Cybersecurity Researchers Warn of New Rust-Based Splinter Post-Exploitation Tool
- Splinter 도구 발견
- Splinter라는 새로운 사후-침해(포스트 익스플로이테이션) 도구가 Palo Alto Networks Unit 42에 의해 발견됨
- 해당 도구는 Rust 프로그래밍 언어로 개발되었으며, 고객 시스템에서 탐지됨
- Splinter는 Cobalt Strike와 같은 고급 도구보다는 덜 복잡하지만, 악용될 경우 조직에 잠재적 위협이 될 수 있음
- Splinter의 주요 기능
- Splinter는 일반적인 침투 테스트 도구와 유사한 기능을 제공
- C2(Command-and-Control) 서버와 HTTPS를 통해 통신하며, 작업 기반 모델로 제어됨
- Windows 명령 실행, 원격 프로세스 주입을 통한 모듈 실행, 파일 업로드 및 다운로드, 클라우드 서비스 계정 정보 수집, 자체 삭제 등의 기능을 제공
- 위협 인식
- 아직 Splinter 도구와 관련된 특정 위협 행위자는 확인되지 않았으나, 악용될 가능성이 큼
- 61개의 Rust 크레이트가 포함된 대형 파일로 구성되어 있음
- 사후-침해 프레임워크로서의 Splinter는 시스템 접근 및 명령 실행을 통해 심각한 보안 위협을 발생시킬 수 있음
- 최신 공격 기법 및 대응 필요성
- Deep Instinct는 Microsoft Office의 RPC 인터페이스와 악성 Shim을 활용한 코드 주입 및 권한 상승 공격 방법을 상세히 설명
- Check Point는 Thread Name-Calling이라는 새로운 프로세스 주입 기법을 소개하며, 이는 API를 남용하여 쉘코드를 실행하는 방법임
- 새롭게 추가된 Windows API를 활용한 공격 기법이 계속 등장하고 있어, 최신 방지 및 탐지 능력을 유지하는 것이 중요함
- 결론
- Splinter와 같은 새로운 도구의 발견은 침투 테스트 도구가 잘못된 손에 들어가면 심각한 위협이 될 수 있음을 경고
- 조직은 새로운 도구 및 공격 기법에 대한 정보를 최신화하고, 이에 대한 예방 및 탐지 능력을 지속적으로 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
NIST, 새로운 지침에서 복잡한 비밀번호 요구와 주기적인 변경 의무화 폐기 (0) | 2024.09.27 |
---|---|
국가 SW 공급망 보안정책 마련 위한 태스크포스 발족 (1) | 2024.09.27 |
Mozilla의 PPA 기능 도입에 따른 개인정보보호 논란 (0) | 2024.09.27 |
네크로 트로이목마, 1,100만 대 이상의 디바이스 감염 (1) | 2024.09.27 |
구글의 Rust 전환으로 안드로이드 메모리 취약점 52% 감소 (0) | 2024.09.27 |