엑스트라홉(지사장 김훈철)은 네트워크 프로토콜에서 발생하는 악성 활동에 약 2/3에 달하는 마이크로소프트(Microsoft) 인증 및 응용 프로그램 프로토콜에 대한 암호 해독을 지원하여 강력한 탐지 기능을 탑재한 리빌엑스(Reveal(x)) 360를 제공한다고 밝혔다.

엑스트라홉은 업계 최초이자 유일하게 암호 해독 기능을 탑재하여 모든 네트워크 트래픽을 실시간 복호화하고 분석하여 위협을 탐지하는 리빌엑스(Reveal(x)) 360은 ‘LotL(Living off the Land, 대상 컴퓨터에 이미 설치된 도구를 사용하거나 간단한 스크립트와 셸 코드를 메모리에서 직접 실행)’ 공격, 도메인 관리자 권한을 탈취해 계정을 손상시키는 액티브 디렉토리 ‘Kerberos 골든 티켓 활동(Kerberos Golden Ticket attacks)’을 비롯한 새로운 유형의 치명적 공격을 탐지한다.



또한 마이크로소프트 취약점인 PrintNightmare(윈도우 Point/Print 기능을 악용해 공격자가 원격 코드를 실행하고 로컬 시스템 권한을 얻음), ZeroLogon(서버관리자 단말기뿐 아니라 도메인에 연결된 단말기가 공격에 노출되었을 시 AD 서버에 접근해 관리자 계정 탈취) 및 ProxyLogon(악성 HTTP를 요청해 백엔드 시스템 인증을 우회)과 같은 고위험 CVE 공격을 탐지하고, 제로-데이 공격에 대한 사전 방어 기능을 제공한다.

엑스트라홉 김훈철 지사장은 “TLS/SSL 및 Microsoft 프로토콜의 암호를 해독하는 독보적인 기술을 적용한 리빌엑스(Reveal(x)) 360을 통해 고객은 진행 중인 지능형 위협 캠페인을 식별할 수 있을 뿐만 아니라 신속하게 지능형 위협을 차단할 수 있다. 실제로 패치하기가 어렵고 랜섬웨어 그룹에 의해 널리 악용되는 치명적인 취약점인 PrintNightmare 등을 식별할 수 있다”라고 말했다.

엑스트라홉의 업계 최초 SaaS 기반 NDR(네트워크 탐지 및 대응, network detection and response) 솔루션인 리빌엑스(Reveal(x)) 360은 기존 NGFW 및 웹 프록시와 달리 TLS 1 외에 SMBv3, Active Directory Kerberos, Microsoft Remote Procedure Call(MS-RPC), NTLM, LDAP, WINRM과 같은 가장 일반적으로 남용되는 마이크로소프트 프로토콜에 대한 신속한 암호 해독을 통해 정교하고 새로운 공격 기술을 탐지한다.

또한 이 암호 해독 기능은 PrintNightmare 취약점을 악용하는 랜섬웨어 캠페인을 포함하여 ETA(Encrypted Traffic Analytics, 암호화 트래픽을을 복호화하지 않은 상태 그대로 분석하여 위협을 탐지하는 솔루션)가 놓치는 침해 이후 활동도 탐지한다.

엑스트라홉의 보안 및 클라우드 솔루션 총괄 부사장인 쉬리 순다럴링검(Sri Sundaralingam)은 "조직은 암호화된 악성 활동이 동서 코리더(east-west corridor) 내에서 횡방향으로 발생한다는 것을 알지 못한다"라고 말하며, "가시성을 제공한다고 주장하는 방화벽 및 암호화된 트래픽 분석과 같은 기술도 암호화된 통신을 사용하여 고급 위협 캠페인에서 흔히 볼 수 있는 취약성을 이용하는 공격을 탐지하지 못한다. 리빌엑스(Reveal(x)) 360은 현재는 물론 향후 예상되는 주요 CVE와 관련된 악용 및 프로토콜 남용을 충실하게 식별할 수 있다"라고 밝혔다.