정보보안 스터디 - 24주차 4일 - CISA 해킹 탐지 툴 발표

원문 - https://www.bleepingcomputer.com/news/security/new-cisa-tool-detects-hacking-activity-in-microsoft-cloud-services/

 

☞ Untitled Goose Tool

CISA(Cybersecurity & Infrastructure Security Agency : 국가차원)가 해킹을 탐지하는 툴을 개발했다고 합니다.

 

'Untitled Goose Tool' 라고 알려진 이 툴은 오픈소스로 공개를 했고, 마이크로소프트의 클라우드 환경(Azure)에서 악의적인 활동의 요소들을 탐지합니다.

또한 US Energy 연구 부서와 함께 개발을 했고 python기반이며 Azure를 포함한 AzureAD(active directory), Microsoft 365 환경에서의 원격 정보 덤프도 가능하다고 합니다.

 

건장한 툴이고 애저의 IoT, Endpoint 관련 정보를 조사를 먼저 하고, 새로운 강력한 인증과 데이터 수집을 합니다.

 

☞ 기능

관리자들은 

- 애저AD 로그인과 감시로그, M365 감시로그, 애저 활동로그, MS IoT디펜더 기능에서의 악의적인 활동이 있다면 리뷰 및 평가할 수 있습니다.

- AAD, M365, and Azure의 환경설정을 조사할 수 있습니다.

- 감시로그의 시간제한을 둘 수 있습니다. > 데이터를 뽑아낼 수 있습니다.

 

 

☞ 이전에도

2021년 관련 기능을 출시해서 국가 중요 기반 시설인 OT 산업보호를 위해 도움을 주었습니다.

 MITRE attack에 공격기법에 대한 매핑을 하여 리포트로 전달해주는 'Decider' 라는 툴을 공개한 적이 있습니다. 이를 사용해 기업에서는 공격자에 대한 TTPs에 대한 대응 기준이 되었습니다.

2023년 초에 껑충 뛰어 오른 에너지, 헬스케어, water system, 교육 부문 등에서 주요기반시설에대한 랜섬웨어 공격이 유행하자 더 중요하게 되었구요.