Home > 전체기사
레드팀을 위한 표준 툴? 모의 해킹 툴셋 무료로 공개
  |  입력 : 2019-04-04 11:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
침투 테스트에 필요한 툴 엄선해 모아둬...바탕은 파이어아이의 플레어 VM
모든 수준의 사용자 아우를 수 있어...칼리 리눅스의 윈도우판


[보안뉴스 문가용 기자] 공격적인 보안을 전문으로 하는 사람들, 즉 모의 해커 혹은 침투 테스터들 사이에서 칼리 리눅스(Kali Linux)가 표준 도구처럼 굳어지고 있다. 그러나 윈도우에 기본적으로 탑재되어 있는 기능을 연구해야 하는 입장의 침투 테스터들에게 있어서는 그런 식으로 ‘정착된’ 도구가 존재하지 않는다.

[이미지 = iclickart]


이에 보안 업체 파이어아이(FireEye)가 새로운 시도를 선보였다. 140개의 윈도우용 오픈소스 툴들을 선정해 레드팀 모의 공격자들과 블루팀 모의 방어자들이 사용할 수 있는 툴셋을 발표한 것이다. 이 툴셋의 이름은 컴플리트 맨디언트 오펜시브 버추얼 머신(Complete Mandiant Offensive Virtual Machine)으로, 짧게는 코만도VM(CommandoVM)이라고도 한다.

파이어아이의 제이크 바토(Jake Barteaux)는 “윈도우 환경을 연구하는 모의 공격자들이라면 항상 표준처럼 가지고 있어야 할 툴셋을 만들고자 했다”고 설명한다. “제가 여태까지 만나본 모의 해커들은 전부 자신들만의 고유한 툴들을 가지고 있었습니다. 즉, 접근 방법이 전부 달랐다는 것이죠. 물론 어느 정도 겹치는 툴들도 있긴 했습니다만, 그게 전부였습니다. 뭔가 표준화된 기술과 절차가 부재한 느낌은 분명히 있었습니다.”

바토는 “코만도VM에 필요한 모든 툴들이 다 들어있다”고 설명한다. “표준화된 툴이나 절차가 정립되지 않으면 두 가지 큰 문제가 생깁니다. 일단 주어진 문제에 대한 최고의 도구를 찾는 데에 시간이 낭비된다는 겁니다. 두 번째는 툴셋을 유지 및 관리하는 데에 어려움이 발생합니다. 하지만 한 데 모아두고, 그것을 정착시키면 패치와 업데이트가 훨씬 쉬워지죠. 칼리 리눅스의 장점이 바로 이런 것이고, 그것을 이번 컬렉션을 통해 답습했습니다.”

레드팀은 말 그대로 ‘가상의 해킹’을 통해 취약점을 점검하고 보안 약점을 보완하는 역할을 수행한다. 보통은 내부 직원이나 외부 전문가가 이런 일을 하도록 한다. 물론 자동 스캐닝 역시 취약점을 찾아내는 기능을 할 수 있지만, 그건 침투 테스트에 비해 표면의 문제를 건드리는 것뿐이다. 그 취약점이 어느 정도로까지 피해를 일으킬 수 있고, 그 뿌리가 어디에 닿아 있는지 확인할 수 있는 건 침투 테스트를 통해서다. 이렇게 깊이 있는 정보가 있어야 블루팀도 더 올바른 대응을 할 수 있게 된다.

코만도VM은 다양한 오픈소스 툴을 패키지로 모아놓은 것이긴 하지만, 그 기본은 파이어아이의 플레어VM(FLARE VM) 플랫폼이다. 플레어 VM은 멀웨어 분석과 애플리케이션의 리버스 엔지니어링을 위한 플랫폼으로, 여기에 많은 침투 테스터들이 실제 현장에서 사용하는 툴들 중 엄선한 것들을 덧붙였다고 한다. “프로그래밍 언어인 파이선과 고에서부터 네트워크 스캐너인 엔맵(Nmap)과 와이어샤크(Wireshark), 웹 보안 테스트 프레임워크인 버프스위트(BurpSuite), 윈도우 보안 툴인 시스인터널즈(Sysinternals)와 미미캐츠(Mimikatz) 등이 포함되어 있습니다.”

바토는 “주니어 레드팀 구성원들도 쉽게 접근할 수 있도록, 혹은 툴 찾는 데에 너무 많은 시간을 낭비하지 않도록 도구들을 구성했다”고 설명한다. “그러면서 시니어 레드팀 구성원들도 충분히 유용하다고 느낄만한 도구들을 모았습니다. 훈련용이면서 실전용이 될 수 있는 윈도우용 침투 테스트 툴셋을 완벽하게(complete) 만들고 싶었던 것이죠.”

그러면서 바토는 “칼리 리눅스가 침투 테스터들 사이에서는 커다란 존재임이 분명하지만, 사실 윈도우 환경에서는 대체할 만한 것이 없었고, 그에 대한 목마름이 분명히 있어왔다”고 말을 잇는다. “실제로 침투 테스트를 해야 하는 상황에서, 항상 리눅스를 설치할 수 있는 건 아니거든요. 보통은 윈도우 기계들이 막 연결되어 있는 네트워크 환경을 공격하죠.”

코만도VM은 윈도우 7과 윈도우 10 환경 모두에서 돌아가며, 깃허브(https://github.com/fireeye/commando-vm)를 통해 다운로드가 가능하다. 깃허브의 리드미(Readme) 파일을 통해서 이 컬렉션 안에 포함된 모든 툴들에 대한 정보도 열람할 수 있다. 코만도VM에 대한 파이어아이의 설명은 여기(https://www.fireeye.com/blog/threat-research/2019/03/commando-vm-windows-offensive-distribution.html)서 열람이 가능하다.

3줄 요약
1. 모의 해커들을 위한 종합 툴, 한 데 모으고 정리돼 무료로 공개됨.
2. 모의 해커들 사이에서 교과서와 같은 ‘칼리 리눅스’의 윈도우판이라고 볼 수 있음.
3. 교육용으로도 좋고, 초보자용으로도 좋으며, 숙련자에게도 유용하도록 구성됨.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)