본문 바로가기

EDR14

728x90
MSSQL 대상 Ammyy Admin 공격 대응: EDR · SIEM · Firewall 통합 방어법 Ammyy Admin은 원격 데스크톱 소프트웨어 중 하나로, 악성 행위자들이 자주 악용하는 도구입니다. 특히 MSSQL 서버를 대상으로 한 침해사고 사례에서 이 도구가 종종 등장합니다.기본 개념원격 제어 소프트웨어로, 사용자가 네트워크를 통해 다른 컴퓨터를 제어할 수 있도록 설계됨GUI 기반으로 설치가 간편하며 포터블 실행 파일 형태로 동작함원격 데스크톱, 파일 전송, 음성 채팅 기능 제공기업에서 IT 지원 용도로 사용되기도 하지만, 공격자에게는 무인증 원격 제어 수단이 되기도 함주요 특징설치 불필요: 다운로드 후 바로 실행 가능서비스로 등록 가능: 재부팅 후에도 자동 실행 가능방화벽 우회 용이: 기본적으로 TCP 포트 443을 사용하며, 별도 포트 설정도 가능⚠️ 보안 위협 및 악용 사례MSSQL 서버.. 2025. 4. 22.
Redline 포렌식과 Sysmon, Sysinternals 연계한 Windows 위협 탐지 분석 자동화 Redline은 FireEye(현재 Trellix)에서 개발한 강력한 디지털 포렌식 및 메모리 분석 도구입니다. 보안 사고 대응(Incident Response, IR) 및 침해 분석(Compromise Assessment) 목적으로 사용되며, Windows 시스템에서 악성코드 감염 징후를 분석하고, 다양한 아티팩트를 수집하는 기능을 제공합니다.1. Redline의 주요 기능1) 프로세스 및 메모리 분석실행 중인 프로세스 목록 및 관련 메모리 분석DLL Injection 탐지 및 의심스러운 프로세스 확인악성코드가 숨겨둔 코드 인젝션 탐지네트워크 연결 중인 프로세스 확인 및 분석2) 시스템 및 파일 분석Windows 레지스트리(Registry) 키 분석파일 시스템에서 특정 파일 및 폴더의 변조 여부 검사P.. 2025. 3. 23.
보안관제(SOC) 운영 Threat Hunting & Incident Response with XDR/EDR/SIEM/SOAR 보안 관제(Security Operations Center, SOC)는 침해 탐지(Detection), 위협 분석(Threat Analysis), 사고 대응(Incident Response, IR) 등을 수행하는 조직으로, SIEM(Security Information and Event Management), EDR(Endpoint Detection and Response), SOAR(Security Orchestration, Automation and Response) 등의 도구를 활용하여 보안 이벤트를 관리한다. 조직의 규모, 운영 방식(내부 SOC, 외부 위탁 관제, MSSP 등)에 따라 SOC의 구조는 다를 수 있지만, 일반적으로 SOC는 다층적 역할 체계(L1, L2, L3) 로 구성된다.1. .. 2025. 3. 18.
Wazuh 활용한 방화벽 룰셋 모니터링 및 SCA 관리 체계 Wazuh를 사용하여 iptables 룰셋 변경 감지와 Security Configuration Assessment(SCA)를 통합하여 서버의 보안 상태를 점검하고, 변경 사항을 중앙에서 모니터링 및 관리하며, 이상 상태에 대한 알림을 설정하고 대응하는 전체 프로세스 체계로 각 단계별 설정 및 예시입니다.시스템 개요목표iptables 룰셋 변경을 실시간으로 감지하고, 중앙 로그로 수집 및 경고(Alert) 생성.SCA 룰셋을 활용해 주기적으로 시스템 보안 상태를 점검하고, 정책 위반(Failed)을 탐지.모든 이벤트를 중앙에서 관리하고 비정상 상태에 대한 알림과 대응 조치를 수행.구성 요소Wazuh Agent각 서버에서 iptables 및 SCA 데이터를 수집.Wazuh Manager중앙에서 데이터를 분.. 2025. 2. 22.
Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1.
728x90
728x90