PDF, PPTX, DOCX등 정보 경로 %UserProfile%\AppData\Local\Microsoft\Windows\Explorer 파일명 thumbcache_{크기}.db Icon cache 탐색기 아이콘 파일 형식에 따라 표현되는 다양한 아이콘 아이콘도 미리 캐시해둔 후 재방문 시 빠르게 로드 정보 경로 %UserProfile%\AppData\Local\Microsoft.. 2023. 3. 12.
[Windows Forensic Artifacts - 7] 웹 아티팩트 웹 아티팩트 웹 서버와 쌍방향 통신을 하면서 생성되는 흔적 대부분의 웹 아티팩트는 웹 브라우저(인터넷을 이용하기 위해 실행하는 응용 프로그램 : firefox, chrome, Edge, Whale 등) 로그 종류 웹 브라우저 캐시 웹 사이트 방문 시, 사이트로부터 자동으로 다운받은 컨텐츠 컨텐츠 캐시를 통해 재 방문 시 로딩 속도 향상 캐시 데이터 다운받은 데이터 : 이미지 파일, 텍스트 파일, 아이콘, HTML 파일, XML 파일, 스크립트 등 캐시 인덱스 정보 캐시 데이터 위치, 다운로드 URL, 다운로드 시간, 다운로드 데이터 크기 등 💡 다운로드 URL + 다운로드 시간 : 특정 시간에 해당 사이트 이력 ⇒ 다운로드 URL + 키워드 검색 : 중요 사이트 방문 이력 확인 ⇒ HTML 캐시 파일 :.. 2023. 3. 12.
[Windows Forensic Artifacts - 6] AmCache & ShimCache 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생 Windows에서는 프로그램 호환성 관리자를 이용해 이 문제를 해결 문제를 해결하는 과정에서 Amcache와 ShimCache를 사용하게 됨 AmCache 모든 실행 파일의 이름, 경로, 크기, 해시값 확인 프리패치 파일과 병행하여 프로그램의 전체적인 타임라인 구성 가능 정보 경로 %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve 실습 AmacheParser 자동 수집 지원하지 않기 때문에 ftk로 파일 추출 log까지 같이 추출 cmd 명령어로 AmcacheParser.exe -f Amcache.hve --csv ./ Unassociat.. 2023. 3. 12.
728x90