BitCoder

칼데라 에이전트를 설치하고 실행하는 절차를 소개합니다. 1. agent 설치 스크립트 내용 생성 페이지 좌측의 메뉴에서 agents 링크를 클릭하여 agents 페이지로 이동합니다. 다음 그림에서와 같이 나타나는 다이얼로그에서 Sandcat을 선택합니다. 그리고 다음 절차와 같이 실행합니다. ① platform으로 windows를 선택 ② app.contact.http 항목에 칼데라 서버 주소를 입력 ③ 생성된 스크립트의 내용 중 칼데라 서버 주소를 확인 제가 생성한 내용은 다음과 같습니다. $server="http://192.168.42.138:8888"; $url="$server/file/download"; $wc=New-Object System.Net.WebClient; $wc.Headers.add..

윈도우에서 프로세스 목록을 확인하는 명령을 소개합니다. 1. 작업 관리자(taskmgr) 이용 C:\Windows\System32\Taskmgr.exe을 실행하면 실행 중인 프로세스 목록을 GUI로 확인할 수 있습니다. 작업 관리자는 Ctrl+Shift+Esc 키를 눌러서 간편하게 실행할 수도 있습니다. 2. 명령창에서 tasklist.exe를 이용 C:\Windows\System32\tasklist.exe를 실행하면 현재 실행 중인 프로세스의 목록을 확인할 수 있습니다. 실행화면 예시는 다음 그림과 같습니다. 3. 파워쉘에서 Get-Process명령을 이용 파워쉘에서 확인하는 방법은 Get-Process명령을 이용하면 됩니다. 실행화면 예시는 다음 그림과 같습니다. Get-Process 명령은 get-..

imr: import React from "react"; rfc: import React from 'react' export default function SubIndex() { return ( SubIndex ) } nfn: const first = (second) => { third }

전국 시/도 목록입니다. 코드에 복사/붙여넣기 용이하도록 아래와 같이 배열 선언 형태로 적었습니다. [ '서울특별시', '부산광역시', '대구광역시', '인천광역시', '광주광역시', '대전광역시', '울산광역시', '세종특별자치시', '경기도', '강원도', '충청북도', '충청남도', '전라북도', '전라남도', '경상북도', '경상남도', '제주특별자치도', ]

Map함수를 사용하는 자바스크립트 코드 자바스크립트로 작성한 코드입니다. 배열을 선언하고 출력을 두 번하는 코드입니다. 붙여넣기 하기 쉽게 다음과 같이 텍스트로도 적습니다. const months = [ "January", "February", "March", "April", "May", "June", "July", "August", "September", "October", "November", "December", ]; console.log(months); months.map((a) => console.log(a)) 다음은 실행화면입니다. map함수를 사용하여 출력했습니다. Map함수 사용법 보기 map함수에 대한 설명을 보려면 visual studio code에서 열린 코드 중에서 map에 커서를 ..

RedTeam AtomicTest를 사용하려면 먼저 관리자 권한의 PowerShell을 실행합니다. Invoke-AtomicTest T1006 Invoke-AtomicTest명령을 -ShowDetails 옵션을 포함하여 실행하면 해당하는 테스트에 대한 설명을 볼 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -ShowDetails 다음과 같이 실행하면 해당 항목에 대한 테스트를 실행할 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 테스트 후에 테스트 이전으로 복구하려면 -Cleanup 옵션을 포함하여 명령을 실행합니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -Cleanup

윈도우 보안로그의 이벤트 ID를 아래와 같이 정리하였습니다. Event ID Task Category Description 한글 설명 4611 Security System Extension A trusted logon process has been registered with the Local Security Authority. 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. 이 로그온 프로세스는 로그온 요청을 전송하도록 신뢰됩니다. 4624 Logon An account was successfully logged on. 계정이 성공적으로 로그온되었습니다. 4625 Logon An account failed to log on. 계정을 로그온하지 못했습니다. 4627 Group Memb..

1. 정의 T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다. T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다. 2. 설명 악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다. 윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다. 따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다. 3. AtomicRedTeam을 이용한 실험 이제 T1543.003에 대한 실험을 소개..

1. 소스코드 다음은 소스코드입니다. import win32serviceutil import servicemanager import ctypes import sys import time OutputDebugString = ctypes.windll.kernel32.OutputDebugStringW class MyServiceFramework(win32serviceutil.ServiceFramework): _svc_name_ = 'MyPythonService' _svc_display_name_ = 'My Python Service' is_running = False def SvcStop(self): OutputDebugString("MyServiceFramework __SvcStop__") self.is_r..

제외항목을 추가하려면 다음과 같은 명령을 사용합니다. powershell -Command Add-MpPreference -ExclusionPath "C:\myapp" powershell -Command Add-MpPreference -ExclusionProcess "myapp.exe" powershell -Command Add-MpPreference -ExclusionExtension ".myext" 제외항목을 삭제하려면 다음과 같은 명령을 사용합니다. powershell -Command Remove-MpPreference -ExclusionPath "C:\myapp" powershell -Command Remove-MpPreference -ExclusionProcess "myapp.exe" powers..