KWAKBUMJUN

Red Team & AI 논문 정리

1. 왜 이 주제인가2024년 이후, 보안 연구 커뮤니티에서 가장 폭발적으로 논문이 증가한 분야가 있다. "LLM(Large Language Model) 에이전트를 활용한 자율 침투 테스트(Autonomous Penetration Testing)"다. 2024년 말부터 2026년 초까지 약 1년 반 동안 arXiv에만 10편 이상의 관련 논문이 등록되었고, IEEE S&P, MDPI 등 학술지에도 채택이 이어지고 있다.이 분야의 핵심 질문은 단순하다:"LLM 에이전트가 사람 해커처럼 자율적으로 시스템을 침투할 수 있는가?"이 질문이 중요한 이유는 양면적이다. 공격 관점에서는 침투 테스트의 비용과 인력 부족 문제를 해결할 수 있고, 방어 관점에서는 공격자도 곧 이 기술을 악용할 것이므로 선제적 이해가 필요..

PAC 보호기법 조사

1. 들어가며: 왜 포인터를 보호해야 하는가메모리 취약점을 이용한 공격의 핵심은 거의 언제나 포인터 변조다. 스택 버퍼 오버플로우로 리턴 주소를 덮어쓰든(ROP), 함수 포인터를 변조하든(JOP), vtable을 조작하든 — 결국 공격자가 하는 일은 "프로그램이 의도하지 않은 주소로 제어 흐름을 바꾸는 것"이다.소프트웨어 수준의 방어(ASLR, Stack Canary, CFI 등)는 효과적이지만 한계가 있다. ASLR은 정보 유출로 우회되고, Stack Canary는 비순차적 쓰기로 건너뛸 수 있다. 이 한계를 극복하기 위해 ARM은 하드웨어 수준에서 포인터 자체에 암호학적 서명을 삽입하는 기법을 도입했다.이것이 PAC(Pointer Authentication Code)이다.2. PAC의 핵심 개념2.1..

김수키(Kimsuky)의 termsrv.dll 패치 기반 내부 침투 전략 분석

들어가며: 공격자가 "원격 데스크톱"을 좋아하는 이유APT 공격자에게 가장 이상적인 원격 접근 수단은 무엇일까? 커스텀 백도어? C2 셸? 의외로 답은 훨씬 평범하다 — RDP(Remote Desktop Protocol)다.RDP는 Windows에 기본 내장되어 있고, 암호화된 정상 프로토콜이며, 관리자들이 일상적으로 사용한다. 트래픽 자체가 의심스럽지 않다. GUI 기반이라 파일 탐색, 문서 열람, 이메일 확인까지 자유롭다. 공격자 입장에서 RAT(Remote Access Trojan)보다 RDP가 더 편하고, 더 안전하다.북한 연계 APT 그룹 Kimsuky(김수키)는 이 점을 정확히 간파했다. 그런데 한 가지 문제가 있었다. Windows 데스크톱 에디션은 RDP 동시 세션을 1개만 허용한다. 공격..

AV/EDR 다계층 탐지 메커니즘 종합 분석

목차Part 1: 개요Executive Summary분석 대상 행위 개요Part 2: 탐지 레이어별 기술 분석3. T1055 프로세스 인젝션 — 탐지 레이어별 분석4. T1003 자격증명 덤핑 — 탐지 레이어별 분석5. 레이어 간 상관관계 분석Part 3: 제품별 탐지 비교 매트릭스6. 멀티 AV/EDR 제품 비교7. 탐지 공백 영역 식별Part 4: 결론 및 권고8. 방어 권고사항9. 결론부록부록 A: 제품별 강점/약점 요약부록 B: 환경별 제품 배포 권고부록 C: 실험 환경 및 재현 절차부록 D: 참고 자료Part 1: 개요1. Executive Summary"우리 회사는 AV를 쓰고 있으니 안전하지 않을까?"보안 업계에서 가장 위험한 착각 중 하나다. 현대의 공격자는 단일 탐지 레이어를 우회하는 것..