Elastic Security Labs의 주요 위협 연구
2024년 10월 1일
Elastic, 2024 년 글로벌 위협 보고서 발표
Elastic Security Labs가 2024년 Elastic 글로벌 위협 보고서를 발표했습니다. 이 보고서는 다가오는 한 해 동안 조직을 안전하게 운영하기 위해 가장 시급한 위협, 트렌드, 및 권장 사항을 제공합니다.
보안 연구
모두 보기
쉘터 이용: 야생에서 악용되는 상업적 회피 프레임워크
Elastic Security Labs는 최근 불법적으로 획득한 상용 우회 프레임워크 버전인 SHELLTER를 사용해 익스플로잇 후 페이로드를 배포하는 인포스틸러의 출현을 탐지했습니다.
Microsoft Entra ID OAuth 피싱 및 탐지
이 문서에서는 Microsoft Entra ID의 OAuth 피싱 및 토큰 기반 악용에 대해 살펴봅니다. 로그인 활동 중 토큰, 범위, 디바이스 동작에 대한 에뮬레이션 및 분석을 통해 방어자가 OAuth 오용을 탐지하고 추적하는 데 사용할 수 있는 충실도 높은 신호를 파악합니다.
통화 스택: 더 이상 멀웨어에 대한 무임승차 금지
콜 스택이 맬웨어 탐지에 가져다주는 엄청난 가치와 아키텍처적 한계에도 불구하고 Elastic이 이를 중요한 Windows 엔드포인트 원격 분석으로 간주하는 이유에 대해 알아보세요.
잘못된 행동 양식: 기술이 아닌 도구 탐지
실행 양식의 개념과 양식 중심 탐지가 행동 중심 탐지를 어떻게 보완할 수 있는지 살펴봅니다.
Malware 분석
모두 보기
비열한 클라이언트: 클릭픽스 속임수에서 정보 탈취자 배포까지
Elastic Security Labs는 원격 액세스 트로이목마와 데이터 도용 멀웨어를 배포하기 위해 GHOSTPULSE를 사용하는 ClickFix 캠페인이 급증하는 것을 감지했습니다.
에디스를 쫓다: 캡차 캠페인에 사용되는 새로운 Rust 기반 InfoStealer
Elastic Security Labs에서 새로운 캡차 기반 캠페인에 사용되는 경량 상품 인포스틸러인 에디스틸러에 대해 안내합니다.
알카트라즈 난독화 해제하기
난독화기 ALCATRAZ가 사용하는 기술을 살펴봅니다.
무법자 Linux 멀웨어: 지속적이고 정교하며 놀라울 정도로 효과적인 악성코드
아웃로우는 간단한 무차별 대입과 채굴 전술을 활용하여 오래 지속되는 봇넷을 유지하는 지속적인 Linux 멀웨어입니다.
캠페인
모두 보기
남미에서 동남아시아까지: REF7707의 취약한 웹
REF7707은 새로운 멀웨어 제품군을 사용하여 남미 외무부를 표적으로 삼았습니다. 일관성 없는 회피 전술과 운영상의 보안 실수로 인해 공격자 소유의 인프라가 추가로 노출되었습니다.
새로운 PIKABOT 캠페인 분석
Elastic Security Labs는 업데이트된 버전을 포함한 새로운 PIKABOT 캠페인을 관찰했습니다. PIKABOT은 악성 행위자들이 추가 페이로드를 배포하는 데 널리 사용되는 로더입니다.
JOKERSPY를 폭로하는 초기 연구
Python 백도어를 이용하여 금융 기관을 노리는 최근에 발견된 캠페인인 JOKERSPY를 탐구합니다. 이 글에서는 정찰, 공격 패턴, 그리고 네트워크에서 JOKERSPY를 식별하는 방법을 다룹니다.
Elastic, SPECTRALVIPER를 사로잡다
Elastic Security Labs는 베트남 농업 기업을 타겟으로 하는 P8LOADER, POWERSEAL, SPECTRALVIPER 악성코드 패밀리를 발견했습니다. REF2754는 REF4322 및 APT32 활동 그룹의 악성코드 및 동기 요소를 공유합니다.
그룹 및 전술
모두 보기
비트바이비트 - 북한 최대 암호화폐 강도의 에뮬레이션
손상된 macOS 개발자와 AWS 피벗을 통해 북한 최대의 암호화폐 절도 사건을 충실하게 에뮬레이션한 것입니다.
봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사
REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.
북한의 침입 코드: Python으로 무장한 네트워크 공격 사례
이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.
GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔
Elastic 연구원들은 특수하게 제작된 MSC 파일을 통해 전체 코드를 실행할 수 있는 새로운 기술인 GrimResource를 발견했습니다. 이는 자원이 풍부한 공격자들이 방어 체계를 우회하기 위해 새로운 초기 침입 방법을 선호하는 경향을 강조합니다.
다양한 관점
WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.
위기의 전조: AJCloud IoT 생태계를 들여다보다
Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.
Kernel ETW, 최고의 ETW
이 연구는 보안 설계 소프트웨어에서 네이티브 감사 로그의 중요성에 중점을 두고 있습니다. 특히 사용자 모드 훅보다 커널 수준의 ETW 로깅이 안티탬퍼 보호를 강화하는 데 필수적임을 강조합니다.
취약한 드라이버는 잊어라 - 필요한 것은 관리자
BYOVD(Bring Your Own Vulnerable Driver)는 점점 더 인기를 얻고 있는 공격자 기법입니다. 이 방법은 위협 행위자가 취약한 것으로 알려진 서명된 드라이버를 악성코드와 함께 가져와 커널에 로드한 후 이를 악용하여 일반적으로는 수행할 수 없는 커널 내 작업을 실행하는 것을 말합니다. BYOVD는 10년 이상 고급 위협 행위자들에 의해 사용되어 왔으며 최근 랜섬웨어와 일반 악성코드에서도 점점 더 흔히 사용되고 있습니다.
생성형 AI
모두 보기
Elastic, 표준화된 필드와 통합으로 LLM 보안 강화
표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.
Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화
대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.
LLM으로 Elastic 탐지 기술 가속화
Elastic Security Labs가 생성형 AI 기능을 더욱 심화하고 탐지 엔지니어링 워크플로 가속화에 주력하는 방법을 자세히 알아보세요.
LLM과 ESRE로 유사 사용자 세션 탐색
이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.
도구
모두 보기
STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.
Detonate 실행 방법 심층 분석
Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.
Detonate를 활용한 자동화된 보호 테스트
프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.
ICEDID 분석
ICEDID는 사용자 지정 파일 형식과 암호화 방식을 사용하여 페이로드를 압축하는 것으로 알려져 있습니다. 분석가와 커뮤니티가 ICEDID에 대응할 수 있도록 압축 해제 프로세스를 자동화하는 도구 세트를 배포하고 있습니다.