시스몬으로 프로세스 할로잉 탐지 도전 실패

시스몬으로 프로세스 할로잉 탐지 도전 실패

이벤트 10번 ProcessAccess는 A프로세스가 B프로세스 접근하면 발생한다. 프로세스의 내용을 읽거나 쓰기 위해 접근한다. 프로세스 할로잉을 하기 위해서 프로세스에 접근해야 하기 때문에 이벤트 10번에 필터링이 될 것이라 생각했다. 하지만, 접근하기 이전에 자식 프로세스로 생성하기 때문에 이벤트 10번 로그가 남는다. cmd.exe에서 메모장, 계산기를 실행하면 1번, 10번 이벤트가 기록된다. 그러므로 10번 이벤트가 발견된다고 해서 프로세스 할로잉이라고 생각할 수 없다. 가능성이 있을 뿐이다....

시스몬으로 프로세스 할로잉 탐지 도전 실패에 대한 요약내용입니다.

자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.

원문링크 : 시스몬으로 프로세스 할로잉 탐지 도전 실패

 등록된 다른 글

코드 삽입공격 10가지 유형

APC DLL인젝션

.NET 랜섬웨어 설명 글

광주일드림 3일차

쿠쿠샌드박스 게스트 설정

광주일드림 4일차

광주 청년일드림 1주일 후기

광주청년 일드림 2주차