MS, 프로세스 조작 공격 탐지해준다
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
마이크로소프트(MS)가 정상 프로세스를 조작해 수행되는 사이버공격을 탐지해주는 보안 기능을 내놨다.
미국지디넷은 MS가 시스템 관리자용 보안 도구 '시스인터널' 패키지 버전 13.00을 출시하면서 기능 중 하나인 '시스몬 유틸리티'를 업데이트하면서 이같은 기능을 추가했다고 지난 11일 보도했다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
(지디넷코리아=김윤희 기자)마이크로소프트(MS)가 정상 프로세스를 조작해 수행되는 사이버공격을 탐지해주는 보안 기능을 내놨다.
미국지디넷은 MS가 시스템 관리자용 보안 도구 '시스인터널' 패키지 버전 13.00을 출시하면서 기능 중 하나인 '시스몬 유틸리티'를 업데이트하면서 이같은 기능을 추가했다고 지난 11일 보도했다. 시스몬은 로그 분석을 통해 특정 앱이나 프로세스를 대상으로 사이버공격이 수행되는 과정을 추적해주는 도구다.
업데이트된 버전에선 정상 프로세스가 악성코드에 의해 조작될 경우 경고 '이벤트 ID 25'가 기록된다. 시스템 관리자는 이벤트 기록을 살펴 조작이 시도된 프로세스가 무엇인지 확인하고, 대응할 수 있게 된다.
이 기능이 추가되면서 시스몬은 기존 보안 체계에서 대응이 어려웠던 공격들을 탐지할 수 있게 됐다. 정상 프로세스를 일시 중단시킨 뒤 악성코드를 삽입해 실행하는 '프로세스 할로잉(Process Hollowing)' 공격, 정상 프로세스가 실행된 뒤 디스크 콘텐츠를 수정해 악성코드를 실행하는 '프로세스 헤르패더핑(Process Herpaderping)' 공격이 이에 해당된다.
미국 지디넷은 시스인터널에 프로세스 할로잉 공격을 탐지하기 위한 다른 도구들이 존재하지만, 비교적 최근 등장한 프로세스 헤르패더핑 공격에 대해서는 탐지를 지원하는 첫 사례라고 평가했다.
김윤희 기자(kyh@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.