Author Archives: allmnet

WordPress bypass Google Authenticator plugin

WordPress bypass Google Authenticator plugin We use Google Authenticator often to configure OTP for WordPress security. However, you may not be able to log in with the “Authenticator code is incorrect or has expired” message because you did not have the time or the Google Authenticator code you used for security. I’ll show you how

Read More

Window Eventlog 실시간 메일 전송하기

다음으로 진행할 내용은 계정 로그인에 대한 감시이다. 감시영역에서 기본이면서 제일 중요한 부분이다. 로그인 하지 않은 상태에서도, 시스템 취약점이 있어, 자료가 유출되거나 변조될수 있는데, 시스템에 로그인 하였다면, 서버 전체를 내주는것과 마찬가지라 볼 수 있다. 따라서 계정관리는 그만큼 중요하며, 로그인에 대한 감시는 기본적으로 선행 되어야 한다. 로그인 감시는 여러가지를 이용하여 구현할 수 있는데, 가장 대표적인 방식으로 보안

Read More

Elasticsearch – Index Delete, disk full, can’t gathering data on some node

If you cluster Elasticsearch. When can indexing some node data before disk full, unplaned reboot. However, you must delete last index.   If you have Kibana just use DELETE /logstash-<lastdate> or /<some problem index name>   OR You haven’t any UI, You can use CLI command,   curl -XDELETE ‘localhost:9200/logstash-<lastdate> or /<some problem index name>

Read More

Regripper – Windows Forensic Registry

Regripper는 “Windows Forensic Analysis”의 저자인 ‘할렌 카비’가 펄로 작성한 레지스트리 분석기로써, 레지스트리에서 필요한 정보들을 자동으로 추출하여 준다. CLI버전(rip.exe)과 GUI버전(rr.exe)를 제공하며, http://regripper.wordpress.com/ 에서 관련 자료를 확인할 수 있다. 레지스트리의 분석을 하는데 많은 도움이 되며, 수작업으로 분석할 필요없이 레지스트리 하이브 파일을 입력하고, 유형을 선택하면 해당 하이브 파일에서 유용한 정보들을 텍스트로 작성하여 준다.   [그림] Regrepper GUI툴로 이용하여

Read More

Kernel Memory Space Analyzer(kanalyze)

Microsoft에서 제공하는 메모리 분석 툴로써 volatillity와 성격이 다른 도구로써, 장애 상황시 이를 이용하여 커널 메모리 덤프를 효과적으로 분석할 수 있도록 도와준다. 단 kanalyze는 비스타 이상 버전에서는 사용할 수 없다. 해당 도구를 아래 위치에서 다운로드 가능하다. http://www.microsoft.com/download/en/details.aspx?id=15877   이툴을 사용하기 위해서는 Debugging Tools for Windows 6.5.3.8 32-bit버전(http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.5.3.8.exe) 을 먼저 설치하고 Windbg 설치 디렉토리에 Kanalyze를 붙여넣도록 하자.(이

Read More

포렌식 데이터 원격 수집 방법 – PSEXEC, FSP와 FRUC

앞서서 공유한 글을 통해 로컬에서 수집하는 방법을 소개하였다. 글 … 참조 이번에는 원격 수집 방법에 대해 알아 보자. 원격지 수집은 네트워크에 분석 머신을 연결한후 해당 분석머신으로 데이터를 전송하는 것 별도의 툴을 사용하거나, 윈도우에서 제공하는 SMB(Server Message Block)를 이용해 전송 혹은 별도의 네트워크 프로토콜을 이용해 분석 머신으로 손쉽게 데이터를 수집할 수 있을 것이다. WMI를 이용해 원격지에서

Read More

Netcat – 사용법, 리버스 텔넷(Reverse Telnet)

일명 NC라고도 하는 넷캣(Netcat)은 네트워크 분야에서 사용이 광범위한 도구로써 원격지 서버 모드뿐만 아니라 클라이언트 모드등 다양한 기능을 제공해 많은 사용자를 확보하였다. 넷캣은 네트워크를 연결하는 도구로도 사용할 수 있고, 포트를 스캐닝하거나, 파일을 전송하는등 여러 용도로 사용할 수 있는데, 사용법 또한 간편하고, 실행파일 하나로 구성할 수 있다는 큰 장점을 가지고 있다. 넷켓을 이용한 해킹도 많이 발생하였는데, 이러한

Read More

침해사고 발생시 분석을 위한 포렌식 데이터 수집 – 스크립트

윈도우 침해사고가 발생하였을 때 수집할 데이터 항목 못지않게 중요한 부분이 수집 방법인데, 수집할 자료를 어떻게 보관하여, 분석을 위해 어떻게 가져갈 것인지를 사전에 정해야 하는데, 크게 수집 경로와 수집 방법이 있다. 수집 경로는 로컬로 저장하는 방법과 원격지로 저장하는 방법등이 있으며, 수집 방법은 이 수집 경로에 따라 변화 하게 된다. 그리고 따로 수집툴을 가지고 다녀야 한다. 문제가

Read More

포렌식 데이터 수집 올인원 도구 – Nigilant32

Nigilang32는 가벼우면서도 올인원과 같이 로컬에서 메모리 덤프 생성과 파일 덤프 분석, 휘발성 자료 수집(프로세스, 서비스, 유저, 예약된 작업, 네트워크 연결 정보등)등을 손쉽게 진행할 수 있다. 원하는 데로 커스텀하여 수집할 수는 없지만, 간편하게 분석을 진행하고자 한다면, 이 도구를 이용해서도 충분히 원하는 정보와 메모리, 파일 덤프를 얻을 수 있다. 직접 침입이 아닌 바이러스나, 악성 코드인 경우 유용할

Read More

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG

PART 2 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG If you have not read the PART1 document, check below. PART 1 INSTALL ELASTICSEARCH 6 CLUSTER FOR CENTRALIZED SYSLOG Describes how to centralize syslog generated or received logs, especially those known as rsyslog. By centralizing this data, you can more easily track security audits, application behavior

Read More