엑스트라홉, MS프로토콜 암호해독, 위협탐지 기능 탑재한 ‘리빌엑스 360’ 발표
2021년 11월 10일
트위터로 보내기페이스북으로 보내기구글플러스로 보내기

8df2b500545fc7e12edc02fc067b607b_1636481062_4601.jpg


엑스트라홉(ExtraHop, https://www.extrahop.com, 지사장 김훈철)은 네트워크 프로토콜에서 발생하는 악성 활동에 약 2/3에 달하는 마이크로소프트(Microsoft) 인증 및 응용 프로그램 프로토콜에 대한 암호 해독을 지원하여 강력한 탐지 기능을 탑재한 리빌엑스(Reveal(x)) 360를 제공한다고 밝혔다. 

 

엑스트라홉은 업계 최초이자 유일하게 암호 해독 기능을 탑재하여 모든 네트워크 트래픽을 실시간 복호화하고 분석하여 위협을 탐지하는 리빌엑스(Reveal(x)) 360은 ‘LotL(Living off the Land, 대상 컴퓨터에 이미 설치된 도구를 사용하거나 간단한 스크립트와 셸 코드를 메모리에서 직접 실행)’ 공격, 도메인 관리자 권한을 탈취해 계정을 손상시키는 액티브 디렉토리 ‘Kerberos 골든 티켓 활동(Kerberos Golden Ticket attacks)’을 비롯한 새로운 유형의 치명적 공격을 탐지한다. 또한 마이크로소프트 취약점인 PrintNightmare(윈도우 Point/Print 기능을 악용해 공격자가 원격 코드를 실행하고 로컬 시스템 권한을 얻음), ZeroLogon(서버관리자 단말기뿐 아니라 도메인에 연결된 단말기가 공격에 노출되었을 시 AD 서버에 접근해 관리자 계정 탈취) 및 ProxyLogon(악성 HTTP를 요청해 백엔드 시스템 인증을 우회)과 같은 고위험 CVE 공격을 탐지하고, 제로-데이 공격에 대한 사전 방어 기능을 제공한다. 

 

엑스트라홉 김훈철 지사장은 “TLS/SSL 및 Microsoft 프로토콜의 암호를 해독하는 독보적인 기술을 적용한 리빌엑스(Reveal(x)) 360을 통해 고객은 진행 중인 지능형 위협 캠페인을 식별할 수 있을 뿐만 아니라 신속하게 지능형 위협을 차단할 수 있다. 실제로 패치하기가 어렵고 랜섬웨어 그룹에 의해 널리 악용되는 치명적인 취약점인 PrintNightmare 등을 식별할 수 있다”라고 말했다. 

 

미국 FBI, CISA, 영국 국가 사이버 보안 센터 및 호주 사이버 보안 센터에서 발행한 공동 사이버 보안 자문단(Cybersecurity Advisory)에 따르면 Microsoft Server Message Block v3와 같은 암호화된 프로토콜은 60%에서 측면 이동 및 기타 고위험 공격을 감추는 데 사용되고 있는 것으로 조사됐다. 가장 많이 악용된 30개의 네트워크 취약점 중 가장 많이 악용되는 상위 11개 취약점 중 4개는 Microsoft 시스템과 관련이 있다. 또한 이 4개 중 3개는 암호화된 채널을 통해 악용될 수 있다. 

 

엑스트라홉의 업계 최초 SaaS 기반 NDR(네트워크 탐지 및 대응, network detection and response) 솔루션인 리빌엑스(Reveal(x)) 360은 기존 NGFW 및 웹 프록시와 달리 TLS 1 외에 SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call(MS-RPC), NTLM, LDAP, WINRM과 같은 가장 일반적으로 남용되는 마이크로소프트 프로토콜에 대한 신속한 암호 해독을 통해 정교하고 새로운 공격 기술을 탐지한다. 또한 이 암호 해독 기능은 PrintNightmare 취약점을 악용하는 랜섬웨어 캠페인을 포함하여 ETA(Encrypted Traffic Analytics, 암호화 트래픽을을 복호화하지 않은 상태 그대로 분석하여 위협을 탐지하는 솔루션)가 놓치는 침해 이후 활동도 탐지한다.

 

엑스트라홉의 보안 및 클라우드 솔루션 총괄 부사장인 쉬리 순다럴링검(Sri Sundaralingam)은 "조직은 암호화된 악성 활동이 동서 코리더(east-west corridor) 내에서 횡방향으로 발생한다는 것을 알지 못한다"라고 말하며, "가시성을 제공한다고 주장하는 방화벽 및 암호화된 트래픽 분석과 같은 기술도 암호화된 통신을 사용하여 고급 위협 캠페인에서 흔히 볼 수 있는 취약성을 이용하는 공격을 탐지하지 못한다. 리빌엑스(Reveal(x)) 360은 현재는 물론 향후 예상되는 주요 CVE와 관련된 악용 및 프로토콜 남용을 충실하게 식별할 수 있다"라고 밝혔다. 

 

엑스트라홉 리빌엑스(Reveal(x)) 360은 NGFW, 웹 프록시 및 ETA에서 제공하는 제한된 프로토콜 식별 및 통계 분석을 훨씬 뛰어넘어 대역 외 암호 해독을 위해 수동적인 Microsoft Active Directory 인증 프로토콜(Kerberos 및 NTLM) 및 마이크로소프트 윈도우 애플리케이션-레벨 프로토콜을 안전하게 해독하고 완전히 구문 분석한다. 위협을 정확히 탐지하는 리빌엑스(Reveal(x)) 360은 특정 SQL 쿼리, MS-RPC를 통해 전송된 명령, 포괄적인 조사 및 응답을 위한 LDAP 열거 동작을 포함하여 암호화된 트래픽에 대한 포렌식 수준의 기록 데이터를 제공한다. 

 

고객은 Microsoft Active Directory 인프라에 리빌엑스(Reveal(x)) 360을 적용하여 무단 액세스 및 권한 상승 시도를 막을 수 있다. 숨겨진 위협을 노출하기 위해 동서 횡방향 이동하는 ' LotL 공격' 전술이 있는지 감시한다. PrintNightmare 및 Microsoft Active Directory와 같은 고위험 취약점이 운영을 중단시키는 공격을 수행하는 것을 막는다. 

 

마이크로소프트 프로토콜의 암호를 해독하여 위협을 탐지하는 기술에 대한 보다 자세한 내용은 웹사이트https://www.extrahop.com/products/decryption-capabilities/ 에서 확인할 수 있다.

그래픽 / 영상
많이 본 뉴스