요약 : 보안 외신 해커뉴스에 의하면 사이버 공격자들이 이디알사일런서(EDRSilencer)라는 도구를 활용해 자신들의 악성 행위를 감추고 있다고 한다. 보안 업체 트렌드마이크로(Trend Micro)가 발표한 것으로, 이디알사일런서는 이름 그대로 각종 이디알(EDR) 솔루션들을 무력화(사일런서)시키는 기능을 가지고 있다. 이번에 발견된 이디알사일런서는 MS, 엘라스틱, 트렐릭스, 퀄리스, 센티넬원, 사이버리즌, 카본블랙, 팔로알토, 태니엄, 포티넷, 시스코, 이셋, 트렌드마이크로의 이디알 솔루션들을 차단하는 기능을 가지고 있는 것으로 분석됐다.


배경 : 이디알사일런서는 나이트호크파이어블록(NightHawk FireBlock)이라는 도구에서 영감을 받아 만들어진 도구다. 깃허브에 공개되어 있는 무료 도구로, 레드팀 훈련을 하는 데 필요한 기능들을 일부 가지고 있다. 즉 합법적인 목적으로 만들어진 도구인데, 이를 공격자들이 악용하는 것이다.

말말말 : “최근 공격자들 사이에서 이디알 제품들을 무력화시키는 방법이 유행하고 있습니다. 랜섬웨어 공격자들도 자신들의 공격 무기에 각종 이디알 무력화 도구들을 포함시키고 있습니다. 이런 유행을 탄 공격자들이 이디알사일런서를 악용하는 방법을 발견해 공유하고 있는 것으로 보입니다.” -트렌드마이크로-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>