Elastic Security Labs의 주요 위협 연구
1 10월 2024
Elastic, 2024 년 글로벌 위협 보고서 발표
Elastic Security Labs가 2024년 Elastic 글로벌 위협 보고서를 발표했습니다. 이 보고서는 다가오는 한 해 동안 조직을 안전하게 운영하기 위해 가장 시급한 위협, 트렌드, 및 권장 사항을 제공합니다.
주요
보안 연구
모두 보기
AWS SNS Abuse: Data Exfiltration and Phishing
During a recent internal collaboration, we dug into publicly known SNS abuse attempts and our knowledge of the data source to develop detection capabilities.
문서화되지 않은 커널 데이터 구조를 사용하여 핫키 기반 키로거 탐지하기
이 아티클에서는 핫키 기반 키로거란 무엇이며 이를 어떻게 탐지하는지 알아봅니다. 구체적으로 이러한 키로거가 키 입력을 가로채는 방법을 설명한 다음, 커널 공간에서 문서화되지 않은 핫키 테이블을 활용하는 탐지 기법을 소개합니다.
Linux Detection Engineering - The Grand Finale on Linux Persistence
By the end of this series, you'll have a robust knowledge of both common and rare Linux persistence techniques; and you'll understand how to effectively engineer detections for common and advanced adversary capabilities.
Emulating AWS S3 SSE-C Ransom for Threat Detection
In this article, we’ll explore how threat actors leverage Amazon S3’s Server-Side Encryption with Customer-Provided Keys (SSE-C) for ransom/extortion operations.
Malware 분석
모두 보기
Outlaw Linux Malware: Persistent, Unsophisticated, and Surprisingly Effective
아웃로우는 간단한 무차별 대입과 채굴 전술을 활용하여 오래 지속되는 봇넷을 유지하는 지속적인 Linux 멀웨어입니다.
The Shelby Strategy
REF8685가 방어 체계를 회피하기 위해 C2용 GitHub를 악용한 사례에 대한 분석입니다.
Shedding light on the ABYSSWORKER driver
Elastic Security Labs는 메두사 랜섬웨어 공격 체인과 함께 멀웨어 방지 도구를 무력화하기 위해 사용되는 악성 드라이버인 ABYSSWORKER에 대해 설명합니다.
You've Got Malware: FINALDRAFT Hides in Your Drafts
최근 조사(REF7707) 중에 Elastic Security Labs는 외무부를 표적으로 하는 새로운 악성 코드를 발견했습니다. 이 멀웨어에는 C2 통신을 위한 Microsoft의 그래프 API 사용을 비롯한 다양한 기능을 갖춘 사용자 지정 로더와 백도어가 포함되어 있습니다.
캠페인
모두 보기
남미에서 동남아시아까지: REF7707의 취약한 웹
REF7707은 새로운 멀웨어 제품군을 사용하여 남미 외무부를 표적으로 삼았습니다. 일관성 없는 회피 전술과 운영상의 보안 실수로 인해 공격자 소유의 인프라가 추가로 노출되었습니다.
새로운 PIKABOT 캠페인 분석
Elastic Security Labs는 업데이트된 버전을 포함한 새로운 PIKABOT 캠페인을 관찰했습니다. PIKABOT은 악성 행위자들이 추가 페이로드를 배포하는 데 널리 사용되는 로더입니다.
JOKERSPY를 폭로하는 초기 연구
Python 백도어를 이용하여 금융 기관을 노리는 최근에 발견된 캠페인인 JOKERSPY를 탐구합니다. 이 글에서는 정찰, 공격 패턴, 그리고 네트워크에서 JOKERSPY를 식별하는 방법을 다룹니다.
Elastic, SPECTRALVIPER를 사로잡다
Elastic Security Labs는 베트남 농업 기업을 타겟으로 하는 P8LOADER, POWERSEAL, SPECTRALVIPER 악성코드 패밀리를 발견했습니다. REF2754는 REF4322 및 APT32 활동 그룹의 악성코드 및 동기 요소를 공유합니다.
그룹 및 전술
모두 보기
봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사
REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.
북한의 침입 코드: Python으로 무장한 네트워크 공격 사례
이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.
GrimResource - 초기 침투와 우회를 위한 Microsoft 관리 콘솔
Elastic 연구원들은 특수하게 제작된 MSC 파일을 통해 전체 코드를 실행할 수 있는 새로운 기술인 GrimResource를 발견했습니다. 이는 자원이 풍부한 공격자들이 방어 체계를 우회하기 위해 새로운 초기 침입 방법을 선호하는 경향을 강조합니다.
보이지 않는 채굴자: GHOSTENGINE의 암호화폐 채굴 작업 공개
Elastic Security Labs는 REF4578이라는 침입 세트를 식별했습니다. 이 세트는 여러 악성 모듈을 포함하고 있으며 취약한 드라이버를 이용해 암호화폐 채굴을 위해 알려진 보안 솔루션(EDR)을 비활성화합니다.
다양한 관점
WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.
위기의 전조: AJCloud IoT 생태계를 들여다보다
Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.
Kernel ETW, 최고의 ETW
이 연구는 보안 설계 소프트웨어에서 네이티브 감사 로그의 중요성에 중점을 두고 있습니다. 특히 사용자 모드 훅보다 커널 수준의 ETW 로깅이 안티탬퍼 보호를 강화하는 데 필수적임을 강조합니다.
취약한 드라이버는 잊어라 - 필요한 것은 관리자
BYOVD(Bring Your Own Vulnerable Driver)는 점점 더 인기를 얻고 있는 공격자 기법입니다. 이 방법은 위협 행위자가 취약한 것으로 알려진 서명된 드라이버를 악성코드와 함께 가져와 커널에 로드한 후 이를 악용하여 일반적으로는 수행할 수 없는 커널 내 작업을 실행하는 것을 말합니다. BYOVD는 10년 이상 고급 위협 행위자들에 의해 사용되어 왔으며 최근 랜섬웨어와 일반 악성코드에서도 점점 더 흔히 사용되고 있습니다.
생성형 AI
모두 보기
Elastic, 표준화된 필드와 통합으로 LLM 보안 강화
표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.
Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화
대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.
LLM으로 Elastic 탐지 기술 가속화
Elastic Security Labs가 생성형 AI 기능을 더욱 심화하고 탐지 엔지니어링 워크플로 가속화에 주력하는 방법을 자세히 알아보세요.
LLM과 ESRE로 유사 사용자 세션 탐색
이전 글에서 GPT-4 대형 언어 모델(LLM)을 활용하여 Linux 사용자 세션을 요약하는 방법을 살펴보았습니다. 같은 실험의 맥락에서, 우리는 유사한 특성을 가진 세션들을 분석하는 데 시간을 할애했습니다. 이러한 유사한 세션은 이후 분석가들이 관련된 의심 활동을 식별하는 데 도움이 될 수 있습니다.
도구
모두 보기
STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.
Detonate 실행 방법 심층 분석
Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.
Detonate를 활용한 자동화된 보호 테스트
프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.
ICEDID 분석
ICEDID는 사용자 지정 파일 형식과 암호화 방식을 사용하여 페이로드를 압축하는 것으로 알려져 있습니다. 분석가와 커뮤니티가 ICEDID에 대응할 수 있도록 압축 해제 프로세스를 자동화하는 도구 세트를 배포하고 있습니다.