DFIR

*.chm 파일은 윈도우 도움말을 띄워주는 것으로 잘 알려져 있다. 하지만 공격자들은 *.chm 파일에 스크립트를 삽입해 악의적인 목적으로 사용하기도 한다. 본 글에서는 악성 *.chm 파일의 유형을 구분하고 샘플 파일을 분석한 내용에 대해 설명한다.

1. Intro. 지난 2024년 2월 22일, 트위터를 통해 악성 파일 "반국가세력에 안보기관이 무력해서는 안된다.zip"의 탐지 이력이 공개되었다. 본 블로그 글에서는 해당 악성 코드 샘플을 확보하여, 최근 북한 해킹 그룹이 사용하는 LNK 파일 공격 행위를 분석하고자 한다. #APT #APT37 Filename:(안보칼럼) 반국가세력에 안보기관이 무기력해서는 안된다.zip MD5:5127bf820b33e4491a93165cfdd25be4 zip->

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다. This post is related case study or DFIR artifacts research. * 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 junhyeong.lee@plainbit.co.kr 메일로 연락 주시면 감사하겠습니다. This post is so

Intro. 대부분의 현대 Anti-Virus 제품은 시그니처 방식과 휴리스틱 방식을 활용해 악성으로 의심되는 파일(Malicious file)을 탐지 및 차단하고 있다. 악성으로 의심되는 파일은 악성코드로 간주하고 검역소로 이동 후 사용자에게 알림과 확인 절차를 통해 악성코드 판별을 유도한다. 이런 이유로 DFIR 분석 과정에서 Anti-Virus 검역소에 저장되어 있는 공격자의 공격 도구를 심심찮게 볼

서론 사이버 보안의 중요성은 기술의 발전과 함께 날로 증가하고 있으며, 이러한 환경에서 전문가들 간의 침해 지표(IoC) 및 위협 정보의 공유는 사이버 위협에 대응하고 예방하는 데 있어 점점 더 중요해지고 있다. 이러한 정보 공유는 조직이 사이버 공격의 초기 단계에서부터 위협을 식별하고 대응할 수 있게 해준다. 오늘은 이러한 필요에 부응하는 도구

Traffic Light Protocol(TLP)은 FIRST(Forum of Incident Response and Security Teams)에서 개발한 프로토콜이며, 잠재적으로 민감한 정보에 대해 공유할 수 있는 범위를 지정하는 표기 시스템이다. Traffic Light Protocol(이하 TLP) 2.0에서는 정보의 공유 경계를 나타내기 위해 4가지의 색상(RED, AMBER, GREEN, CLEAR)을 사용한다. 기존 1.0에서는

침해사고 사례 공유 세미나를 진행하며 침해사고 대응 및 조사의 현주소를 파악하기 위해 다양한 문항으로 설문조사를 실시했다. 해당 설문 조사는 상반기 및 하반기 세미나 참석자에게 응답을 받았으며, 문항은 총 11개이다. 설문조사 결과를 통해 침해사고 대응의 현주소에 대한 인사이트를 공유하고자 한다. 문항 #1 - 현재 어떤 업무를 수행하고 계신가요? 세미나 참석자의 업무

이제는 랜섬웨어나 정보 유출과 같은 침해사고가 기업 또는 개인의 문제로만 여기기 어려울 정도로 빈번하게 발생하고 있다. 이로 인해 중소기업들은 상대적으로 보안에 대한 투자와 인력이 부족한 상태에서 사이버 공격으로부터 피해를 입는 경우가 늘어나고 있다. 이에 중소기업의 보안 강화에 대한 필요성이 더욱 강조되고 있다. 플레인비트는 한국인터넷진흥원과 2022년부터 침해사고가 발생한 중소기업을 대상으로 사고

1. 개요 지난 12월 4일 하반기 침해사고 정보공유 세미나에서 'Sysmon을 이용한 호스트 기반의 사이버 위협 로깅 방안' 연구에 대해 소개하는 시간을 가졌다. 발표 후 질문받았던 내용 중에 Sysmon 프로세스 강제 중단을 방지하는 방법과 실행이 중단되었을 때 자동 실행 방안 등 Sysmon이 우회되는 것을 우려하는 질문이 많았다. 더 자세한 내용을 공유하기