해킹 명령어를 이용한 침해 탐지 (Hacker command)

Hacker command?

침해사고를 조사하다보면 해커들이 자주 사용하는 명령들에 대해서 알 수 있습니다.

그럼  해킹 명령어를 이용한 침해 탐지 방법에 대해 알아보도록 하겠습니다.

아래 글을 읽어보면 해커가 자주 사용하는 명령를 이용한 명령과 Applocker를 사용해서 해당 프로그램을 사용하려고 하였을때 실행을 막고 오류를 윈도우 로그에 남기는 방법이 소개되어 있습니다.

 

http://blog.jpcert.or.jp/.s/2016/01/windows-commands-abused-by-attackers.html

  1. 초기 탐지
  2. 조사
  3. 공격

 

제 기준으로 일반 사용자들이 사용하지 않는 명령어를 Applocker로 건다면 다음고 같이 걸어둘것 같습니다.

 

ver, systeminfo, net time, net 관련 명령, qprocess, query, tasklist, type, at, reg, wmic, wusa, sc

 

추가 팁을 드리면

Applocker에서 생성한 경고로그를 WHORUEVENT와 연결하여 중앙으로 수집해서 확인 할 수 있다는 점도 알려드리며,

WHORUPROC의 경우 Command Line도 함께 수집이 가능합니다. (곧 공개할 예정입니다.)

해커가 자주사용하는 명령어를 이용한 침해사고 탐지

 

 

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.