본문 바로가기

전체 글218

[Windows Forensic Artifacts - 5] MUICache MUI(Multilingual User Interface) Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 → 다중 언어를 지원하기 위해 프로그램 이름을 캐시함 (윈도우에서 사용되는 기본 프로그램과 평소 실행하지 않았던 프로그램 목록도 포함) 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장 응용프로그램을 실행하면 실행 파일 경로, 이름이 남으며 실행파일의 삭제/경로 변경 여부 상관없이 기록이 지워지지 않음(prefetch와 동일) 하지만 시간은 남지 않아 타임라인 구성은 어려움 다른 아티팩트랑 교차검증 할 때 사용 정보 레지스트리 속에 존재 경로 HKCU\Software\Classes\Local Settings\MuiCache : windows에서 기본으로 제공해주는 HKCU\Soft.. 2023. 3. 12.
새로운 windows 11 Pro(22H2) 아티팩트 발견 https://aboutdfir.com/new-windows-11-pro-22h2-evidence-of-execution-artifact/ 위 블로그 내용 번역본 ! 배경 디포 디스코드 서버가 있는데, windows11에서 C:\\Windows\\appcompat\\pca 의 경로가 어디인지 누군가 물어봤음. Amcache가 C:\\Windows\\appcompat\\Programs\\Amcache.hve에 있기 때문에 익숙한 폴더 경로처럼 보일 수 있음. PCA란? Windows 8부터 사용된 Program Compatibility Assistant PCA는 sc query pcasvc로 쿼리를 날릴 수 있는 pcasvc 이름의 윈도우즈 서비스를 가짐. 발견된 새로운 아티팩트는 항상 존재하는 것은 아니.. 2023. 1. 10.
[Windows Forensic Artifacts - 4] Jumplist Jumplist 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 lnk와 밀접하게 연관 jumplist 제공을 하는 게 있고 안하는게 있다. 종류 Automatic : 운영체제가 자동으로 남기는 항목 Custom : 응용프로그램이 자체적으로 관리하는 항목 경로 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations 실습 JumpList Explorer 우선 FTKimager에서 두 파일 가져오고, JumpList Explorer에서 불러온다 불러올 때는 Ctrl+a로 전체 선택 이렇게 에러.. 2023. 1. 10.
[Windows Forensic Artifacts - 3] LNK 바로가기(LNK) Windows Shortcut .lnk 확장자 원본파일 경로 포함 생성방법 사용자가 직접 생성 (우클릭 바로가기 만들기) 프로그램 설치 시 생성(설치 시 체크) 운영체제가 자동으로 생성(정상적으로 사용하는 과정에서) 바로가기 파일이 생성되는 경로 바탕 화면 일반적인 사용자들이 바탕화면에 생성해서 많이 사용 설치하는 과정에서 바탕화면에 추가 %UserProfile%\Desktop 시작 메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 빠른 실행 .. 2023. 1. 10.
Wizard Spider 그룹 보고서 (네이버 계정 탈취 사건) Wizard Spider🕸️ 러시아 APT 그룹으로 트릭봇을 북미, 호주 및 유럽 전역의 은행 사이트를 대상으로 개발 및 처음 사용했다. 이외 다양한 도구를 보유하고 있으며 대기업부터 병원까지 다양한 조직을 상대로 랜섬웨어 캠페인을 벌이고 있음. FBI에 따르면 2019~2020, 1년도 안되는 기간 동안 랜섬웨어 공격에서 6,100만 달러를 갈취했다고 한다. 다단계 접근 방식을 사용하며 피해자의 네트워크를 암호화하기 전에 민감한 데이터를 빼내 피해자에게 돈을 요구하는 방식을 사용 (나름 최근 그룹) 관련 그룹 : UNC1878, TEMP.MixMaster, Grim Spider *관련 그룹) 참조가 중복되고, 위협 인텔리전스 보고에서 동일하거나 유사한 그룹을 참조할 수 있는 이름 요약 22년 1월 말 .. 2022. 11. 22.
Wizard Spider Wizard Spider🕸️ 러시아 APT 그룹으로 트릭봇을 북미, 호주 및 유럽 전역의 은행 사이트를 대상으로 개발 및 처음 사용했다. 이외 다양한 도구를 보유하고 있으며 대기업부터 병원까지 다양한 조직을 상대로 랜섬웨어 캠페인을 벌이고 있다. FBI에 따르면 2019~2020, 1년도 안되는 기간 동안 랜섬웨어 공격에서 6,100만 달러를 갈취했다고 한다. 다단계 접근 방식을 사용하며 피해자의 네트워크를 암호화하기 전에 민감한 데이터를 빼내 피해자에게 돈을 요구하는 방식을 사용한다. 관련 그룹으로는 UNC1878, TEMP.MixMaster, Grim Spider가 있다. *관련 그룹) 참조가 중복되고, 위협 인텔리전스 보고에서 동일하거나 유사한 그룹을 참조할 수 있는 이름 공격 MITRE ATT&C.. 2022. 11. 15.
728x90