(0)
 
    
    
자동로그인




소프트정보서비스 블로그 가기
  ★고객지원 시스템 구축-원격제어 솔루션도입_(주)소프트정보서비스★

 
작성일 : 19-01-10 20:49
위협 인텔리전스를 사용하여 사이버 셜록 되기
 글쓴이 : 관리자
조회 : 35   추천 : 0  

신종 악성 코드가 보고되면 곧이어 작성되는 보안 분석 자료를 통해 악성 코드의 출처나 침투 방법, 이를 만든 공격자의 목표 등 많은 것을 알 수 있다.
또한 이 자료를 보고 위협을 차단하기 위해 보안 시스템의 데이터베이스를 업데이트할 것이다. 하지만 이미 공격이 발생했으며 그 공격이 특히 다단계 APT라면 이는 아무 도움도 되지 않는다.

이제 다른 사람의 분석을 기다리지 않아도 된다고 가정해보자.
대신 의심스러운 파일을 받는 즉시 직접 악성 코드 조사를 시작할 수 있다면 조직이 심각한 피해를 입기 전에 신속하게 대응하여 위협을 퇴치할 수 있을 것이다.

[출처] 위협 인텔리전스를 사용하여 사이버 셜록 되기|작성자 카스퍼스키랩

그래서 이 글에서는 카스퍼스키랩의 위협 인텔리전스 포털을 사용하여 직접 신속하게 위협을 조사할 수 있는 방법을 소개하려고 한다(여기에서 카스퍼스키 위협 인텔리전스 포털에 대한 액세스를 요청할 수 있다[1]).

[출처] 위협 인텔리전스를 사용하여 사이버 셜록 되기|작성자 카스퍼스키랩(1)


위협 인텔리전스 포털의 시작 페이지에는 여러 탭이 있지만, 이 경우에는 실제 증거(의심스러운 샘플)를 이미 갖고 있으므로 상단 메뉴에서 Cloud Sandbox 탭으로 바로 이동한다.
샌드박스는 완벽한 기능의 OS를 갖춘 가상 머신(VM)에서 의심스러운 개체를 실행하고 개체의 동작을 분석하여 악성 활동을 탐지한다.
이 가상 머신은 실제 비즈니스 인프라와는 분리되어 있으므로 악성 개체를 실행해도 실질적인 피해는 발생하지 않는다.
파일을 업로드하고 실행 환경(이 경우 Windows 7) 및 실행 시간(100초 정도)을 선택한 다음 실행을 시작하면 된다.



샌드박스는 정적 분석을 회피하는 악성 코드를 탐지하는 데 매우 효과적이다.
이러한 악성 코드는 일반 안티 바이러스로는 탐지할 수 없다
.
또한 파일이악성으로 식별되어도 대부분의 안티바이러스 시스템에서는 이 악성 코드가 얼마나 심각하며 실제로 어떤 피해가 발생했는지에 대해 알려주지 않는다
.
우리는 좀 더 자세한 정보가 필요하다. 그럼 악성 코드를 실행한 후 클라우드 샌드박스에서 어떤 일이 발생하는지 살펴보자.

테스트 대상 개체를 실행하면 샌드박스가 이 결과를 수집하고 분석하여 그 판정 결과를 제공한다. 위 그림의 결과를 요약하면 탐지 6, 의심스러운 활동 12, 추출 파일 17개 및 네트워크 활동 0개이다.
악성파일은 항상 여러 가지 악성 행위를 수행하며, 이러한 모든 정보가 기록된다.




Results(결과) 탭에서는 실행 과정의 스크린샷을 볼 수 있다.
때로는 악성 코드가 자동 분석을 회피하기 위해 사용자 상호 작용(암호 입력, 문서 스크롤링,
마우스 이동 등)이 발생하기를 기다리는 경우도 있다.
카스퍼스키랩은 여러 가지 회피 기술에 대해 잘 알고 있으며, 이를 해결하기 위해 클라우드
샌드박스에 인간 시뮬레이션 기술을 사용한다.
스크린샷을 통해테스트 과정에서 어떤 일이 발생하는지 조사자가 직접 육안으로 보고
판단할 수 있어 매우 유용하다.

이제 Extracted files(추출된 파일) 탭으로 이동하여 어떤 개체가 다운로드, 추출 또는 삭제되었는지 확인해보자. 이 경우 악성 파일이 삭제되었다.


기존의 샌드박스 기능은 파일을 실행하여 악성 활동의 목록을 파악하는 것이 전부였다.
그러나 카스퍼스키랩의 위협 인텔리전스 포털을 사용하면 위협 검색에서 침해 지표(IOC) 및 그 관계에 대한 보다 자세한 정보를 확인할 수 있다.

Threat Lookup은 카스퍼스키랩의 보안 검색 엔진이다.
파일 해시, 통계/동작 데이터, WHOIS/DNS 데이터, URL, IP 주소 등 지난 21년 동안 카스퍼스키랩에서 수집 및 분류한 약 5페타바이트의 위협 정보가 포함되어 있다.

따라서 샌드박스에서 샘플을 실행한 다음 개체(이 경우 MD5 해시)를 클릭하여 바로 샌드박스 결과를 Threat Lookup의 검색 쿼리로 사용할 수 있다.


이제 악성 코드에 대해 좀 더 자세한 보고서를 확인할 수 있다.
Threat Lookup
결과에서 아래로 이동하면 조사 대상 악성 코드가 액세스한 URL의 목록을 확인 할 수 있다.

여기에위험한 것으로 표시된 URL이 나와 있다.
카스퍼스키랩의 Threat Lookup에서 이 악성 URL에 대해 어떤 세부 정보를 제공하는지 살펴보자.

해당 악성 URL APT 공격과 연관되어 있는 것으로 확인되었으며, 카스퍼스키랩의 포털은
APT
보고서를 다운로드하라고 제안한다.
PDF에는 개요, 자세한 기술 세부 정보 및 관련 침해 지표(IOC) 목록이 포함되어 있다.
조직에서 이와 유사한 문제가 발생했는지 확인하는 것이 좋다.

다음 단계

물론 이것으로 끝나는 것이 아니다. 실제 사건은 훨씬 복잡한 분석을 필요로 한다. 그러나 이는 분석가가 효과적이고 복잡한 조사를 실행하기 위해 위협 인텔리전스 워크플로우의 구축을 시작할 수 있는 방법을 보여준다. 카스퍼스키랩의 포털은 조사에 필요한 여러 가지 툴을 한 곳에서 모두 제공한다.

클라우드 샌드박스, 위협 검색, APT 보고서, 위협 데이터 피드, 이외에도 여러 툴을 추가할 수 있을 것이다. 카스퍼스키랩은 필요한 모든 툴을 종합적으로 제공하기 위해서는 다음과 같은 툴이 포함되어야 한다고 생각한다.

1.     URL용 샌드박스

2.     위협 요소들 간의 연관성을 알아보기 위한 시각화 그래프

3.     악성 코드 실행 파일의 유사성 검사

4.     OSINT 및 주요 소셜 미디어 출처 검색

5.     맞춤형 위협 인텔리전스 보고

6.     클라이언트 샘플의 심층적인 악성 코드 분석을 포함한 전문가 서비스


이는 현재 카스퍼스키랩에서 플랫폼에 대해 개발 중인 기능들이기도 하다.

카스퍼스키랩의 위협 인텔리전스에 대한 전문성은 전문가 커뮤니티에서 높은 평가를 받고 있다.
Forrester New Wave: 2018
3분기 외부 위협 인텔리전스 서비스 보고서[2]는 카스퍼스키랩을
위협 인텔리전스 분야의 우수 업체로 평가하고 있다.

참고 링크
[1] Kaspersky Lab. 2018
. https://www.kaspersky.com/enterprise-security/threat-intelligence-subscription?u&utm_source=kdaily&utm_medium=blog&utm_campaign=gl_TIP_organic&utm_content=link&utm_term=gl_kdaily_organic_link_blog_TIP

[2] 
Kaspersky Lab. 2018. https://www.kaspersky.com/enterprise-security/new-wave-forrester?u&utm_source=kdaily&utm_medium=blog&utm_campaign=gl_Frstr_organic&utm_content=link&utm_term=gl_kdaily_organic_link_blog_Frstr


 
 

Total 213
번호 제   목 글쓴이 날짜 조회 추천
공지 [출시]Kaspersky Endpoint Security V11 출시-2019년 관리자 01-03 174 0
공지 [성과]AV-Comparatives 테스트의 악성 코드 제거 … 관리자 12-12 303 0
공지 [필독]2019년 암호 화폐 위협 예측 관리자 12-12 282 0
공지 아이웹 랜섬웨어 공격마비-제2의 인터넷나야… 관리자 10-02 1150 0
공지 Kaspersky Threat Intelligence Portal 소개 관리자 06-28 1970 0
공지 [성과]국제 CC 인증 취득으로 성능과 무결성을… 관리자 05-16 2238 0
공지 [성과]카스퍼스키랩, AV-TEST 3관왕 달성 관리자 03-29 2367 0
공지 [성과]AV-TEST GmbH로부터 동급 최우수상 -2017년… 관리자 03-22 2540 0
공지 [성과]카스퍼스키 5년 연속 최고의 품질을 입… 관리자 02-23 2447 0
공지 [성과]2017년 카스퍼스키랩 매출 6억9천8백만 … 관리자 02-01 2392 0
공지 [관심]리눅스 서버 보안 솔루션-실제도입 증… 관리자 02-02 2523 0
공지 [성과]유럽 백신 1위-이코노미 조선 기사, "글… 관리자 08-11 2955 0
공지 [성과]새로운 보안위협 정보 교환 협약으로 … 관리자 10-19 2581 0
공지 [필독]전세계 리눅스커널 취약점 현황 추이 관리자 08-01 3014 0
공지 [성과]★★랜섬웨어와의 전쟁: IT 보안 회사와… 관리자 07-28 6016 0
공지 [성과]SC Magazine Awards Europe 2016에서 최고 등급 … 관리자 07-01 6779 0
공지 [성과]러시아 최대 사이버 범죄 조직 검거를 … 관리자 06-30 5485 0
공지 [성과]2015년에 랜섬웨어 공격-카스퍼스키 고… 관리자 05-30 5487 0
공지 랜섬웨어에 대응하는 Kaspersky Security for Windows … 관리자 04-07 5856 0
공지 랜섬웨어 기업에 치명타,그 심각성을 인식하… 관리자 12-09 5882 0
공지 [성과]카스퍼스키랩, 인터폴 및 유로폴과 협… 관리자 09-07 5328 0
213 해커를 막아라! '예방-탐지-대응-예측'… 관리자 01-31 14 0
212 위협 인텔리전스를 사용하여 사이버 셜록 되… 관리자 01-10 36 0
211 [출시]Kaspersky Endpoint Security V11 출시-2019년 관리자 01-03 174 0
210 원격 접속의 악몽-2018년 한 해 동안 40% 이상 … 관리자 01-03 49 0
209 랜섬웨어 피해사례-중소기업 공장 멈추고 DB… 관리자 12-28 51 0
208 [성과]AV-Comparatives 테스트의 악성 코드 제거 … 관리자 12-12 303 0
207 [필독]2019년 암호 화폐 위협 예측 관리자 12-12 282 0
206 2018년 암호 화폐 채굴 광풍의 원인-불법 소프… 관리자 12-12 63 0
205 카스퍼스키랩의 2019년 위협 예측-더욱 치명적… 관리자 12-06 83 0
204 2018년 3분기 여전히 성행하며 약 75,000명의 사… 관리자 11-24 93 0
203 온라인 무료 세미나 11월20일 개최 안내:'… 관리자 11-09 147 0
202 [성과]독립 평가 기관의 위협 인텔리전스 공… 관리자 11-01 140 0
201 카스퍼스키랩, IoT 기기 결함을 찾는 화이트햇… 관리자 11-01 132 0
200 메신저를 통해 중앙아시아 외교 기관을 노린 … 관리자 11-01 149 0
199 [성과]‘섀도우패드’ 백도어 발견 공로를 인… 관리자 10-18 149 0
 1  2  3  4  5  6  7  8  9  10    
회사소개 l 개인정보 취급방침 l 이용약관 l 오시는길