Trellix 로고
Trellix 소개 비디오
Trellix 소개

늘 학습하고 적응하는, 살아 있는 보안 플랫폼입니다.

Gartner Magic Quadrant 엔드포인트 보호 플랫폼 부문
Gartner MQ(엔드포인트)

실행 능력과 완벽한 가시성을 기반으로 19개의 공급업체를 평가하는 Magic Quadrant 보고서를 다운로드하십시오.

Gartner Marketplace 안내서(XDR)
Gartner® 보고서: XDR용 시장 안내서

Gartner에 따르면 "XDR은 향상된 위협 예방, 탐지 및 대응 역량을 제공할 수 있는 새로운 기술입니다."

위협 보고서 - 2022년 여름
최신 보고서

2022년 여름 위협 보고서에는 러시아 사이버 범죄의 진화, 의료 기기 및 액세스 제어 시스템에 대한 연구, 이메일 보안 동향 분석이 포함되어 있습니다.

널리 사용되는 건물 출입 통제 시스템의 중대한 결함
널리 사용되는 건물 출입 통제 시스템의 중대한 결함

Hardwear.io 2022에서 Trellix 연구진은 HID Global Mercury 액세스 제어판의 8가지 zero-day 취약성을 공개하여 원격으로 도어를 잠그거나 잠금을 해제하고, 사용자 계정을 수정 및 구성하며, 관리 소프트웨어의 탐지를 방지할 수 있습니다.

Trellix CEO
살아 있는 보안에 대한 CEO의 의견

Trellix의 CEO인 Bryan Palma는 보안에 꼭 필요한 중요한 점은 늘 학습이라고 설명합니다.

Trellix 소개 비디오
Trellix 소개

늘 학습하고 적응하는, 살아 있는 보안 플랫폼입니다.

Trellix Threat Labs 연구 보고서: 2022년 4월

2021년 4분기 위협 연구에 대한 인사이트와 Trellix Threat Labs의 최근 조사 결과 및 발견

2021년 4분기에는 악의적인 공격자가 어디에서나 기회를 잡고 Log4Shell이 휴가 기간의 원치 않는 게스트였던 2년간의 팬데믹에서 벗어나게 되었습니다. 2022년 1분기 동안 위협에 대한 초점은 유라시아 지역 분쟁에서 우크라이나 인프라에 대한 사이버 위협을 무기화하는 캠페인으로 옮겨졌습니다. 최신 Trellix Threat Labs의 연구 보고서에는 2021년 4분기의 조사 결과, 고위 공무원을 대상으로 한 다단계 첩보 공격에 대한 식별, 우크라이나를 겨냥한 사이버 공격 및 1분기 동안 새로 식별된 HermeticWiper에 대한 최근 분석이 포함되어 있습니다.

수석 과학자로부터의 편지

최신 위협 보고서에 오신 것을 환영합니다.

새로운 해의 4분의 1이 지난 지금, 한 해의 시작이 순조로웠다고 해도 과언이 아닐 것입니다. 우리는 서서히 팬데믹에서 벗어나고 있지만, 최근 유라시아 지역의 분쟁을 둘러싼 불확실성이 우리의 일상과 대화를 지배하고 있습니다.

우선 Trellix는 평화를 지지합니다. 어떤 당사자가 분쟁에 연루되어 있든 Trellix의 임무는 고객을 보호하고 국제법을 준수하는 것입니다. 이 보고서를 준비하는 동안 Trellix의 연구와 경계는 계속되었습니다. 예를 들어 Lapsus$ 그룹은 초기에 남미 피해자들에게 초점을 맞춰 전 세계 주요 기업을 공격하여 소스 코드와 인증서를 포함한 중요한 데이터를 유출했습니다.

Trellix는 이러한 인증서가 남용되는 것을 목격했습니다. 운영 체제 및 보안 제품에 대한 신뢰를 우회하려는 방법인 맬웨어 바이너리에 서명하는 것이 그 예입니다. 이 그룹의 세부 정보, 최신 위반 사항 및 대응 조치는 여기에서 확인할 수 있습니다.

새로운 회사 출범 이후 두 번째 위협 보고서에서 Trellix는 전 세계 헤드라인을 장식한 (사이버) 사건을 인정합니다. 우크라이나의 인프라에 대한 공격에서부터 감염된 시스템의 부트 섹터를 파괴하는 HermeticWiper 맬웨어에 이르기까지, 사이버 보안은 새해에 많은 사람들에게 최우선 과제였습니다. 또한 Log4shell 취약성이 수억 개의 기기에 영향을 미치고 많은 사람들이 새해에 다가올 새로운 위협에 대비했던 2021년 4분기를 되돌아봅니다.

Trellix Threat Labs 팀은 수년 동안 랜섬웨어를 분석하고 연구하는 최전선에 있었습니다. 공공 부문과 함께 일하면서 2021년 12월에 공격자를 체포하고 랜섬웨어 작업이 중단되었을 때 성공을 축하하게 된 것을 자랑스럽게 생각합니다. Conti 랜섬웨어 그룹과 Trickbot 맬웨어 그룹의 최근 채팅 유출 사건은 이러한 작업이 얼마나 전문적으로 수행되는지 보여줍니다. 이러한 공격의 중단을 막기 위해 공공 부문과 민간 부문 간의 통합된 답변이 필요함을 알 수 있습니다.

추가적으로 최신 위협 콘텐츠, 동영상 및 보안 게시판 링크가 포함된 Trellix Threat Labs 블로그 페이지를 확인하십시오.

이 보고서는 다른 만연하고 널리 퍼진 위협 및 공격도 집중 조명하고 있습니다.

—Christiaan Beek
수석 과학자

우크라이나를 겨냥한 사이버 공격과 HermeticWiper에 대한 Trellix의 분석

Trellix Threat Labs에서 우크라이나 내에서 이루어지고 있는 와이퍼의 활동을 분석한 결과, Whispergate와 새로 식별된 HermeticWiper 사이에 연관성이 있을 가능성이 높다고 판단되었습니다.

우크라이나 지역의 위협 활동에 대한 인텔리전스 및 분석에 대해 자세히 알아보기

초기 액세스 방지를 위한 권장 단계

조직은 러시아 국가 활동과 관련된 초기 액세스 전술, 기술 및 절차(TTP)를 검토하여 환경을 침투로부터 사전 예방적으로 보호해야 합니다.

  • 악성 도메인의 단축 URL을 활용한 피싱/스피어 피싱 공격.
  • 무차별 대입 활동을 모니터링하여 유효한 계정 자격 증명 및 Microsoft 365 계정을 식별.
  • 예외 없이 모든 사용자에 대해 다단계 인증(MFA)을 활성화.
  • 공개 시스템 악용 – CISA, 익스플로잇되는 것으로 알려진 CVE의 전체 목록 유지 관리.
  • 필수적이지 않은 모든 포트와 프로토콜, 특히 원격 서비스와 관련된 모든 것을 비활성화.
  • UltraVNC, AdvancedRun, wget 및 impacket과 같이 이전 공격에서 볼 수 있었던 비즈니스 활동과 관련이 없는 오픈 소스 도구를 추적 및 차단.

우크라이나를 겨냥한 기타 위협 캠페인 및 그룹은 다음과 같습니다.

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS 공격

Gamaredon APT

GlowSpark

IsaacWiper

NOBELIUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS 공격

Gamaredon APT

GlowSpark

IsaacWiper

NOBEpUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

Trellix 위협 센터로 이동하여 HermeticWiper를 포함한 새로운 위협을 미리 살펴보고 대비하십시오.

Trellix 연구소, 의심되는 DarkHotel APT 활동 업데이트 발견

지난 3월, Trellix는 2021년 11월 하반기부터 중국 마카오의 고급 호텔을 노리는 1단계 악성 캠페인을 발견했습니다. 이러한 공격은 인사관리 부사장, 부매니저, 프런트 오피스 매니저와 같은 역할을 수행하는 호텔 관리 직원에게 보내는 스피어 피싱 이메일로 시작되었습니다. 직책에 따라 타겟팅된 개인이 도서 시스템을 포함한 호텔 네트워크에 충분히 액세스할 수 있다고 가정할 수 있습니다. 작동 방식은 다음과 같습니다.

  • 이 스피어 피싱 공격에 사용된 이메일에는 Excel 시트가 포함된 첨부 파일이 있습니다. Excel 시트는 피해자를 속이고 열려 있을 때 포함된 악성 매크로를 활성화하는 데 사용됩니다.
  • 이러한 매크로를 사용하면 여러 메커니즘이 활성화됩니다. 이는 기술 분석 파트에 자세히 설명되어 있고 아래의 감염 흐름도에 요약되어 있습니다.
  • 처음에 매크로는 인식, 데이터 나열 및 데이터 추출을 수행하는 예약 작업을 생성합니다.
  • 그런 다음 피해자 데이터를 추출하는 데 사용되는 커맨드 앤 컨트롤(명령 및 제어) 서버와의 통신을 활성화하기 위해 매크로는 알려진 lolbas(Living Off the Land Binaries and Scripts) 기술을 사용하여 PowerShell 명령줄을 신뢰할 수 있는 스크립트로 수행합니다.

DarkHotel APT의 배경, 특성, 캠페인 및 기술 분석에 대한 자세한 내용을 확인하려면 당사 블로그를 읽어보십시오.

Darkhotel Attack Flow Diagram

Trellix Threat Labs, 수상실에 침투한 위협 감지

지난 1월, 당사의 팀은 서아시아에서 국가 보안 정책을 감독하는 고위 공무원과 방위 산업 종사자들을 대상으로 하는 다단계 첩보 캠페인을 식별했다고 발표했습니다. Trellix는 피해자에게 사전 릴리스 공개를 실시하고, 피해자들의 환경에서 알려진 모든 공격 구성 요소를 제거하는 데 필요한 모든 콘텐츠를 제공했습니다.

공격 프로세스의 분석은 MSHTML 원격 코드 실행 취약성(CVE-2021-40444)에 대한 익스플로잇이 포함된 Excel 파일의 실행으로 시작됩니다. 이것은 Graphite라고 부르는 3단계 맬웨어의 다운로더 역할을 하는 악성 DLL 파일을 실행하는 데 사용됩니다. Graphite는 Microsoft Graph API를 통해 OneDrive 계정을 명령 및 제어 서버로 활용하는 One-Drive Empire Stager를 기반으로 새로 발견된 맬웨어 샘플입니다.

APT 작업과 관련이 있다고 생각되는 이 다단계 공격의 마지막 단계에는 서로 다른 Empire Stager를 실행하여 최종적으로 피해자의 컴퓨터에 Empire 에이전트를 다운로드하고 커맨드 앤 컨트롤(명령 및 제어) 서버를 사용하여 시스템을 원격으로 제어하는 것이 포함됩니다.

다음 다이어그램은 이 공격의 전체 프로세스를 보여줍니다.

Prime Minister's Office Comprimise Attack Flow Diagram

단계, 인프라, 특성을 포함한 더욱 심층적인 분석을 확인하려면 당사 블로그를 읽어보십시오.

방법론

Trellix의 백엔드 시스템은 분기별 위협 보고서에 대한 입력으로 사용하는 원격 측정 기능을 제공합니다. Trellix는 위협에 대한 오픈 소스 인텔리전스 및 랜섬웨어, 국가 활동 등과 같은 널리 퍼진 위협에 대한 자체 조사와 원격 측정을 결합합니다.

원격 측정에 대해 이야기할 때 Trellix는 감염이 아닌 탐지에 대해 이야기합니다. 탐지란 파일, URL, IP 주소 또는 기타 표시기가 당사 제품 중 하나에서 탐지되어 당사에 다시 보고되는 경우를 일컫습니다.

고객의 개인 정보는 매우 중요합니다. 원격 측정 및 이를 고객의 섹터 및 국가에 매핑하는 경우에도 중요합니다. 국가별로 클라이언트 기반이 다르며 숫자가 증가를 나타낼 수 있지만 이를 설명하려면 데이터를 더 자세히 살펴보아야 합니다. 예를 들어 통신 섹터는 데이터에서 항상 높은 점수를 받고 있습니다. 이는 이 섹터가 반드시 고도로 타겟팅되어 있다는 의미는 아닙니다. 통신 섹터에는 회사가 구매할 수 있는 자체 IP 주소 공간과 ISP 공급자가 포함됩니다. 이는 무엇을 의미합니까? ISP의 IP 주소 공간에서 제출된 항목은 통신 탐지로 표시되지만 다른 섹터에서 작동하는 ISP 클라이언트에서 전송된 것일 수 있습니다.

랜섬웨어

2021년 4분기에도 랜섬웨어 환경은 계속해서 변화했습니다. 이전 보고서에서 설명한 대규모 공격 대신 랜섬웨어 공격자들은 새로운 지하 주거지를 찾아야 했고, 법 집행 기관은 몇몇 유명 랜섬웨어 그룹을 단속하기 시작했습니다. 이러한 그룹 중 하나는 REvil/Sodinokibi로, 3분기에도 여전히 상위 랜섬웨어 제품군 중 하나로 꼽혔습니다. 그러나 REvil은 조직적인 인프라 철거, 여러 번의 내부 분쟁, 그리고 구성원이 체포된 후 무대를 떠났습니다. Trellix는 맬웨어 분석을 제공하고, 주요 인프라를 찾아내고, 여러 명의 용의자를 식별함으로써 REvil 조사를 지원한 것을 자랑스럽게 생각합니다.

2021년 4분기의 상위 3개의 랜섬웨어는 Lockbit, Cuba, Conti 랜섬웨어였습니다. Trellix는 REvil의 나머지 구성원이 이러한 랜섬웨어 제품군과 함께 새 집을 찾았을 것이라고 추측합니다.

이 보고서의 잉크가 채 마르기도 전에 환경이 또다시 바뀌었습니다. 가장 큰 제품군 중 하나로 성장한 Conti는 수천 개의 내부 채팅 내역을 인터넷에 유출하여 내부 비밀을 폭로했습니다. Trellix는 이 유출 사건을 랜섬웨어의 Panama Papers라고 불렀으며 다음 분기 보고서에서 당사의 조사 결과를 강조할 것입니다.

기업이 위협 상황에서 랜섬웨어 공격을 더 잘 이해하고 방어할 수 있도록 Threat Labs 팀은 2021년 4분기부터 제품군, 기술, 국가, 섹터 및 벡터를 포함한 다양한 랜섬웨어 위협의 확산에 대한 연구 및 발견을 제공합니다.

289%

미디어 및 커뮤니케이션 범주가 증가했습니다(2021년 3분기~4분기).

61

미국 기반 클라이언트의 랜섬웨어 탐지는 2021년 3분기~4분기 동안 감소했습니다.

가장 많이 보고된 랜섬웨어 MITRE ATT&CK 기술

1.

강력한 데이터 암호화

2.

File and Directory Discovery

3.

Obfuscated Files or Information

4.

Process Discovery

5.

Process Injection

랜섬웨어군 탐지

Lockbit

Cuba

Conti

Ryuk

BlackMatter

Q3

4%

8%

6.7%

7%

해당 없음

Q4

23%

19%

17%

11%

7%

Q3

Q4

Lockbit

4%

23%

Cuba

8%

19%

Conti

6.7%

17%

Ryuk

7%

11%

BlackMatter

해당 없음

7%

국가 활동

Trellix의 팀은 국가 캠페인과 관련 지표 및 기술을 추적하고 모니터링합니다. 당사의 연구는 2021년 4분기부터 위협 행위자, 도구, 클라이언트 국가, 고객 부문 및 MITRE ATT&CK 기술을 반영합니다. 지표, YARA 규칙 및 탐지 논리를 포함하여 이러한 이벤트와 관련된 모든 데이터는 Insights에서 사용할 수 있습니다.

가장 많이 보고된 국가 MITRE ATT&CK 기술

1.

PowerShell

2.

Scheduled Task

3.

Obfuscated Files or Information

4.

Windows

5.

Web Protocols

95

Cobalt Strike는 2021년 4분기 국가 위협 도구 관찰 중 가장 높은 순위를 기록했습니다.

30

APT 29는 2021년 4분기에 전체 국가 관찰 중 가장 높은 순위를 기록했으며, 이는 3분기에 비해 35% 증가한 수치입니다.

26

터키에서의 국가 활동은 2021년 4분기 총 탐지 수의 26%를 차지했습니다.

널리 퍼진 위협 통계

Trellix의 팀은 2021년 4분기의 위협 범주를 추적했습니다. 이 연구는 관찰되고 널리 퍼진 맬웨어 제품군 유형, 관련 클라이언트 국가, 기업 고객 부문 및 MITRE ATT&CK 기술의 탐지 비율을 반영합니다.

75

RedLine Stealer(20%), Raccoon Stealer(17%), Remcos RAT(12%), LokiBot(12%) 및 Formbook(12%)은 2021년 4분기에 관찰된 맬웨어 제품군 도구 위협의 거의 75%에 달했습니다.

62

운송 고객은 2021년 4분기에 나머지 상위 10개 부문을 합친 것보다 더 많은 부문에서 가장 많은 표적(62%)이 되었습니다.

80

2021년 3분기부터 미국 고객에게 영향을 미치는 관찰이 증가했습니다.

가장 많이 보고된 MITRE ATT&CK 기술

1.

Obfuscated Files or Information

2.

Credentials from Web Browsers

3.

File and Directory Discovery

4.

레지스트리 실행 키/시작 폴더

5.

System Information Discovery

랜섬웨어군 탐지

RedLine Stealer

Raccoon Stealer

Remcos RAT

LokiBot

Formbook

Q3

1.2%

해당 없음

24%

19%

36%

Q4

20%

17%

12%

12%

12%

Q3

Q4

RedLine Stealer

1.2%

20%

Raccoon Stealer

해당 없음

17%

Remcos RAT

6.7%

12%

LokiBot

19%

12%

Formbook

36%

12%

국가, 대륙, 섹터 및 벡터에 대한 위협

2021년 4분기에 공개 소스로 보고된 사고 중 주목할 만한 국가 및 대륙에서의 증가는 다음과 같습니다.

150

독일은 2021년 4분기에 보고된 사고 중 가장 높은 증가율(150%)을 기록했습니다.

38

미국은 2021년 4분기에 보고된 사고 중 가장 많은 사고(38%)를 경험했습니다.

Living off the Land

사이버 범죄자들은 계속해서 맞춤형 도구를 개발하지만, 종종 LotL(Living off the Land) 기술을 사용함으로써 합법적인 바이너리 및 관리 유틸리티를 악용하여 대상 시스템에 악성 페이로드를 전달합니다. Trellix는 2021년 4분기의 사건에 기반하여 공격자가 탐지되지 않은 상태를 유지하려고 시도하면서 도구를 사용하는 추세에 약간의 변화가 있음을 확인했습니다.

방어가 강화되고 보안 커뮤니티가 동료 간에 손상 지표를 공유함에 따라 전술, 기술 및 절차가 변경됩니다. 3분기 보고서에는 프로덕션 시스템에 있는 일반적인 Windows 바이너리와 함께 관리 직원이 일상적인 작업을 수행하는 데 사용하는 바이너리가 강조되었습니다. 또한 필요한 기계 소프트웨어를 배포하고 이상 징후를 모니터링하며 시스템 효율성을 유지하는 것이 권장되었습니다. 위협 행위자는 3분기 보고서에서 계속되는 악의적인 활동에 이러한 유틸리티의 유용성을 이용했습니다. Trellix는 4분기에 위협 행위자들에 의해 악용된 유틸리티를 살펴보았고 사용에 있어 약간의 변화가 있음을 파악했습니다. 위협 행위자가 탐지되지 않은 상태를 유지하려고 하고, 랜섬웨어, 비콘, 인포메이션 스틸러 및 정찰 도구를 포함한 페이로드를 전달하기 위해 시스템에 이미 존재하는 것을 악용하고 있다는 사실은 여전히 유효합니다.

정찰 단계에서 이러한 바이너리 또는 관리상 사용되는 도구를 식별하기 위해 공격자는 채용 공고, 공급업체가 광고하는 고객 사용 후기 또는 내부 공범자로부터 사용된 기술에 대한 정보를 수집할 수 있습니다.

기본 OS 바이너리 댓글 (마우스를 올려 자세한 정보 보기) (눌러서 자세한 정보 보기)

Windows Command Shell(CMD)(53.44%)

T1059.003

Windows Command Shell은 Windows용 기본 CLI 유틸리티로서, 대체 데이터 스트림에서 파일과 명령을 실행하는 데 자주 사용됩니다.

PowerShell(43.92%)

T1059.001

PowerShell은 스크립트 및 PowerShell 명령을 실행하는 데 자주 사용됩니다.

WMI/WMIC(33.86%)

T1218 T1564.004

WMIC는 WMI용 명령줄 인터페이스이며 공격자가 로컬, 대체 데이터 스트림 또는 원격 시스템에서 명령 또는 페이로드를 실행하는 데 사용할 수 있습니다.

Rundll32 (24.34%)

T1218.011 T1564.004

Rundll32를 사용해 로컬 DLL 파일, 공유의 DLL 파일, 인터넷 및 대체 데이터 스트림에서 얻은 DLL 파일을 실행할 수 있습니다.

Regsvr32 (14.29%)

T1218.010

적들은 Regsvr32를 사용해 DLL 파일을 등록하고, 악성 코드를 실행하고 애플리케이션 화이트리스팅을 바이패스할 수 있습니다.

Schtasks(12.70%)

T1053.005

적은 지속성을 유지하는 작업을 예약하거나 추가 맬웨어를 실행하거나 자동 작업을 수행할 수 있습니다.

MSHTA(10.05%)

T1218.005

적들은 MSHTA를 사용해 로컬의 HTA 파일과 대체 데이터 스트림에 숨어 있을 수 있거나 원격 위치에서 검색되는 JavaScript, JScript 및 VBScript 파일을 실행할 수 있습니다.

Excel(8.99%)

T1105

기본 설치되지 않은 많은 시스템에는 스프레드시트 소프트웨어가 포함되어 있지만 적들은 실행할 때 원격 위치에서 페이로드를 검색하는 데 사용할 수 있는 악성 코드 또는 스크립트가 포함된 첨부 파일을 사용자에게 전송할 수 있습니다.

Net.exe (7.94%)

T1087 및 하위 기법

적이 피해자 컴퓨터의 사용자, 네트워크, 서비스 기능을 식별하는 등의 정찰 작업을 수행할 수 있게 해주는 Windows 명령줄 유틸리티.

Certutil(4.23%)

T1105, 1564.004 T1027

Windows 명령 유틸리티는 발급 기관 정보를 획득하고 인증서 서비스를 구성하는 데 사용됩니다. 적들은 그 대신에 certutil을 사용해 원격 도구 및 내용을 수집하고 파일을 인코딩 및 디코딩할 뿐 아니라 대체 데이터 스트림에 액세스할 수도 있습니다.

Reg.exe (3.70%)

1003.002 1564.004

적들은 Reg.exe를 사용해 레지스트리 값을 추가, 수정, 삭제, 내보내기할 수 있습니다. 이 값은 대체 데이터 스트림에 저장할 수 있습니다. 또한 Reg.exe를 사용해 SAM 파일에서 자격 증명을 덤프할 수 있습니다.

관리 도구 댓글 (마우스를 올려 자세한 정보 보기) (눌러서 자세한 정보 보기)

원격 서비스(35.98%)

T1021.001 T1021.004 T1021.005

AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY

Windows 및 타사 소프트웨어의 기본 WinSCP 원격 서비스 도구는 공격자가 유효한 계정과 함께 시스템 또는 인프라에 원격으로 액세스하고, 도구 및 맬웨어의 인그레스 전달을 수행하고, 데이터를 추출하는 데 사용할 수 있습니다.

보관 유틸리티(6.35%)

T1560.001

7-Zip, WinRAR

WinZip 공격자는 보관 유틸리티를 사용하여 추출 준비를 위해 수집된 데이터를 압축할 뿐만 아니라 파일 및 실행 가능 파일의 압축을 풀 수 있습니다.

BITSAdmin(3.70%)

T1105 T1218 T1564.004

BiTSAdmin은 지속성을 유지하고, 아티팩트를 삭제하고, 설정된 기준 충족 시 추가 액션을 호출하는 용도로 자주 사용됩니다.

ADFind(2.65%)

T1016 T1018 T1069 & 하위 기술, T1087 & 하위 기술 T1482

공격자가 도메인 트러스트, 권한 그룹, 원격 시스템 및 네트워크 구성과 같은 Active Directory 정보를 검색하는 데 사용할 수 있는 명령줄 유틸리티입니다.

PsExec(2.12%)

T1569.002

PsExec는 원격 시스템에서 명령과 프로그램을 실행하는 데 사용되는 도구입니다.

fodhelper.exe (0.05%)

T1548.002

Fodhelper.exe는 Windows 유틸리티로서, 적들이 피해자 컴퓨터에서 상승된 권한으로 악성 파일을 실행하는 데 사용할 수 있습니다.

저술 및 연구

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

Marc Elias

Steve Povolny

John Fokker

Thibault Seret

Tim Hux

Leandro Velasco

Max Kersten

 

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

리소스

최신 위협 및 연구를 추적하려면 다음과 같은 당사 팀의 리소스를 참조하십시오.
위협 센터 - 현시점에서 가장 파급 효과가 큰 위협을 Trellix 팀이 밝혀냈습니다.

Twitter: