Elastic Security Labs의 주요 위협 연구
2024년 10월 1일
Elastic, 2024 년 글로벌 위협 보고서 발표
Elastic Security Labs가 2024년 Elastic 글로벌 위협 보고서를 발표했습니다. 이 보고서는 다가오는 한 해 동안 조직을 안전하게 운영하기 위해 가장 시급한 위협, 트렌드, 및 권장 사항을 제공합니다.
보안 연구
모두 보기
쉘터 이용: 야생에서 악용되는 상업적 회피 프레임워크
Elastic Security Labs는 최근 불법적으로 획득한 상용 우회 프레임워크 버전인 SHELLTER를 사용해 익스플로잇 후 페이로드를 배포하는 인포스틸러의 출현을 탐지했습니다.
Microsoft Entra ID OAuth 피싱 및 탐지
이 문서에서는 Microsoft Entra ID의 OAuth 피싱 및 토큰 기반 악용에 대해 살펴봅니다. 로그인 활동 중 토큰, 범위, 디바이스 동작에 대한 에뮬레이션 및 분석을 통해 방어자가 OAuth 오용을 탐지하고 추적하는 데 사용할 수 있는 충실도 높은 신호를 파악합니다.
통화 스택: 더 이상 멀웨어에 대한 무임승차 금지
콜 스택이 맬웨어 탐지에 가져다주는 엄청난 가치와 아키텍처적 한계에도 불구하고 Elastic이 이를 중요한 Windows 엔드포인트 원격 분석으로 간주하는 이유에 대해 알아보세요.
잘못된 행동 양식: 기술이 아닌 도구 탐지
실행 양식의 개념과 양식 중심 탐지가 행동 중심 탐지를 어떻게 보완할 수 있는지 살펴봅니다.
Malware 분석
모두 보기
MaaS의 매력: 정보 유출 악성 소프트웨어가 재기하다
NOVABLIGHT는 NodeJS 기반의 정보 유출 도구로, MaaS(Software as a Service) 형태로 개발 및 판매됩니다. 이 도구는 주로 자격 증명 정보를 훔치고 암호화폐 지갑을 해킹하는 데 사용됩니다.
비열한 클라이언트: 클릭픽스 속임수에서 정보 탈취자 배포까지
Elastic Security Labs는 원격 액세스 트로이목마와 데이터 도용 멀웨어를 배포하기 위해 GHOSTPULSE를 사용하는 ClickFix 캠페인이 급증하는 것을 감지했습니다.
에디스를 쫓다: 캡차 캠페인에 사용되는 새로운 Rust 기반 InfoStealer
Elastic Security Labs에서 새로운 캡차 기반 캠페인에 사용되는 경량 상품 인포스틸러인 에디스틸러에 대해 안내합니다.
알카트라즈 난독화 해제하기
난독화기 ALCATRAZ가 사용하는 기술을 살펴봅니다.
캠페인
모두 보기
남미에서 동남아시아까지: REF7707의 취약한 웹
REF7707은 새로운 멀웨어 제품군을 사용하여 남미 외무부를 표적으로 삼았습니다. 일관성 없는 회피 전술과 운영상의 보안 실수로 인해 공격자 소유의 인프라가 추가로 노출되었습니다.
새로운 PIKABOT 캠페인 분석
Elastic Security Labs는 업데이트된 버전을 포함한 새로운 PIKABOT 캠페인을 관찰했습니다. PIKABOT은 악성 행위자들이 추가 페이로드를 배포하는 데 널리 사용되는 로더입니다.
JOKERSPY를 폭로하는 초기 연구
Python 백도어를 이용하여 금융 기관을 노리는 최근에 발견된 캠페인인 JOKERSPY를 탐구합니다. 이 글에서는 정찰, 공격 패턴, 그리고 네트워크에서 JOKERSPY를 식별하는 방법을 다룹니다.
Elastic, SPECTRALVIPER를 사로잡다
Elastic Security Labs는 베트남 농업 기업을 타겟으로 하는 P8LOADER, POWERSEAL, SPECTRALVIPER 악성코드 패밀리를 발견했습니다. REF2754는 REF4322 및 APT32 활동 그룹의 악성코드 및 동기 요소를 공유합니다.
그룹 및 전술
모두 보기
플립스위치: 새로운 시스콜 후킹 기술
FlipSwitch는 Linux 커널 방어를 우회하는 새로운 방법을 제시하여 사이버 공격자와 방어자 간의 지속적인 전투에서 새로운 기술을 공개합니다.
비트바이비트 - 북한 최대 암호화폐 강도의 에뮬레이션
손상된 macOS 개발자와 AWS 피벗을 통해 북한 최대의 암호화폐 절도 사건을 충실하게 에뮬레이션한 것입니다.
봇 활용: Linux 악성코드, 암호화폐 채굴 및 도박 API 악용 조사
REF6138 캠페인은 암호화폐 채굴, DDoS 공격, 그리고 도박 API를 통한 잠재적 자금 세탁을 포함하며, 공격자들이 진화하는 악성코드와 은밀한 통신 채널을 사용한다는 점을 강조했습니다.
북한의 침입 코드: Python으로 무장한 네트워크 공격 사례
이 글은 북한이 Python과 정교하게 설계된 사회 공학을 전략적으로 활용하는 방법을 다룹니다. 이를 통해 그들이 효과적인 진화된 사이버 공격으로 고도로 안전한 네트워크를 어떻게 침투하는지를 조명합니다.
다양한 관점
모두 보기
MCP 도구: 자율 에이전트를 위한 공격 벡터 및 방어 권장 사항
이 연구에서는 MCP(모델 컨텍스트 프로토콜) 도구가 자율 에이전트의 공격 표면을 확장하는 방법을 살펴보고 툴 포이즈닝, 오케스트레이션 주입, 러그풀 재정의와 같은 익스플로잇 벡터를 실제 방어 전략과 함께 자세히 설명합니다.
WinVisor - Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터
WinVisor는 Windows x64 사용자 모드 실행 파일을 위한 하이퍼바이저 기반 에뮬레이터로, Windows Hypervisor Platform API를 활용하여 시스템 호출을 로깅하고 메모리 검사를 가능하게 하는 가상화된 환경을 제공합니다.
위기의 전조: AJCloud IoT 생태계를 들여다보다
Wi-Fi 카메라는 저렴한 가격과 편리함 때문에 인기가 많지만, 종종 보안 취약점이 있어 악용될 수 있습니다.
Kernel ETW, 최고의 ETW
이 연구는 보안 설계 소프트웨어에서 네이티브 감사 로그의 중요성에 중점을 두고 있습니다. 특히 사용자 모드 훅보다 커널 수준의 ETW 로깅이 안티탬퍼 보호를 강화하는 데 필수적임을 강조합니다.
생성형 AI
모두 보기MCP 도구: 자율 에이전트를 위한 공격 벡터 및 방어 권장 사항
이 연구에서는 MCP(모델 컨텍스트 프로토콜) 도구가 자율 에이전트의 공격 표면을 확장하는 방법을 살펴보고 툴 포이즈닝, 오케스트레이션 주입, 러그풀 재정의와 같은 익스플로잇 벡터를 실제 방어 전략과 함께 자세히 설명합니다.
에이전트 프레임워크 요약
에이전트 시스템에서는 보안 팀이 자율성과 조정의 균형을 유지하여 AI 에이전트가 독립적으로 행동하면서도 목표에 부합하고 제어 가능한 상태를 유지할 수 있도록 해야 합니다.
Elastic, 표준화된 필드와 통합으로 LLM 보안 강화
표준화된 필드 통합과 향상된 탐지 기능에 중점을 두는 Elastic의 LLM 보안 분야 최신 발전에 대해 알아보세요. 이러한 표준을 채택하여 시스템을 보호하는 방법을 확인해 보세요.
Elastic의 선제적 접근: LLM 워크플로우에 보안을 내재화
대규모 언어 모델(LLM)에 보안을 직접 내재화하는 Elastic의 탐구에 대해 알아보세요. LLM 애플리케이션에서 주요 OWASP 취약점을 탐지하고 완화하기 위한 전략을 살펴보세요. 이를 통해 더 안전하고 보안이 강화된 AI 기반 애플리케이션을 구현할 수 있습니다.
도구
모두 보기
STIXy 상황: ECS로 위협 데이터 최적화
구조화된 위협 데이터는 일반적으로 STIX 형식으로 작성됩니다. 이 데이터를 Elasticsearch에 가져올 수 있도록 STIX를 ECS 형식으로 변환하여 스택에 수집할 수 있는 파이썬 스크립트를 배포하고 있습니다.
Detonate 실행 방법 심층 분석
Detonate 시스템의 기술적 구현을 자세히 알아보세요. 여기에는 샌드박스 생성, 지원 기술, 원격 분석 수집, 그리고 시스템의 기능을 시험하는 방법이 포함됩니다.
Detonate를 활용한 자동화된 보호 테스트
프로세스를 자동화하고 대규모로 보호 기능을 테스트하기 위해 Detonate를 구축했습니다. 이 시스템은 보안 연구 엔지니어들이 Elastic Security 솔루션의 효율성을 자동으로 측정하는 데 사용됩니다.
ICEDID 분석
ICEDID는 사용자 지정 파일 형식과 암호화 방식을 사용하여 페이로드를 압축하는 것으로 알려져 있습니다. 분석가와 커뮤니티가 ICEDID에 대응할 수 있도록 압축 해제 프로세스를 자동화하는 도구 세트를 배포하고 있습니다.