윈도우·리눅스·맥 대상117개 지속성 악성 기법 식별 지원
포렌식 이미지·KAPE 덤프 분석 기반... DLL 프록싱·LOLBin 등 탐지 강화
YAML 기반 규칙 설정·MITRE ATT&CK 연동 통해 IR 대응 효율성 높여
[보안뉴스 김형근 기자] 보안 기업 헥사스트라이크(Hexastrike)가 오프라인 시스템에 숨은 지속성 악성코드를 추적하는 보안 도구를 공개했다.
[출처: gettyimagesbank]
‘파시스턴스 스나이퍼](PyrsistenceSniper)라는 이름의 이 도구는 윈도우, 리눅스, 맥 등 3대 플랫폼에서 해커들이 사용하는 117개 잠복 메커니즘을 식별한다. 이 솔루션은 파이썬 기반으로 작동한다. 감염된 라이브 시스템에 직접 접속하지 않고도 이미 추출한 포렌식 데이터의 위험도를 실시간으로 분석하는 기능을 갖췄다.
또 복제된 디스크 이미지나 케이프(KAPE) 덤프 자산을 직접 분석한다. 내장된 리브레지에프(libregf) 라이브러리를 활용해 시스템 레지스트리를 단 30초 만에 조사할 수 있다. 이 도구를 사용하는 보안 분석가와 침해사고 대응(IR) 팀은 탑재된 서명 기반 필터링 기술을 활용할 수 있다.
이 기술은 정상 운영체제(OS)의 기본 신호와 실제 악성코드의 침투 흔적을 구분한다. 덕분에 화이트리스트가 놓치기 쉬운 동적 링크 라이브러리(DLL) 프록싱까지 탐지할 수 있다.
단독형 아티팩트 스캔 기능도 지원한다. 전산망 붕괴로 파일 시스템 전체 구조가 유실된 상황에서도 엔티유저와 같은 핵심 파일 하나만으로 해커의 잔재를 추적할 수 있다.
정보 보강 시스템을 구동하는 파시스턴스 스나이퍼는 모든 조사 결과물에 파일 존재 여부, SHA-256 해시값, 디지털 서명자 정보, 합법 도구 위장 공격 분류코드를 실시간으로 추가한다.
기업 보안 운영을 지원하기 위해 야믈(YAML) 기반의 탐지 프로필 수칙도 제공한다. 방어 조직은 소스코드 수정 없이 고객사별 보안 기준선에 맞춰 허용 및 차단 규칙을 자유롭게 설정할 수 있다.
이 도구를 사용하는 보안 분석가들은 YAML 서식의 설정 파일을 통해 탐지 규칙을 손쉽게 변경할 수 있으며, 프로그램 소스코드를 직접 수정하는 번거로운 절차가 필요 없다. 대신 설정 파일 안의 허용 및 차단 목록만 변경해 각 기업의 보안 기준선에 맞춘 설정을 즉시 적용할 수 있는 구조다.
이 차단 메커니즘은 포렌식 분석 과정에서 발생하는 전산 잡음을 크게 줄였다. 마이크로소프트가 공인한 정상 바이너리 서식을 고위험군 알림에서 자동 제외함으로써 전체 경보량을 최대 90%까지 감축한 것으로 나타났다.
헥사스트라이크 연구진은 표준화된 위협 보고서 작성을 지원하기 위해 이번 검사 항목들을 글로벌 보안 표준인 MITRE ATT&CK의 9대 세부 기술과 직접 연동했다. 자동 실행 제어와 실행 흐름 가로채기 등 해커들이 자주 사용하는 핵심 공격 벡터를 폭넓게 포함했다.
또 보안 엔지니어와 침해사고 대응팀은 분석 결과를 CSV, HTML, XLSX 등 다양한 형식으로 추출해 기존 워크플로우에 통합할 수 있다. 공식 도커 컨테이너 배포 방식도 지원해 실전 침해사고 대응 속도를 높일 수 있도록 했다.
[김형근 기자(editor@boannews.com)]
포렌식 이미지·KAPE 덤프 분석 기반... DLL 프록싱·LOLBin 등 탐지 강화
YAML 기반 규칙 설정·MITRE ATT&CK 연동 통해 IR 대응 효율성 높여
[보안뉴스 김형근 기자] 보안 기업 헥사스트라이크(Hexastrike)가 오프라인 시스템에 숨은 지속성 악성코드를 추적하는 보안 도구를 공개했다.
[출처: gettyimagesbank]
‘파시스턴스 스나이퍼](PyrsistenceSniper)라는 이름의 이 도구는 윈도우, 리눅스, 맥 등 3대 플랫폼에서 해커들이 사용하는 117개 잠복 메커니즘을 식별한다. 이 솔루션은 파이썬 기반으로 작동한다. 감염된 라이브 시스템에 직접 접속하지 않고도 이미 추출한 포렌식 데이터의 위험도를 실시간으로 분석하는 기능을 갖췄다.
또 복제된 디스크 이미지나 케이프(KAPE) 덤프 자산을 직접 분석한다. 내장된 리브레지에프(libregf) 라이브러리를 활용해 시스템 레지스트리를 단 30초 만에 조사할 수 있다. 이 도구를 사용하는 보안 분석가와 침해사고 대응(IR) 팀은 탑재된 서명 기반 필터링 기술을 활용할 수 있다.
이 기술은 정상 운영체제(OS)의 기본 신호와 실제 악성코드의 침투 흔적을 구분한다. 덕분에 화이트리스트가 놓치기 쉬운 동적 링크 라이브러리(DLL) 프록싱까지 탐지할 수 있다.
단독형 아티팩트 스캔 기능도 지원한다. 전산망 붕괴로 파일 시스템 전체 구조가 유실된 상황에서도 엔티유저와 같은 핵심 파일 하나만으로 해커의 잔재를 추적할 수 있다.
정보 보강 시스템을 구동하는 파시스턴스 스나이퍼는 모든 조사 결과물에 파일 존재 여부, SHA-256 해시값, 디지털 서명자 정보, 합법 도구 위장 공격 분류코드를 실시간으로 추가한다.
기업 보안 운영을 지원하기 위해 야믈(YAML) 기반의 탐지 프로필 수칙도 제공한다. 방어 조직은 소스코드 수정 없이 고객사별 보안 기준선에 맞춰 허용 및 차단 규칙을 자유롭게 설정할 수 있다.
이 도구를 사용하는 보안 분석가들은 YAML 서식의 설정 파일을 통해 탐지 규칙을 손쉽게 변경할 수 있으며, 프로그램 소스코드를 직접 수정하는 번거로운 절차가 필요 없다. 대신 설정 파일 안의 허용 및 차단 목록만 변경해 각 기업의 보안 기준선에 맞춘 설정을 즉시 적용할 수 있는 구조다.
이 차단 메커니즘은 포렌식 분석 과정에서 발생하는 전산 잡음을 크게 줄였다. 마이크로소프트가 공인한 정상 바이너리 서식을 고위험군 알림에서 자동 제외함으로써 전체 경보량을 최대 90%까지 감축한 것으로 나타났다.
헥사스트라이크 연구진은 표준화된 위협 보고서 작성을 지원하기 위해 이번 검사 항목들을 글로벌 보안 표준인 MITRE ATT&CK의 9대 세부 기술과 직접 연동했다. 자동 실행 제어와 실행 흐름 가로채기 등 해커들이 자주 사용하는 핵심 공격 벡터를 폭넓게 포함했다.
또 보안 엔지니어와 침해사고 대응팀은 분석 결과를 CSV, HTML, XLSX 등 다양한 형식으로 추출해 기존 워크플로우에 통합할 수 있다. 공식 도커 컨테이너 배포 방식도 지원해 실전 침해사고 대응 속도를 높일 수 있도록 했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
