Kant's IT/Issue on IT&Security

새로운 Rust 기반 Splinter에 대한 경고

Kant Jo 2024. 9. 27. 21:41

Cybersecurity Researchers Warn of New Rust-Based Splinter Post-Exploitation Tool

 

Cybersecurity Researchers Warn of New Rust-Based Splinter Post-Exploitation Tool

Unit 42 reveals the discovery of Splinter, a new Rust-based post-exploitation tool posing cybersecurity risks.

thehackernews.com

 

  • Splinter 도구 발견
    • Splinter라는 새로운 사후-침해(포스트 익스플로이테이션) 도구가 Palo Alto Networks Unit 42에 의해 발견됨
    • 해당 도구는 Rust 프로그래밍 언어로 개발되었으며, 고객 시스템에서 탐지됨
    • SplinterCobalt Strike와 같은 고급 도구보다는 덜 복잡하지만, 악용될 경우 조직에 잠재적 위협이 될 수 있음
  • Splinter의 주요 기능
    • Splinter는 일반적인 침투 테스트 도구와 유사한 기능을 제공
    • C2(Command-and-Control) 서버와 HTTPS를 통해 통신하며, 작업 기반 모델로 제어됨
    • Windows 명령 실행, 원격 프로세스 주입을 통한 모듈 실행, 파일 업로드 및 다운로드, 클라우드 서비스 계정 정보 수집, 자체 삭제 등의 기능을 제공
  • 위협 인식
    • 아직 Splinter 도구와 관련된 특정 위협 행위자는 확인되지 않았으나, 악용될 가능성이 큼
    • 61개의 Rust 크레이트가 포함된 대형 파일로 구성되어 있음
    • 사후-침해 프레임워크로서의 Splinter는 시스템 접근 및 명령 실행을 통해 심각한 보안 위협을 발생시킬 수 있음
  • 최신 공격 기법 및 대응 필요성
    • Deep InstinctMicrosoft OfficeRPC 인터페이스와 악성 Shim을 활용한 코드 주입 및 권한 상승 공격 방법을 상세히 설명
    • Check PointThread Name-Calling이라는 새로운 프로세스 주입 기법을 소개하며, 이는 API를 남용하여 쉘코드를 실행하는 방법임
    • 새롭게 추가된 Windows API를 활용한 공격 기법이 계속 등장하고 있어, 최신 방지 및 탐지 능력을 유지하는 것이 중요함
  • 결론
    • Splinter와 같은 새로운 도구의 발견은 침투 테스트 도구가 잘못된 손에 들어가면 심각한 위협이 될 수 있음을 경고
    • 조직은 새로운 도구 및 공격 기법에 대한 정보를 최신화하고, 이에 대한 예방탐지 능력을 지속적으로 강화해야 함