도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지 - ASEC BLOG
공격자는 초기 침투 과정에서 백도어 또는 RAT 악성코드를 설치하여 시스템 제어를 획득하고 인포스틸러 악성코드로 사용자 정보를 탈취하는 것이 목적이다. 공격 대상이 기업이나 기관 내에 존재하는 환경이라면 공격자는 악성코드를 이용해 전체 도메인을 장악하고 자격 증명 정보를 탈취하여 네트워크에 연결된 전체 시스템에 랜섬웨어를 유포하거나 기업의 내부 정보를 탈취하여 수익을 얻는다. 이러한 공격을 방지하기 위해서는 EDR을 활용해 의심스러운 행위를 모니터링하고 대응해야 한다.
공격자는 초기 침투 과정에서 백도어 또는 RAT 악성코드를 설치하여 시스템 제어를 획득하고 인포스틸러 악성코드로 사용자 정보를 탈취하는 것이 목적이며, 기업 내의 시스템을 공격할 경우 전체 도메인을 장악하고 자격 증명 정보를 탈취하여 랜섬웨어를 유포하거나 기업 내부 정보를 탈취하여 수익을 얻는다. 이러한 공격을 방지하기 위해서는 EDR을 활용해 의심스러운 행위
Inner reconnaissance stage detection using EDR in the domain environment -ASEC Blog
The attacker aims to obtain system control by installing backdoor or RAT malware during the initial penetration process and stealing user information with phosphate malware.If the attack target is an environment in a company or institution, the attacker uses malicious code to control the entire domain, seize the credential information, and distribute ransomware to the entire system connected to the network or seize the company’s internal information.In order to prevent this attack, EDR must be used to monitor and respond to suspicious behavior.
The attacker aims to obtain system control by installing backdoor or RAT malware during the initial infiltration process, and steal user information with in phosphate malware.Thus, it is distributed by distributing ransomware or stealing internal information.In order to prevent such attacks, suspicious acts using EDR