김서준(Seojun Kim)

1. 개요 웹 페이지 변조 공격은 공격자가 웹 서비스의 취약점을 악용해 웹 페이지의 정상적인 내용을 변조하거나 악성 코드를 삽입하는 행위이다. 해당 공격은 단순한 변조부터 사용자를 악성 사이트로 리디렉션하거나, 스크립트를 통해 개인정보를 탈취하는 형태까지 다양하게 나타나고 있다. 한국인터넷진흥원(KISA)에서 발표한 '2024년 침해사고 유형 TOP5'를 보면, 랜섬웨어보다 적지만 정보 유출과 비슷한

1. 개요 이 글에서는 Phantom DLL Hijacking 기법을 활용한 침해사고 사례를 통해 주요 공격 기법과 이를 대응하기 위한 대응 전략을 설명하고자 한다. 최근 기업 내 엔드포인트 보안에 대한 중요성이 커지면서, 많은 기업이 엔드포인트 보안 솔루션(백신, EDR 등)을 도입하고 있다. 이로 인해 공격자들은 공격 과정에서 보안 솔루션의 탐지를 회피하는

1. 새로운 도구의 필요성 침해사고 대응에서 시간은 매우 중요한 요소이다. 신속한 대응은 사고의 파급 효과를 최소화하고, 잠재적인 피해를 줄일 수 있다. 이러한 맥락에서 수집 도구는 다양한 아티팩트 및 로그를 수집해야 한다. 기존의 상용 수집 도구는 종종 사용자의 요구에 따라 수집 경로를 변경하거나 추가하는 것이 어려웠다. 또한, 오픈소스 도구들은 YAML과 같은

침해사고 사례 공유 세미나를 진행하며 침해사고 대응 및 조사의 현주소를 파악하기 위해 다양한 문항으로 설문조사를 실시했다. 해당 설문 조사는 상반기 및 하반기 세미나 참석자에게 응답을 받았으며, 문항은 총 11개이다. 설문조사 결과를 통해 침해사고 대응의 현주소에 대한 인사이트를 공유하고자 한다. 문항 #1 - 현재 어떤 업무를 수행하고 계신가요? 세미나 참석자의 업무

1. 개요 지난 12월 4일 하반기 침해사고 정보공유 세미나에서 'Sysmon을 이용한 호스트 기반의 사이버 위협 로깅 방안' 연구에 대해 소개하는 시간을 가졌다. 발표 후 질문받았던 내용 중에 Sysmon 프로세스 강제 중단을 방지하는 방법과 실행이 중단되었을 때 자동 실행 방안 등 Sysmon이 우회되는 것을 우려하는 질문이 많았다. 더 자세한 내용을 공유하기

이 글에서는 MS-SQL 로그 및 시스템 로그의 한계에 대응하기 위한 추가적인 로깅을 통한 추적과 침해사고 예방을 위한 몇 가지 보안 설정에 관해 설명한다. 침해사고 대응 및 예방을 위해 각 방안을 비교하여 시스템에 적절한 설정을 적용하는 것을 권고한다. 이 글을 읽기 전 아랫글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석

이 글에서는 CLR Shell 공격에 대한 로그와 아티팩트 분석으로 공격자의 행동과 관련된 정보를 찾아내는 방법에 대해 다룬다. 이 글을 읽기 전 아래 글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석 : 동향 및 공격 방식데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도

최근 몇 년 동안 사이버 공격은 기업과 개인에게 심각한 위협으로 떠올랐다. 특히, MS-SQL 데이터베이스는 공격자들의 주요 목표가 되었다. 이 글에서는 MS-SQL의 시스템 저장 프로시저를 활용한 침해사고에서 발견된 아티팩트를 분석해, 공격자의 행동을 이해하는 것에 중점을 둔다. 공격자들은 이런 기능을 활용해 파일을 다운로드, 실행, 변경, 삭제 등 다양한 행위를 수행할 수 있다.

1. 개요 오늘날 공격자가 시스템에 침투한 뒤 활용한 공격 도구를 삭제하는 행위는 당연시되고 있다. 따라서, 공격자가 시스템에서 파일을 삭제하는 시점을 기록하고 삭제한 파일을 확보할 수 있으면 공격자의 행위를 이해하는 데 더욱 도움이 된다. Sysmon의 파일 삭제 관련 이벤트에서는 삭제된 파일의 Hash 값을 기록하기 때문에 OSINT Tool로 분석해 알려진 공격 도구의