Mandiant와 Google Cloud의 Adrian McCabe, Ryan Tomcik, Stephen Clement는 위협 행위자가 디지털 분석 도구를 어떻게 악용하는지에 대한 블로그 게시물을 게시했습니다.
일반적으로 합법적인 목적으로 사용되는 링크 단축기, IP 지리적 위치, CAPTCHA와 같은 도구가 위협 행위자가 공격을 강화하기 위해 어떻게 사용될 수 있는지 특히 흥미로웠습니다.
예를 들어 위협 행위자는 악의적인 URL을 난독화하기 위해 링크 단축기를 사용하여 사용자가 링크가 안전한지 여부를 식별하기 어렵게 만들 수 있습니다. 또한 특정 지리적 지역의 사용자를 타겟팅하거나 특정 위치의 사용자를 차단하여 탐지를 피하기 위해 IP 지리적 위치 도구를 사용할 수도 있습니다. 또한 위협 행위자는 자동화된 도구가 악의적인 인프라 또는 페이로드에 액세스하는 것을 방지하기 위해 CAPTCHA 도구를 사용할 수 있으며, 이로 인해 보안 연구자가 공격을 분석하기가 더 어려워집니다.
이 블로그 게시물에서는 방어자가 이러한 위협으로부터 자신을 보호할 수 있는 방법에 대한 지침도 제공합니다. 예를 들어 방어자는 짧은 시간 내에 단일 호스트에서 링크 단축기로의 여러 요청과 같은 의심스러운 패턴을 식별하기 위해 네트워크 분석을 사용할 수 있습니다. 또한 IP 지리적 위치 서비스 또는 봇 분류 도구에 연결하려는 악의적인 프로세스를 감지하기 위해 엔드포인트 보안 도구를 사용할 수도 있습니다.
전반적으로 이 블로그 게시물은 위협 행위자가 디지털 분석 도구를 어떻게 악용하는지에 대한 유용한 개요를 제공하며, 방어자가 이러한 위협으로부터 자신을 보호할 수 있는 방법에 대한 실용적인 지침을 제공합니다.
