Khái niệm cốt lõi
Laccolith은 기존 에뮬레이션 도구의 탐지 회피 기능 한계를 극복하기 위해 하이퍼바이저 기반의 혁신적인 아키텍처를 제공한다. 이를 통해 모든 테스트 AV 제품에서 탐지되지 않는 공격 활동을 수행할 수 있다.
Tóm tắt
이 논문은 고급 지속형 위협(APT) 대응을 위한 새로운 에뮬레이션 솔루션 Laccolith을 소개한다. APT는 장기간 탐지되지 않고 심각한 피해를 줄 수 있는 가장 위협적인 사이버 공격이다.
에뮬레이션은 APT에 대비하는 가장 효과적인 방법이지만, 기존 에뮬레이션 도구들은 탐지 회피 기능이 부족하여 실제 APT와 유사한 공격을 수행하기 어렵다는 한계가 있다.
Laccolith은 하이퍼바이저 기반의 혁신적인 아키텍처를 통해 이 문제를 해결한다. 하이퍼바이저 레벨에서 에이전트를 주입하여 운영체제 커널 API를 직접 호출함으로써 AV 제품의 탐지를 회피할 수 있다.
실험 결과, Laccolith은 테스트한 모든 AV 제품에서 공격 활동을 탐지하지 못했지만, 기존 솔루션인 MITRE CALDERA와 Inceptor의 조합은 여전히 탐지되는 것으로 나타났다. Laccolith은 APT 대응 훈련과 평가에 더 적합한 솔루션이라고 할 수 있다.
Thống kê
APT 공격은 최대 700일 동안 탐지되지 않을 수 있다.
MITRE CALDERA의 고급 프로파일 중 대부분의 기능이 AV 제품에 탐지되었다.
Laccolith은 테스트한 모든 AV 제품에서 공격 활동을 성공적으로 숨길 수 있었다.
Trích dẫn
"APT는 장기간 탐지되지 않고 심각한 피해를 줄 수 있는 가장 위협적인 사이버 공격이다."
"기존 에뮬레이션 도구들은 탐지 회피 기능이 부족하여 실제 APT와 유사한 공격을 수행하기 어렵다는 한계가 있다."
"Laccolith은 하이퍼바이저 레벨에서 에이전트를 주입하여 AV 제품의 탐지를 회피할 수 있다."