김서준(Seojun Kim)

1. 개요 이전 'A Practical guide for Linux Sysmon : Concept and install'에서 Linux Sysmon을 어떻게 설치할 수 있는지 알아봤다. 본 글에서는 Linux Sysmon이 기록하는 이벤트와 활용 방안에 대해 살펴본다. Linux Sysmon은 프로세스 생성 이벤트를 포함해 총 9개 이벤트로 구성되어 있으며, 이를 통해 시스템 내에서 발생하는 다양한 활동을 모니터링할 수 있다.

1. 개요 과거에는 Linux 운영체제가 Windows 운영체제에 비해 상대적으로 보안 위협에서 안전하다는 인식이 많았다. 그러나, Action1의 '2025 Software Vulnerability Ratings' 보고서에 따르면, 2024년 Linux 시스템의 취약점 수가 2023년 대비 967% 증가해 공격자들이 악용할 수 있는 공격 표면이 넓어졌음을 알 수 있다. 또한, 이스트시큐리티의 '2024년 3분기 주요 랜섬웨어 동향'에 따르면, 가상화

1. 개요 웹 페이지 변조 공격은 공격자가 웹 서비스의 취약점을 악용해 웹 페이지의 정상적인 내용을 변조하거나 악성 코드를 삽입하는 행위이다. 해당 공격은 단순한 변조부터 사용자를 악성 사이트로 리디렉션하거나, 스크립트를 통해 개인정보를 탈취하는 형태까지 다양하게 나타나고 있다. 한국인터넷진흥원(KISA)에서 발표한 '2024년 침해사고 유형 TOP5'를 보면, 랜섬웨어보다 적지만 정보 유출과 비슷한

1. 개요 이 글에서는 Phantom DLL Hijacking 기법을 활용한 침해사고 사례를 통해 주요 공격 기법과 이를 대응하기 위한 대응 전략을 설명하고자 한다. 최근 기업 내 엔드포인트 보안에 대한 중요성이 커지면서, 많은 기업이 엔드포인트 보안 솔루션(백신, EDR 등)을 도입하고 있다. 이로 인해 공격자들은 공격 과정에서 보안 솔루션의 탐지를 회피하는

1. 새로운 도구의 필요성 침해사고 대응에서 시간은 매우 중요한 요소이다. 신속한 대응은 사고의 파급 효과를 최소화하고, 잠재적인 피해를 줄일 수 있다. 이러한 맥락에서 수집 도구는 다양한 아티팩트 및 로그를 수집해야 한다. 기존의 상용 수집 도구는 종종 사용자의 요구에 따라 수집 경로를 변경하거나 추가하는 것이 어려웠다. 또한, 오픈소스 도구들은 YAML과 같은

침해사고 사례 공유 세미나를 진행하며 침해사고 대응 및 조사의 현주소를 파악하기 위해 다양한 문항으로 설문조사를 실시했다. 해당 설문 조사는 상반기 및 하반기 세미나 참석자에게 응답을 받았으며, 문항은 총 11개이다. 설문조사 결과를 통해 침해사고 대응의 현주소에 대한 인사이트를 공유하고자 한다. 문항 #1 - 현재 어떤 업무를 수행하고 계신가요? 세미나 참석자의 업무

1. 개요 지난 12월 4일 하반기 침해사고 정보공유 세미나에서 'Sysmon을 이용한 호스트 기반의 사이버 위협 로깅 방안' 연구에 대해 소개하는 시간을 가졌다. 발표 후 질문받았던 내용 중에 Sysmon 프로세스 강제 중단을 방지하는 방법과 실행이 중단되었을 때 자동 실행 방안 등 Sysmon이 우회되는 것을 우려하는 질문이 많았다. 더 자세한 내용을 공유하기

이 글에서는 MS-SQL 로그 및 시스템 로그의 한계에 대응하기 위한 추가적인 로깅을 통한 추적과 침해사고 예방을 위한 몇 가지 보안 설정에 관해 설명한다. 침해사고 대응 및 예방을 위해 각 방안을 비교하여 시스템에 적절한 설정을 적용하는 것을 권고한다. 이 글을 읽기 전 아랫글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석

이 글에서는 CLR Shell 공격에 대한 로그와 아티팩트 분석으로 공격자의 행동과 관련된 정보를 찾아내는 방법에 대해 다룬다. 이 글을 읽기 전 아래 글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석 : 동향 및 공격 방식데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도