보안의 본질: 와일드파이어와 Windows, 그리고 SecureOS

🔥 와일드파이어: 힘과 파괴의 양면성

드라마 왕좌의 게임(Game of Thrones) 시즌 2, 5화에는
강렬한 장면 하나가 등장합니다.

바로 초록색 불꽃 — 와일드파이어(Wildfire) 입니다.

이 물질은 단순한 무기가 아닙니다.

• 적을 단숨에 쓸어버릴 수 있는 ...

더 읽기

Sysmon → Prefetch → ShimCache → Amcache: 실행 체인 복원 실무 가이드 (LOLBAS 로그 연계 포함)

📌 이 글의 목표는 하나입니다.
“악성 파일이 실행됐는가?”에서 끝내지 않고, 한 단계 더 들어가서
✅ “누가(부모) → 무엇을(자식) → 어떤 인자(CommandLine)로 → 언제 실행했고, 그 다음에 뭘 했나?”
즉 실행 체인(Execution Chain)을 보고...

더 읽기

왜 그나마 최신 운영체제로 빠르게 바꿔야 할까요? — Pass-the-Hash가 ‘너무 쉬워진’ 이유 🔐

한 줄 요약
🧨 요즘 해킹이 쉬워진 이유는
‘뚫는 기술’이 좋아진 데에 그치지 않고,
🔓 한 번만 들어오면 내부에서 옆으로 이동하기가 너무 쉬워졌기 때문입니다.
그 핵심에 Pass-the-Hash(PtH) 와 NTLM 환경이 있습니다.

• NTLM:...

더 읽기

curl 요청은 악성일까? 과탐 없는 WAF 운영을 위한 체크포인트

🧪 curl 요청, WAF에서 과탐 대상일까?

웹 방화벽(WAF)을 운영하다 보면 종종 다음과 같은 문의가 발생합니다:

“웹 서버에 curl을 사용하는 요청이 탐지되는데, 이건 공격 아닌가요?”

하지만 단순히 curl이라는 User-Agent...

더 읽기

RDP 기본 설정 변경만으로 무차별 대입 공격 차단하기

RDP, 반드시 열어야 하나요?

기업 또는 기관에서 외부에서 내부 시스템에 접속할 필요가 있을 경우, 종종 원격 데스크톱 프로토콜(RDP)을 방화벽에서 오픈하게 됩니다. 그러나 이는 공격자에게도 직접적인 진입 경로를 열어주는 것과 같으며, 특히 다음과 같은 위험이 뒤따...

더 읽기

SentinelOne의 자율형 AI 보안은 정말 AI인가?

📉 최근 보안 시장에서는 “AI 기반”, “Autonomous”, “Agentic”, “자율형 보안” 같은 표현이 빠르게 늘고 있습니다. SentinelOne도 예외는 아닙니다. 다만 여기서 먼저 분명히 해야 할 점이 있습니다.

“AI를 쓴다”는 말과 “어떤 AI를 ...

더 읽기

Cold‑Boot 공격 다시보기 – RAM 잔류 데이터로 암호화 키를 훔치는 물리적 위협

요약 3줄
1️⃣ Cold‑Boot 공격은 냉각한 RAM 잔류 데이터에서 암호화 키를 추출합니다.
2️⃣ 2008년 프린스턴대 연구로 존재가 입증되었고, 2018년 F‑Secure가 최신 노트북에서도 재현했습니다.
3️⃣ 대규모 랜섬웨어보다 표적 공격·포렌식에 현실적...

더 읽기

RAM 안의 비밀번호를 노린다 – T1003.001: LSASS 메모리 덤프 공격

요약 3줄
1️⃣ 공격자는 lsass.exe의 메모리를 덤프해 패스워드 해시·토큰을 탈취합니다.
2️⃣ Event ID 4656/10 등 프로세스‑핸들 접근 로그로 탐지가 가능합니다.
3️⃣ LSASS PPL + Credential Guard + ASR...

더 읽기