김서준(Seojun Kim)

1. 개요 2023년 6월 27일 Sysinternals는 블로그를 통해 Sysmon v15.0 업데이트 소식을 알렸다. 해당 업데이트로 Sysmon이 보호된 프로세스로 실행되도록 Protected Process Light(이하 PPL) 기술을 적용하고, 실행 파일이 저장될 때 발생하는 'FileExecutableDetected' 이벤트를 추가했다. PPL은 Windows 8.1/Windows Server 2012 R2부터 도입한 보호 수준 개념으로 관리자 권한이 있더라도

1. 개요 최근 국내 쇼핑몰을 대상으로 신용카드 결제 페이지 피싱 공격이 자주 발생하고 있다. 신용카드 결제 페이지 피싱 공격은 공격자가 정상적인 사이트를 모방해 이용자의 민감 정보(신용카드 번호, 유효기간, CVC 번호, 카드 비밀번호 등)를 탈취하는 공격이다. 유사한 사고가 급증함에 따라 플레인비트에서 관련 사고 조사를 다수 진행했으며, 사고 조사에서 확인된

1. 개요 이전 'Sysmon 활용 가이드: 이벤트 구성 항목'에서 Sysmon이 기록하는 이벤트의 구성 항목을 알아봤다. 본 글에서는 Sysmon Configure File의 구성과 작성 방법을 살펴본다. Sysmon을 기본 설정으로 설치하게 되면 기록하지 않는 이벤트가 존재하고, 설정을 모두 활성화하면 매우 많은 이벤트가 기록되어 정작 필요한 이벤트를 놓칠 수 있다. 따라서 시스템 용도에 따라

1. 개요 이전 'Sysmon 활용 가이드: 개념 및 설치 방법'에서 Sysmon이 무엇이며 어떻게 설치할 수 있는지 알아봤다. 본 글에서는 Sysmon이 기록하는 이벤트의 구성 항목을 살펴본다. Sysmon은 프로세스 생성을 포함해 총 29개의 이벤트로 구성되어 있으며, 목적에 맞게 이벤트를 활용하면 엔드포인트 보안을 보다 효과적으로 강화할 수 있다. Windows Vista 이상에서는 이벤트가 Microsoft-Windows-Sysmon%

1. 개요 코로나19 이후, 비대면 원격근무 환경이 확산되면서 보안에 취약할 수 있는 PC, 프린터 등 엔드포인트(EndPoint) 기기를 노린 침해사고가 증가하고 있다. 또한 사이버 공격 도구를 거래하는 플랫폼의 확산으로 공격 도구에 대한 접근성이 높아지면서 침해사고가 더욱 증가할 것으로 보인다. 실제로 과학기술정보통신부에서 발표한 ‘2023년 사이버 보안 위협 전망 보고서’에 따르면