댓글 0
기사입력 : 2021.11.10 11:12
[시큐리티팩트=김상규 기자] 엑스트라홉이 업계 최초이자 유일하게 마이크로소프트(MS) 프로토콜 암호 해독 기능을 탑재하고 모든 네트워크 트래픽을 실시간 복호화하고 분석하여 위협을 탐지하는 ‘리빌엑스(Reveal(x)) 360을 내놨다.
리빌엑스 360은 ‘LotL(Living off the Land, 대상 컴퓨터에 이미 설치된 도구를 사용하거나 간단한 스크립트와 셸 코드를 메모리에서 직접 실행)’ 공격, 도메인 관리자 권한을 탈취해 계정을 손상시키는 액티브 디렉토리 ‘Kerberos 골든 티켓 활동’을 비롯한 새로운 유형의 치명적 공격을 탐지한다.
또한 MS 취약점인 PrintNightmare(윈도우 Point/Print 기능을 악용해 공격자가 원격 코드를 실행하고 로컬 시스템 권한을 얻음), ZeroLogon(서버관리자 단말기뿐 아니라 도메인에 연결된 단말기가 공격에 노출되었을 시 AD 서버에 접근해 관리자 계정 탈취) 및 ProxyLogon(악성 HTTP를 요청해 백엔드 시스템 인증을 우회)과 같은 고위험 CVE 공격을 탐지하고, 제로-데이 공격에 대한 사전 방어 기능을 제공한다.
리빌엑스 360은 NGFW, 웹 프록시 및 ETA에서 제공하는 제한된 프로토콜 식별 및 통계 분석을 훨씬 뛰어넘어 대역 외 암호 해독을 위해 수동적인 MS 엑티브 디렉토리 인증 프로토콜 및 윈도우 애플리케이션-레벨 프로토콜을 안전하게 해독하고 완전히 구문 분석한다. 또한 특정 SQL 쿼리, MS-RPC를 통해 전송된 명령, 포괄적인 조사 및 응답을 위한 LDAP 열거 동작을 포함하여 암호화된 트래픽에 대한 포렌식 수준의 기록 데이터를 제공한다.
고객은 MS 액티브 디렉토리 인프라에 리빌엑스 360을 적용하여 무단 액세스 및 권한 상승 시도를 막을 수 있다. 숨겨진 위협을 노출하기 위해 동서 횡방향 이동하는 ' LotL 공격' 전술이 있는지 감시한다. PrintNightmare 및 MS 액티브 디렉토리와 같은 고위험 취약점이 운영을 중단시키는 공격을 수행하는 것을 막는다.
엑스트라홉 김훈철 지사장은 “TLS/SSL 및 MS 프로토콜의 암호를 해독하는 독보적인 기술을 적용한 리빌엑스 360을 통해 고객은 진행 중인 지능형 위협 캠페인을 식별할 수 있을 뿐만 아니라 신속하게 지능형 위협을 차단할 수 있다. 실제로 패치하기가 어렵고 랜섬웨어 그룹에 의해 널리 악용되는 치명적인 취약점인 PrintNightmare 등을 식별할 수 있다”라고 말했다.
