TheNote
RSS SANS 인터넷 스톰 센터, InfoCON: 녹... 노트
GooglePlay AppStore

RSS SANS 인터넷 스톰 센터, InfoCON: 녹색

SANS Institute의 일부인 'isc.sans.edu' 웹사이트는 사이버 보안 교육 및 인증을 위한 가장 신뢰할 수 있는 기관 중 하나입니다. 주로 정보 중심이며 사이버 보안 분야에서 다양한 리소스를 제공합니다. 'isc.sans.edu' 홈페이지는 SANS 인터넷 스톰 센터에서 제공하는 사이버 위협 및 취약성에 대한 실시간 업데이트를 제공합니다. 이것은 최신 업데이트, 위협 수준 그래프 및 박스 스코어를 포함한 대시보드 형식으로 표시됩니다. 다이아그노스틱 프로젝트를 제공하며, 이는 완전한 사이버 보안 분석을 위해 멀웨어 시그니처, 위협 피드 및 규칙 세트를 포함합니다. 또한 'isc.sans.edu' 사이트는 사이버 보안 전문가들을 위한 교육 및 훈련을 제공하며, 사이버 보안 주제에 대한 토론을 위한 포럼도 제공합니다. 사이트의 주요 섹션은 다음과 같습니다. 1. InfoStorms: 이것은 스톰을 추적하고 보고하며 즉각적인 위협을 완화하는 단계를 제공합니다. 2. 위협: 이 카테고리는 현재 전 세계적인 사이버 위협을 포함합니다. 3. 무료 도구: 사이버 위협에 대한 시스템 테스트 및 평가를 위해 웹사이트에는 여러 가지 무료 도구가 있습니다. 4. 교육: 사이버 보안 교육 과정을 선택할 수 있습니다. 5. 취약성: 이 섹션에서는 과거의 취약성에 대한 정보와 이를 완화하는 방법에 대한 지침을 제공합니다.
RSS isc.sans.edu
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS Hunter RSS Hunter 2024년 8월 23일

노트 스레드

VHDX 파일에서 Remcos RAT까지, (화, 6월 16일)

어제, 한 독자가 저희에게 악성 ZIP 아카이브(SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094[1])를 신고했습니다. 압축을 해제하면 VHDX 파일이 포함되어 있으며, 이 파일은 최신 Windows OS에서 자동으로 마운트될 때 악성 JavaScript를 드러냅니다.
From a VHDX File to a Remcos RAT, (Tue, Jun 16th) isc.sans.edu
CdXz5zHNQW_ugB8x5PIDr.png
RSS Hunter RSS Hunter 6월 16일

지난 3년간 framing protection security headers 사용은 어떻게 변화했는가? (수, 6월 10일)

2023년에 저는 인터넷에서 가장 인기 있는 100만 개 도메인(Tranco 목록[2] 기준)에서 X-Frame-Options 및 frame-ancestors 지시어를 포함하는 CSP 헤더가 얼마나 흔하게 사용되었는지, 그리고 어떻게 설정되었는지에 대한 일기[1]를 작성했습니다. 그 이후로 3년이 지났으므로, 그동안 무엇이 변경되었는지(있다면) 알아보기 위해 분석을 반복하는 것이 흥미로울 것이라고 생각했습니다.
How has use of framing protection security headers changed in the past 3 years?, (Wed, Jun 10th) isc.sans.edu
CdXz5zHNQW_IdWQNNsK4E.png
RSS Hunter RSS Hunter 6월 10일

마이크로소프트 2026년 6월 패치 화요일, (화요일, 6월 9일)

Microsoft는 오늘 204개의 취약점에 대한 패치를 출시했습니다. 이 중 38개는 치명적인 것으로 간주되며, 세 개는 오늘 이전에 공개되었습니다. 취약점 중 여섯 개는 Microsoft 클라우드 솔루션에 영향을 미치며 사용자 조치가 필요하지 않습니다. 또한 Microsoft는 Chromium에 영향을 미치는 360개의 다른 취약점을 Edge 브라우저에 통합했습니다.
Microsoft June 2026 Patch Tuesday, (Tue, Jun 9th) isc.sans.edu
RSS Hunter RSS Hunter 6월 9일

TeamPCP 공급망 캠페인: 2026년 6월 7일까지 활동, (6월 8일 월요일)

이 일지는 SANS 백서 "When the Security Scanner Became the Weapon"에 처음 기록되었고 가장 최근에는 핸들러 일지 "Activity Through 2026-05-24"에 기록된 TeamPCP 공급망 캠페인에 대한 Internet Storm Center의 추적을 이어갑니다. 해당 업데이트 이후, 이 이야기는 두 가지 새로운 국면으로 접어들었습니다. 첫째, 미국 정부가 공식적으로 이 캠페인을 인지하게 되었고, 둘째, 지난달 TeamPCP가 오픈 소스로 공개한 Mini Shai-Hulud 프레임워크를 사용하는 더 넓은 범위의 공격자들이 등장했습니다.
TeamPCP Supply Chain Campaign: Activity Through 2026-06-07, (Mon, Jun 8th) isc.sans.edu
RSS Hunter RSS Hunter 6월 8일

악마의 MSI 배경이 돌아왔습니다!, (금, 6월 5일)

몇 달 전, JPEG 사진에 삽입된 페이로드에 대한 일기를 썼습니다. 그것은 MSI 브랜드의 배경[1]이었습니다. 어제 또 다른 것을 발견했습니다! 이 기술이 점점 더 인기를 얻고 있는 것 같습니다. 이번에는 WeTransfer 링크가 포함된 메일로 시작되었습니다.
The Evil MSI Background is Back!, (Fri, Jun 5th) isc.sans.edu
CdXz5zHNQW_fvTme5iyKs.png
RSS Hunter RSS Hunter 6월 5일

swagger.json에 대한 스캔을 계속합니다. (6월 3일 수요일)

엔터프라이즈 애플리케이션은 웹 서비스를 위해 SOAP와 같은 복잡한 표준을 여전히 사용하는 경우가 많습니다. SOAP의 가장 큰 장점은 웹 서비스로 관리되는 엔터프라이즈 전반의 상호 운용성을 가능하게 하는 엄격하고 광범위한 표준입니다. SOAP의 단점은 다음과 같습니다. 첫째, HTTP 위에서 사용되는 것이 일반적이지만 HTTP를 활용하지 않아 불필요한 복잡성을 초래합니다. 둘째, 요즘 개발자들은 매뉴얼을 읽지 않고(RTFM) 신중한 시스템 설계의 기술을 높이 평가하지 않는 경향이 있으며, 코드가 작동하는지 확인하기 위해 IDE에 코드를 던져 넣는 것을 선호합니다.
Continuing Scans for swagger.json, (Wed, Jun 3rd) isc.sans.edu
CdXz5zHNQW_UvMTQ7U5w5.png
RSS Hunter RSS Hunter 6월 3일

SVG 파일이 포함된 새로운 피싱 이메일 물결 (화, 6월 2일)

며칠 동안 제 SANS ISC 메일함은 SVG 파일을 전달하는 이메일로 넘쳐났습니다. SVG("Scalable Vector Graphic")는 그래픽 및 아이콘에 사용되는 웹 친화적인 벡터 파일 형식입니다. 본문에는 URL이 없고, 단지 "이미지"만 있는데, 이는 악성 콘텐츠를 전달하는 완벽한 방법입니다. 위협 행위자들이 이 기법을 사용하는 것은 이번이 처음이 아닙니다[1].
New Wave Of Phishing Emails with SVG Files, (Tue, Jun 2nd) isc.sans.edu
CdXz5zHNQW_6gsqoqMRul.png
RSS Hunter RSS Hunter 6월 2일

DShield 센서에 업로드된 파일 1년치 분석 (수, 5월 27일)

지난 1년간 수집된 데이터를 사용하여 Kibana에서 이 두 개의 ES|QL 쿼리를 통해 데이터를 요약합니다. 이는 지난 1년간 두 개의 DShield 센서(로컬 및 클라우드)에 가장 많이 업로드된 위협 목록을 보여줍니다. 각 월별 활동을 정렬하여 센서에 업로드된 파일의 월별 변화를 보여줍니다. 활동은 겨울철(2025년 12월 - 2026년 2월)에 정점을 찍었고, 각 센서에 대해 2026년 3월부터 감소하기 시작했습니다.
Analysis of a Year of Files Uploaded to DShield Sensors, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_gsAcMK39gA.png
RSS Hunter RSS Hunter 5월 28일

Akira 랜섬웨어 킬 체인을 외부 및 엔드포인트 로그로부터 재구성하기, (5월 27일 수요일)

대부분의 Akira 분석 글은 랜섬 노트나 암호화 루틴에 초점을 맞춥니다. 이러한 것들이 나타날 때쯤이면 흥미로운 포렌식 작업은 이미 끝난 상태입니다. 방어자에게 중요한 질문들은 더 이전에 있습니다. 어떻게 침입했는가. 언제 도메인 관리자 권한을 얻었는가. 바이너리가 실행되기 전에 무엇을 건드렸는가. 이러한 답들은 영향 발생 이전의 날들에 존재합니다. 거의 결합되지 않는 두 개의 로그 소스에 있습니다. 경계 방화벽과 Windows 이벤트 채널입니다.
Reconstructing an Akira Ransomware Kill Chain from Perimeter and Endpoint Logs, (Wed, May 27th) isc.sans.edu
CdXz5zHNQW_93IR1k2xiV.png
RSS Hunter RSS Hunter 5월 27일

TeamPCP 공급망 캠페인: 2026년 5월 24일까지 활동, (5월 25일 월요일)

TeamPCP는 이제 세 가지 패키지 생태계에서 병렬로 운영되며, GitHub의 자체 내부 코드베이스에 도달했으며, 공식적으로 Microsoft에서 게시한 Python SDK를 트로이 목마화했으며, GitHub에 자체 프레임워크를 오픈 소스로 공개한 것으로 보입니다.
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 5월 25일

TeamPCP 공급망 캠페인: 2026년 5월 24일까지 활동, (5월 25일 월요일)

TeamPCP는 이제 세 가지 패키지 생태계에서 병렬로 운영되며, GitHub의 자체 내부 코드베이스에 도달했으며, 공식적으로 Microsoft에서 게시한 Python SDK를 트로이 목마화했으며, GitHub에 자체 프레임워크를 오픈 소스로 공개한 것으로 보입니다.
TeamPCP Supply Chain Campaign: Activity Through 2026-05-24, (Mon, May 25th) isc.sans.edu
RSS Hunter RSS Hunter 5월 25일

고수준 언어에서의 스택 문자열 예시, (5월 23일 토요일)

이번 주, 저는 SEC670[1] 훈련("Red Teaming Tools - Developing Windows Implants, Shellcode, Command and Control")에 참석하고 있습니다. 제 관점에서 이 훈련은 FOR610 또는 FOR710(악성코드 분석)과 완벽하게 어울립니다. 왜냐하면 악성코드를 반대되는 관점에서 다루기 때문입니다. 리버스 엔지니어링을 수행하는 대신, 악성 코드를 작성하는 것이죠! 항상 다른 관점을 갖는 것은 흥미롭습니다.
An Example of Stack String in High Level Language, (Sat, May 23rd) isc.sans.edu
CdXz5zHNQW_akbFJiIWgF.png
RSS Hunter RSS Hunter 5월 23일

크로스 플랫폼 NPM 스틸러, (금요일, 5월 22일)

꽤 잘 난독화된 Node.js 스틸러를 발견했습니다. 해당 파일은 VT에 'extracted-decoded.js' (그리고 재포맷됨)로 업로드되었기 때문에 바로 실행되지 않았습니다. SHA256은 049300aa5dd774d6c984779a0570f59610399c71864b5d5c2605906db46ddeb9[1]입니다. 샌드박스에서 제대로 실행되지 않아 정적 분석만 수행했습니다.
Cross-Platform NPM Stealer, (Fri, May 22nd) isc.sans.edu
RSS Hunter RSS Hunter 5월 22일

리눅스에서의 선택적 HTTP 프록싱, (목, 5월 21일)

최근 Rob은 특정 프로세스의 요청을 가로챌 수 있는 도구인 Proxifier에 대해 글을 썼습니다. Proxifier는 Windows, macOS, Android에서 사용할 수 있습니다. 하지만 아직 일반적인 Linux 옵션은 보지 못했습니다. Proxifier와 같은 도구의 장점은 특정 소프트웨어를 대상으로 할 수 있다는 것입니다. 디버깅, 리버스 엔지니어링 및 유사한 작업의 경우 특정 프로세스를 선택하는 것이 매우 유용합니다. 분석을 단순화하고 훑어봐야 할 노이즈를 줄여주기 때문입니다.
Selective HTTP Proxying in Linux, (Thu, May 21st) isc.sans.edu
RSS Hunter RSS Hunter 5월 21일

[Guest Diary] 새로운 악성코드 라이브러리는 새로운 시그니처를 의미합니다. (금, 5월 15일)

&#;xd; &#;xd; :root &#;x7b;&#;xd; --isc-maroon: #;7a1f1f;&#;xd; --isc-maroon-dark: #;5e1717;&#;xd; --isc-link: #;0066cc;&#;xd; --isc-text: #;1a1a1a;&#;xd; --isc-muted: #;555;&#;xd; --isc-rule: #;d0d0d0;&#;xd; --isc-code-bg: #;f4f4f4;&#;xd; --isc-code-text: #;c0392b;&#;xd; --isc-block-bg: #;1e1e1e;&#;xd; --isc-block-text: #;e6e6e6;&#;xd; --isc-callout-bg: #;fafafa;&#;xd; --isc-table-header: #;ececec;&#;xd; }&#;xd;
[Guest Diary] New Malware Libraries means New Signatures, (Fri, May 15th) isc.sans.edu
CdXz5zHNQW_GtQ11GEKYa.png
RSS Hunter RSS Hunter 5월 15일

Outlook 정크 폴더에서 링크 미리 보기 기능의 간단한 우회, (목, 5월 14일)

Microsoft Outlook이 의심스러운 스팸을 보관하는 장소로 사용되는 것 외에도, Outlook 정크 폴더는 악성 메시지를 식별하는 데 매우 유용한 추가 기능이 하나 더 있습니다. 이 폴더에 보관된 모든 이메일은 모든 서식이 제거되며, 메시지에 포함된 모든 링크의 대상이 사용자에게 보이게 됩니다. 이는 다음 이미지에서 확인할 수 있으며, 받은 편지함에 있을 때와 정크 폴더에 있을 때 동일한 이메일을 보여줍니다.
Simple bypass of the link preview function in Outlook Junk folder, (Thu, May 14th) isc.sans.edu
CdXz5zHNQW_G7WCE3NWMv.png
RSS Hunter RSS Hunter 5월 14일

쿠키는 서비스 제공에 도움이 됩니다. 서비스를 이용하거나 동의함을 클릭하면 쿠키 사용 에 동의하는 것으로 간주됩니다.