F5의 Advanced Threat Research Center of Excellence(ATRCoE)의 핵심 인물을 만나보세요.

F5 CTO 사무실의 일부인 Advanced Threat Research Center of Excellence는 인터넷을 괴롭히는 가장 만연한 위협의 비밀을 밝히는 데 주력하고 있습니다. F5 Labs 가 위협 인텔리전스에 중점을 두는 것을 보완하여, ATRCoE는 사이버보안 위험에 대한 외부 관점을 제시하기 위해 고급 위협 연구를 수행합니다. 그런 다음 이러한 연구를 분석하여 사이버 보안 분야에서 설득력 있는 사고 리더십과 통찰력을 얻습니다.

Aditya Sood 박사가 이끄는 이 새로운 그룹은 이미 고급 위협을 발견하고 Virus Bulletin, Elsevier Magazines, BlackHat Arsenal 및 Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin 등과 같은 업계를 선도하는 보안 컨퍼런스와 같은 여러 출판물에서 연구 결과를 발표했습니다. 주목할 만한 작품 몇 가지를 아래에 소개합니다.

• 수집가-도둑: 러시아 출신 정보 도둑
• AZORult C&C 패널 분석
• 코로나19 위협 환경
• 엔필라드 도구: MongoDB에서 랜섬웨어 감염 감지
• ML/AI를 이용한 DGA(Domain Generation Algorithm) 공격 탐지
• 크립토재킹: NVIDIA 드라이버를 사용하는 손상된 Kubernetes 클러스터
• 감염을 파헤치기 위한 IoT C&C 패널 손상

이 팀은 위협 연구원과 개발 엔지니어로 구성되어 있습니다.

1. Amit Nagal 은 F5의 수석 데이터 과학자입니다. 그는 머신 러닝과 분석 분야에서 15년 이상의 경험을 가지고 있습니다. 그는 MGS 대학에서 발달 과학 박사 학위를 받았습니다. 그는 과거에는 베라이즌과 JPMorgan Chase에서 일했습니다.  
2. Bharathasimha Reddy Devarapally는 F5의 소프트웨어 엔지니어입니다. 그는 2020년에 인도 와랑갈 국립기술원에서 컴퓨터 과학 학사 학위를 받았습니다. 그는 F5에서 위협 연구에 적극적으로 참여해 왔습니다. 
3. 루스비크 레디 산케팔리는 F5의 소프트웨어 엔지니어입니다. 그는 BITS 필라니 하이데라바드에서 컴퓨터 과학 학사 학위를 취득했습니다.

팀이 위협을 발견하는 방법

ATRCoE 팀은 위협의 전략적, 운영적, 전술적, 분석적 측면에 중점을 둡니다. 첨단 위협의 비즈니스 위험과 영향을 이해함으로써 위협 연구 주제를 결정합니다. 그런 다음 위협을 분석하여 TTP(기술, 전술, 절차), KSA(지식, 기술, 능력), AIL(공격 인프라 및 발사대)을 찾습니다. 이러한 맥락에서 현재 진행 중인 연구를 연구하여 연구팀은 연구의 기반을 형성하고 이를 해결하기 위한 가장 좋은 접근 방식을 결정합니다. 접근 방식은 방어적, 공격적 또는 혼합형일 수 있습니다. 사용되는 기술은 선제적, 반응적일 수 있으며, 두 가지를 결합한 방식일 수도 있습니다. 그들은 오픈소스 도구를 구축하고 다양한 보안 포털과 컨퍼런스에서 연구 결과를 발표하여 위협 정보를 공유합니다.

위협이 ATRCoE의 관심을 끄는 방법

연구 주제를 선택하는 방법은 자체적으로 개발한 TRIG(위협 연구 및 정보 생성) 프레임워크를 기반으로 합니다. 연구는 인터넷에서 지속적으로 발생하는 첨단 위협과의 관련성을 기준으로 선정되었습니다. 제로데이 취약점을 포함한 매우 심각하고 대대적으로 홍보된 고급 위협은 F5의 제품 제공에 미치는 영향과 긴급성 때문에 주된 관심을 받습니다. 예를 들어, ATRCoE는 국가 기반 적대 세력이 특별히 사용하는 AZORult, Collector-stealer, Blackguard 등과 같은 고급 위협을 분석했습니다.

또한 ATRCoE는 사이버 보안 문제를 해결하기 위해 ML/AI를 활용하는 방향으로 노력하고 있습니다. 예를 들어, F5의 보안 데이터 웨어하우스에서 구조화된 형식으로 대량의 DNS(도메인 이름 서버) 및 HTTP(하이퍼텍스트 전송 프로토콜) 로그를 분석한 다음, 데이터를 탐색하여 흥미로운 위협 아티팩트와 위협 환경의 추세를 찾아 현재의 과제를 파악합니다. 예로는 Covid-19 테마를 사용한 피싱 사이트에 대한 팀의 게시된 작업과 Project Astra의 DGA 감지 연구가 있습니다.

ATRCoE 연구에 사용된 도구

이 팀은 내부 설계 맞춤형 스크립트, nmap, masscan, wireshark, tshark, bro, Radare2/Cutter, Ghidra, python 등의 오픈소스 도구, Burp proxy와 같은 엔터프라이즈 도구 등 다양한 도구를 활용하여 분석, 자동화, 인텔리전스를 구축하는 하이브리드 방식을 실행합니다.
_____

이런 종류의 연구는 특성상 언제 새로운 콘텐츠가 게시될지 예측하기 어렵지만, 이 그룹에서 곧 더 많은 콘텐츠가 나올 것으로 예상할 수 있습니다.