장원희(Kelly Jang)

장원희(Kelly Jang)

18 posts
DFIR Analyst
DFIR

A Practical guide for Sysmon : Use ArchiveDirectory

1. 개요 오늘날 공격자가 시스템에 침투한 뒤 활용한 공격 도구를 삭제하는 행위는 당연시되고 있다. 따라서, 공격자가 시스템에서 파일을 삭제하는 시점을 기록하고 삭제한 파일을 확보할 수 있으면 공격자의 행위를 이해하는 데 더욱 도움이 된다. Sysmon의 파일 삭제 관련 이벤트에서는 삭제된 파일의 Hash 값을 기록하기 때문에 OSINT Tool로 분석해 알려진 공격 도구의
김서준(Seojun Kim)
김서준(Seojun Kim) and other authors
8 분 소요
Case Study DFIR

Deep dive into MS-SQL IR Case : Trend and attack method

데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도 보안 취약점이 존재하며 공격 위협에 노출되고 있다. 특히, MS-SQL은 다양한 확장 기능을 제공한다. 이때, 공격에 주로 악용되는 xp_cmdshell과 CLR 저장 프로시저 확장 기능은 보안 문제를 야기할 수 있다. 이에 따라, 공격자들은 이러한 방식을
이승형(SeungHyeong Lee)
이승형(SeungHyeong Lee) and other authors
9 분 소요
DFIR

Sysmon v15.0 Update

1. 개요 2023년 6월 27일 Sysinternals는 블로그를 통해 Sysmon v15.0 업데이트 소식을 알렸다. 해당 업데이트로 Sysmon이 보호된 프로세스로 실행되도록 Protected Process Light(이하 PPL) 기술을 적용하고, 실행 파일이 저장될 때 발생하는 'FileExecutableDetected' 이벤트를 추가했다. PPL은 Windows 8.1/Windows Server 2012 R2부터 도입한 보호 수준 개념으로 관리자 권한이 있더라도
김서준(Seojun Kim)
김서준(Seojun Kim) and other authors
7 분 소요
Case Study Cryptocurrency

Case of Inserting Credit cards payments Phishing page

1. 개요 최근 국내 쇼핑몰을 대상으로 신용카드 결제 페이지 피싱 공격이 자주 발생하고 있다. 신용카드 결제 페이지 피싱 공격은 공격자가 정상적인 사이트를 모방해 이용자의 민감 정보(신용카드 번호, 유효기간, CVC 번호, 카드 비밀번호 등)를 탈취하는 공격이다. 유사한 사고가 급증함에 따라 플레인비트에서 관련 사고 조사를 다수 진행했으며, 사고 조사에서 확인된
장원희(Kelly Jang)
장원희(Kelly Jang) and other authors
10 분 소요
DFIR

A Practical guide for Sysmon : Configure file fields and writing

1. 개요 이전 'Sysmon 활용 가이드: 이벤트 구성 항목'에서 Sysmon이 기록하는 이벤트의 구성 항목을 알아봤다. 본 글에서는 Sysmon Configure File의 구성과 작성 방법을 살펴본다. Sysmon을 기본 설정으로 설치하게 되면 기록하지 않는 이벤트가 존재하고, 설정을 모두 활성화하면 매우 많은 이벤트가 기록되어 정작 필요한 이벤트를 놓칠 수 있다. 따라서 시스템 용도에 따라
김서준(Seojun Kim)
김서준(Seojun Kim) and other authors
12 분 소요
DFIR

A Practical guide for Sysmon : Event items

1. 개요 이전 'Sysmon 활용 가이드: 개념 및 설치 방법'에서 Sysmon이 무엇이며 어떻게 설치할 수 있는지 알아봤다. 본 글에서는 Sysmon이 기록하는 이벤트의 구성 항목을 살펴본다. Sysmon은 프로세스 생성을 포함해 총 29개의 이벤트로 구성되어 있으며, 목적에 맞게 이벤트를 활용하면 엔드포인트 보안을 보다 효과적으로 강화할 수 있다. Windows Vista 이상에서는 이벤트가 Microsoft-Windows-Sysmon%
김서준(Seojun Kim)
김서준(Seojun Kim) and other authors
43 분 소요
DFIR

A Practical guide for Sysmon : Concept and install

1. 개요 코로나19 이후, 비대면 원격근무 환경이 확산되면서 보안에 취약할 수 있는 PC, 프린터 등 엔드포인트(EndPoint) 기기를 노린 침해사고가 증가하고 있다. 또한 사이버 공격 도구를 거래하는 플랫폼의 확산으로 공격 도구에 대한 접근성이 높아지면서 침해사고가 더욱 증가할 것으로 보인다. 실제로 과학기술정보통신부에서 발표한 ‘2023년 사이버 보안 위협 전망 보고서’에 따르면
김서준(Seojun Kim)
김서준(Seojun Kim) and other authors
10 분 소요
Artifact

Win10 PE Forensics: 윈도우 10 PE 포렌식 – CLI 형식으로 설치 및 부팅

# 윈도우 10 PE 포렌식 Windows PE (Preinstallation Environment)는 말 그대로 데스크톱 버전(Home, Pro, Enterprise, Education) 등의 Windows를 설치, 배포 및 복구하는 데 사용되는 경량형 운영체제이다. 보통 PC의 비밀번호를 잊어버린 경우에 해당 OS로 부팅 시켜 비밀번호를 초기화 시킨다든지, OS가 부팅이 되지 않을 때 저장 장치 내에 있는 파일들을 백업시키는
장원희(Kelly Jang)
장원희(Kelly Jang)
22 분 소요
Insight

2018 PLAINBIT Workshop in Saipan

2018년 4월 20일부터 24일까지 4박 5일의 일정으로 워크숍을 사이판으로 다녀왔습니다. 사이판의 계절은 2계절로, 건기(11월~6월)와 우기(7월~10월)로 나누어져 있고 1년 내내 더운 여름 날씨입니다. 다행히 우기 때에도 하루 종일 비가 오는 것이 아니라 스콜성 소나기가 오는 정도라고 합니다. 혹시나 사이판으로 휴가를 계획하고 계신다면 참고하시기 바랍니다. 1일차
장원희(Kelly Jang)
장원희(Kelly Jang)
7 분 소요
Press ESC to close.
You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.