※ 해당 글은 김예지 연구원과 같이 작성한 글입니다.
Intro.
보안 사고는 사전 준비 여부와 상관 없이 언제나 당황스럽고 민감한 문제다. 특히, 랜섬웨어 사고는 기업 데이터를 암호화해 비즈니스 연속성을 심각하게 저해하고 데이터 손실과 금전 요구 등 막대한 피해를 초래한다.
랜섬웨어 사고가 발생했을 때 많은 기업에서는 대부분 신속한 복구를 위해 시스템을 초기화하지만, 이로
1. 개요
이 글에서는 Phantom DLL Hijacking 기법을 활용한 침해사고 사례를 통해 주요 공격 기법과 이를 대응하기 위한 대응 전략을 설명하고자 한다.
최근 기업 내 엔드포인트 보안에 대한 중요성이 커지면서, 많은 기업이 엔드포인트 보안 솔루션(백신, EDR 등)을 도입하고 있다. 이로 인해 공격자들은 공격 과정에서 보안 솔루션의 탐지를 회피하는
※ 해당 글은 이예나 선임연구원과 김예지 연구원과 같이 작성한 글입니다.
기술이 발전하면서 지속적으로 증가하는 침해 사고에 대응하기 위해 다수의 기업에서 EDR을 도입하고 있는 추세이다. 그러나, EDR을 도입한 후 담당자 또는 전문가의 부재로 이를 충분히 활용하지 못하는 기업이 다수 존재하는 것으로 확인됐다.
플레인비트는 앞서 언급한 문제점을 해결하기 위해 CERT-PLB 서비스를 오픈했으며, 서비스
1. Intro
한컴오피스 설치를 위해 구글에 '한컴오피스2024 다운로드'를 검색하던 중, 국내 한 커뮤니티에서 한컴 오피스 2024 설치 파일이 불법으로 유포되고 있는 것을 확인했다.
해당 사이트에 접속하여 게시글 확인해보니 2021년 10월 8일, '그대는하나'라는 닉네임을 가진 유저가 '한컴 오피스 2024' 설치 파일이 공개되었다며 토렌트 파일을 다운로드할 수 있는 업로드 사이트로 접속을 유도하고
1. 새로운 도구의 필요성
침해사고 대응에서 시간은 매우 중요한 요소이다. 신속한 대응은 사고의 파급 효과를 최소화하고, 잠재적인 피해를 줄일 수 있다.
이러한 맥락에서 수집 도구는 다양한 아티팩트 및 로그를 수집해야 한다. 기존의 상용 수집 도구는 종종 사용자의 요구에 따라 수집 경로를 변경하거나 추가하는 것이 어려웠다. 또한, 오픈소스 도구들은 YAML과 같은
※ 해당 글은 김소정 연구원이 작성한 글입니다.
1. Intro.
지난 2024년 2월 22일, 트위터를 통해 악성 파일 "반국가세력에 안보기관이 무력해서는 안된다.zip"의 탐지 이력이 공개되었다.
본 블로그 글에서는 해당 악성 코드 샘플을 확보하여, 최근 북한 해킹 그룹이 사용하는 LNK 파일 공격 행위를 분석하고자 한다.
#APT #APT37
Filename:(안보칼럼) 반국가세력에 안보기관이
* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.
* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 junhyeong.lee@plainbit.co.kr 메일로 연락 주시면 감사하겠습니다.
This post is so
Intro.
대부분의 현대 Anti-Virus 제품은 시그니처 방식과 휴리스틱 방식을 활용해 악성으로 의심되는 파일(Malicious file)을 탐지 및 차단하고 있다. 악성으로 의심되는 파일은 악성코드로 간주하고 검역소로 이동 후 사용자에게 알림과 확인 절차를 통해 악성코드 판별을 유도한다.
이런 이유로 DFIR 분석 과정에서 Anti-Virus 검역소에 저장되어 있는 공격자의 공격 도구를 심심찮게 볼
