2022. 7. 23. 13:54ㆍ보안/케이쉴드
레지스트리
윈도우 운영체제 내에 여러 설정 값들을 담은 일종의 디비
레지스트리만 잘보면 다 나오지만 어렵다 (바탕화면 아이콘 크기, 로컬정책, ip, 하드웨어, 소프트웨어, 사용자 pc선호도 등등 모든 정보가 있음)
32, 64bit 아키텍쳐
키와 값으로 구성되어있음
키 (트리구조)
윈도우의 폴더와 유사
경로와 같은 개념으로 사용
값
키안에 담긴 이름 자료
여러 키로부터 참조 가능
리눅스와 차이점 > 리눅스는 각 설정값을 파일로 담고 있다.
머가 더 편할까?
리눅스가 더 편하다.
우리에게 편한건 윈도우 이지만 레지스트리는 외우기가 힘들고 분석하는 입장에서는 파일이 더 편하다.
편집기 regedit
주로 크게 5가지
HKCR
HKCU
HKLM > 분석할때 많이봄
HKU
HKCC
H = hive
윈도우에는 원격 데스크톱 서비스가 존재
RDP 서비스가 실행되고 있을경우
기본 포트: 3389 > well known 포트 > 수시로 공격 들어옴 = 알수없는 사용자의 로그인 시도 지속적으로 발생
> 타 컴퓨터에서 ip주소, 계정, 3389포트로 원격 데스크톱 접근 가능
외부에서 접근하도록 설정
https://www.lainyzine.com/ko/article/how-to-change-port-number-of-remote-desktop-on-windosw-10/
regestry 특정 키에대한 값 변경
HKLM/SYSTEM/CurrentControlset/Terminal Server/Wds/dpwd/Tds/tcp
HKLM/SYSTEM/CurrentControlset/Terminal Server/WinStations/RDP-Tcp
service.msc > Remote Desktop Service (다시시작)
고급 설정이 포함된 방화벽 > 인바운드 규칙설정 > 58000포트에 대한 tcp upd 허용
시스템설정 > 원격접속 활성화
but 비밀번호가 없는 계정으로는 원격 연결이 할수 없다
> 공격자 입장에서 암호없이 접근하는 방법???
계정: 콘솔 로그온시 로컬 계정에서 빈 암호 사용 제한 을 수정할수 있는 레지스트리 키를 찾아야 한다
> 명령어로 값 수정
대부분
1 =사용
0 =사용 않함
악성코드 실행시 어떤 레지스트리 값을 추가하고 싶을까?
!자동실행!
확인할거 > 시작프로그램, 스케줄러, 원격,
'보안 > 케이쉴드' 카테고리의 다른 글
심화과정 1일차 (모의해킹 방법론) (0) | 2022.07.30 |
---|---|
오프라인 9일차 (위협에 대응하기 위한 보안 환경의 이해) (0) | 2022.07.26 |
오프라인 8일차 (위협에 대응하기 위한 보안 환경의 이해) (0) | 2022.07.21 |
오프라인 8일차 (원격 조종_pc 점령하기) (0) | 2022.07.21 |
오프라인 7일차 (웨협에 대응하기 위한 보안 환경의 이해) (0) | 2022.07.18 |