EDR17 728x90 기록을 남기지 않는 무흔적 파일리스 기반 랜섬웨어, 어떻게 잡을까? 기록을 남기지 않는 랜섬웨어(Traceless Ransomware)는 전통적인 보안 탐지 체계를 우회하기 위해 디스크나 로그에 흔적을 최소화하며 동작하는 고도화된 악성코드입니다. 파일리스(Fileless) 기법과 정상 시스템 도구 악용을 통해 탐지를 회피하고, 공격 후 자가 삭제 기능으로 포렌식 분석을 어렵게 만드는 특징을 가집니다.1. 핵심 특징 및 동작 방식1.1 파일리스(Fileless) 기법특징설명위험도메모리 기반 실행디스크에 악성 파일을 저장하지 않고 RAM에서만 동작🔴 High정상 도구 악용PowerShell, wscript, BitLocker 등 운영체제 내장 도구 사용🔴 High자가 삭제공격 완료 후 자신의 실행 파일과 임시 파일을 자동 삭제🟡 Medium로그 제거시스템 로그와 프로세.. 2025. 8. 15. 안티바이러스 시그니처 백신에서 EPP-EDR-MDR AI까지, 보안 솔루션 변화 전통적인 바이러스 백신 (1980년대~2000년대 초반)특징시그니처(패턴) 기반 탐지: 알려진 악성코드의 고유한 패턴을 데이터베이스화하여 비교정적 분석 중심: 파일의 해시값, 특정 코드 패턴 등을 매칭 한계점새로운 변종이나 제로데이 공격에 무력다형성(Polymorphic) 악성코드 탐지 불가패턴 DB 업데이트 전까지는 탐지 불가능 예시기존 악성코드: virus.exe (해시: ABC123)변종 악성코드: virus_v2.exe (해시: XYZ789)→ 패턴 DB에 없으면 탐지 실패EPP (Endpoint Protection Platform) 등장 (2000년대 후반~2010년대)발전 배경단순 바이러스를 넘어 랜섬웨어, 트로이목마, 웜, 스파이웨어 등 다양한 위협 출현통합적인 엔드포인트 보호 필요성 대두 .. 2025. 6. 29. 차세대 SOC와 보안 전략: SOAR와 EDR의 역할 및 최신 동향과 전망 현대 보안 환경의 도전과제와 문제점현대 기업들은 복잡하고 다양한 보안 위협에 직면하면서 차세대 SOC(Security Operation Center)의 필요성이 대두되고 있습니다.1. 구조적 도전과제하이브리드/멀티클라우드 환경 확산가트너 전망: 2030년까지 기술 인프라의 60%가 IT 조직의 직접 통제 밖에 놓일 것원격/모바일 근무 확산으로 기업 네트워크 외부 엔드포인트 보안 중요성 증대클라우드 전환으로 인한 공격 표면의 기하급수적 확장공격 기법의 고도화APT(Advanced Persistent Threat) 공격의 증가파일리스(Fileless) 공격 등 회피 기술을 포함한 정교한 공격 확산제로데이 취약점을 이용한 공격 증가2. 운영적 문제점보안 가시성 저하SIEM의 로그 통합만으로는 모든 위협 탐지 .. 2025. 5. 12. MSSQL 대상 Ammyy Admin 공격 대응: EDR · SIEM · Firewall 통합 방어법 Ammyy Admin은 원격 데스크톱 소프트웨어 중 하나로, 악성 행위자들이 자주 악용하는 도구입니다. 특히 MSSQL 서버를 대상으로 한 침해사고 사례에서 이 도구가 종종 등장합니다.기본 개념원격 제어 소프트웨어로, 사용자가 네트워크를 통해 다른 컴퓨터를 제어할 수 있도록 설계됨GUI 기반으로 설치가 간편하며 포터블 실행 파일 형태로 동작함원격 데스크톱, 파일 전송, 음성 채팅 기능 제공기업에서 IT 지원 용도로 사용되기도 하지만, 공격자에게는 무인증 원격 제어 수단이 되기도 함주요 특징설치 불필요: 다운로드 후 바로 실행 가능서비스로 등록 가능: 재부팅 후에도 자동 실행 가능방화벽 우회 용이: 기본적으로 TCP 포트 443을 사용하며, 별도 포트 설정도 가능⚠️ 보안 위협 및 악용 사례MSSQL 서버.. 2025. 4. 22. Redline 포렌식과 Sysmon, Sysinternals 연계한 Windows 위협 탐지 분석 자동화 Redline은 FireEye(현재 Trellix)에서 개발한 강력한 디지털 포렌식 및 메모리 분석 도구입니다. 보안 사고 대응(Incident Response, IR) 및 침해 분석(Compromise Assessment) 목적으로 사용되며, Windows 시스템에서 악성코드 감염 징후를 분석하고, 다양한 아티팩트를 수집하는 기능을 제공합니다.1. Redline의 주요 기능1) 프로세스 및 메모리 분석실행 중인 프로세스 목록 및 관련 메모리 분석DLL Injection 탐지 및 의심스러운 프로세스 확인악성코드가 숨겨둔 코드 인젝션 탐지네트워크 연결 중인 프로세스 확인 및 분석2) 시스템 및 파일 분석Windows 레지스트리(Registry) 키 분석파일 시스템에서 특정 파일 및 폴더의 변조 여부 검사P.. 2025. 3. 23. 이전 1 2 3 4 다음 728x90 728x90
