본문 바로가기

malware18

Vi 에디터 스왑파일(swp) 생성 시 공격자 악용 탐지 및 해결 방법 공격자가 스왑 파일을 악용하여 크레딧 카드 정보를 훔치는 사례에서 보안 대응 측면입니다. 이런 유형의 공격에 효과적으로 대응하기 위해 몇 가지 주요 단계와 권장 사항을 설명합니다.1. 공격 벡터 이해공격자는 서버의 스왑 파일을 이용하여 맬웨어를 은닉하고, 일반적인 파일 탐지 방법을 회피할 수 있습니다. 스왑 파일은 보통 편집 도중 발생하는 충돌을 방지하기 위해 생성되며, 이 파일을 통해 악성 코드를 삽입하여 서버에 남겨둘 수 있습니다.2. 탐지 및 분석파일 시스템 스캔: 정기적으로 파일 시스템을 스캔하여 의심스러운 스왑 파일을 식별합니다. find 명령어를 활용하여 스왑 파일을 찾을 수 있습니다.find / -type f -name "*-swapme"파일 무결성 검사: osquery와 같은 도구를 사용하.. 2024. 9. 19.
WhatsApp Business 메시징 파일 전송 보안 모니터링 자동화 WhatsApp은 2009년에 출시된 무료 메시징 애플리케이션으로, 현재 Meta (구 페이스북) 소유입니다. 전 세계적으로 널리 사용되는 WhatsApp은 간단한 사용자 인터페이스와 다양한 기능을 제공하여 인기를 얻었습니다. 주요 기능과 특징, 보안 관점, 활용 사례 등에 대한 설명입니다.주요 기능과 특징메시징: 문자 메시지, 사진, 비디오, 음성 메시지를 주고받을 수 있습니다.음성 및 영상 통화: 무료 음성 및 영상 통화를 지원하여 전 세계 어디서나 연결이 가능합니다.그룹 채팅: 최대 256명까지 그룹 채팅을 생성할 수 있습니다.상태 업데이트: 사용자들은 사진, 비디오, GIF 등을 24시간 동안 상태로 공유할 수 있습니다.파일 공유: 문서, PDF, 스프레드시트 등 다양한 파일 형식을 공유할 수 있.. 2024. 9. 16.
소프트웨어 소스코드 난독화(Code Obfuscation) 및 악성코드 탐지 기법 코드 난독화(Obfuscation)는 소스 코드 또는 기계 코드의 이해를 어렵게 하여 분석이나 리버스 엔지니어링(Reverse Engineering)을 방지하기 위한 기술입니다. 보안성을 높이기 위해 주로 사용되며, 악성 코드나 저작권 보호를 위해서도 사용될 수 있습니다. 코드 난독화는 주로 다음과 같은 기법들을 포함합니다.주요 난독화 기법변수 이름 변경: 의미 없는 이름으로 변수명을 변경하여 코드의 가독성을 낮춥니다. # Before def add_numbers(a, b): result = a + b return result # After def x1(x2, x3): x4 = x2 + x3 return x4코드 구조 변경: 코드 블록을 재구성하거나 불필요한 코드를 추가하여 .. 2024. 9. 15.
FireEye HX APT 솔루션 다양한 보안 이벤트 탐지 분석 대응 FireEye HX는 다양한 보안 이벤트를 탐지하고 분석할 수 있는 강력한 APT/EDR 솔루션입니다.FireEye HX에서 이벤트 수집 방법1. 로그인 및 대시보드 접근FireEye HX 관리 콘솔에 로그인합니다. 대시보드에서 현재 상태와 최근 이벤트를 확인할 수 있습니다.2. 이벤트 설정설정 접근: 관리 콘솔에서 "Settings"로 이동합니다.정책 및 규칙 설정: "Policies" 또는 "Rules" 섹션으로 이동하여 필요한 이벤트 수집 정책을 설정합니다.기본 정책: 기본 제공되는 정책을 활용할 수 있으며, 필요에 따라 수정하거나 새로운 정책을 추가할 수 있습니다.규칙 설정: 특정 조건에 맞는 이벤트를 탐지하기 위해 규칙을 설정합니다. 예를 들어, 특정 파일 접근, 네트워크 연결, 프로세스 실행 .. 2024. 8. 25.
조직 내부에 TI(Threat Intelligence) 환경 구축 및 운영으로 보안수준 향상 TI (Threat Intelligence) 환경을 내부에서 구축하고 운영하는 것은 조직의 보안 수준을 향상시키는 데 큰 도움이 될 수 있습니다. 여기에는 몇 가지 일반적이고 표준적인 방법들이 있습니다.TI 플랫폼 선정: 먼저, 조직에 맞는 TI 플랫폼을 선정해야 합니다. 시중에는 MISP (Malware Information Sharing Platform), ThreatConnect, Anomali ThreatStream 등 다양한 TI 플랫폼이 있습니다. 각 플랫폼의 기능, 비용, 호환성 등을 고려하여 선택하세요.데이터 수집: TI 환경의 핵심은 다양한 출처에서 정보를 수집하는 것입니다. 이는 공개 소스(OSINT), 사이버 범죄 포럼, 다크웹, 정부 보고서, 상업적 피드 등을 포함할 수 있습니다. .. 2024. 7. 4.
728x90

티스토리툴바