AXIOM 에서는 다양한 아티팩트 분석을 지원하지만, 간혹 분석 지원하지 않는 아티팩트가 있다.(ex. 한국에서 제작한 프로그램) 이렇게 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위해 AXIOM 은 Custom Artifact라는 기능을 지원하고 있다. Custom Artifact 란 커스텀 아티팩트는 아직 분석 기능을 제공하지 않는 아티팩트를 분석하기 위한 기능으로 설정된 XML 파일 또는

IGNITE는 사고 대응 조사를 위한 클라우드 기반의 초기 사례 평가 도구이다. 신속한 원격 스캔과 엔드포인트 분석을 수행하고 사고 범위와 다음 단계를 결정한다. 데이터 유출이나 주요 자산 접근을 확인할 수 있다. 또한, 자산 오용 및 정책 위반 파악하고 악의적인 활동을 한 엔드포인트를 분류할 수 있다. IGNITE는 Chrome, Firefox, Edge에서 지원되고 웹사이트(

마그넷에서 "2023 State of Enterprise DFIR"이라는 이름으로 기업의 DFIR 현황과 관련한 보고서를 공개했다. 해당 보고서는 북미, 유럽, 중동, 아프리카의 기업 DFIR 전문가(500명 이상)를 대상으로 실시한 설문조사 결과를 바탕으로 작성되었다. 조사 대상에서 아시아가 빠져있는 점이 아쉽지만 보고서에서 언급한 DFIR의 흐름이 아시아에서도 유사할 것으로 판단된다. 보고서에서는 크게 3개의 인사이트를

이 글에서는 MS-SQL 로그 및 시스템 로그의 한계에 대응하기 위한 추가적인 로깅을 통한 추적과 침해사고 예방을 위한 몇 가지 보안 설정에 관해 설명한다. 침해사고 대응 및 예방을 위해 각 방안을 비교하여 시스템에 적절한 설정을 적용하는 것을 권고한다. 이 글을 읽기 전 아랫글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석

이 글에서는 CLR Shell 공격에 대한 로그와 아티팩트 분석으로 공격자의 행동과 관련된 정보를 찾아내는 방법에 대해 다룬다. 이 글을 읽기 전 아래 글을 먼저 읽는 것을 추천한다. MS-SQL 침해사고 심층 분석 : 동향 및 공격 방식데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도

최근 몇 년 동안 사이버 공격은 기업과 개인에게 심각한 위협으로 떠올랐다. 특히, MS-SQL 데이터베이스는 공격자들의 주요 목표가 되었다. 이 글에서는 MS-SQL의 시스템 저장 프로시저를 활용한 침해사고에서 발견된 아티팩트를 분석해, 공격자의 행동을 이해하는 것에 중점을 둔다. 공격자들은 이런 기능을 활용해 파일을 다운로드, 실행, 변경, 삭제 등 다양한 행위를 수행할 수 있다.

1. 개요 오늘날 공격자가 시스템에 침투한 뒤 활용한 공격 도구를 삭제하는 행위는 당연시되고 있다. 따라서, 공격자가 시스템에서 파일을 삭제하는 시점을 기록하고 삭제한 파일을 확보할 수 있으면 공격자의 행위를 이해하는 데 더욱 도움이 된다. Sysmon의 파일 삭제 관련 이벤트에서는 삭제된 파일의 Hash 값을 기록하기 때문에 OSINT Tool로 분석해 알려진 공격 도구의

분석 지원하는 메신저 종류 AXIOM에서는 다양한 메신저에 대해 분석을 지원해준다. 분석 지원해주는 메신저의 종류는 "ARTIFACT DETAILS" 내 "COMMUNICATION" 항목에서 확인할 수 있으며, PC 같은 경우는 총 39개의 메신저를, 모바일 같은 경우는 총 57개의 메신저를 분석 지원해준다. 분석 지원하는 메신저 종류는 아래의 표와 같다. * PC * 모바일 AXIOM은 메신저의 암호화된 데이터를 복호화

데이터베이스 관리 시스템에서 중추적인 역할을 하는 MS-SQL 서버는 막대한 정보를 다루고 있다. 그러나 이러한 중요한 시스템에도 보안 취약점이 존재하며 공격 위협에 노출되고 있다. 특히, MS-SQL은 다양한 확장 기능을 제공한다. 이때, 공격에 주로 악용되는 xp_cmdshell과 CLR 저장 프로시저 확장 기능은 보안 문제를 야기할 수 있다. 이에 따라, 공격자들은 이러한 방식을