블로그로 돌아가기
제품 업데이트네트워크 보안

Sandfly 5.4 - Cisco 및 Juniper 네트워크 장치 지원

2025년 4월 22일
6분 읽기
Sandfly Security Team
Sandfly 5.4 - Cisco 및 Juniper 네트워크 장치 지원

요약

Sandfly가 Cisco 및 Juniper 네트워크 장치를 지원하는 버전 5.4를 발표했습니다.

Sandfly 5.4 - Cisco 및 Juniper 네트워크 장치 지원

2025년 4월 22일

제품 업데이트

Sandfly 5.4는 업계 최초의 새로운 기능을 도입합니다: Cisco 및 Juniper 네트워킹 장비에 대한 에이전트리스 EDR 지원입니다. 이 새로운 기능은 고객에게 Sandfly의 검증된 속도, 안정성 및 안전성과 결합된 이러한 중요한 장치에 대한 완전한 Linux EDR 적용 범위를 제공합니다. Sandfly는 업계에서 가장 광범위한 Linux 기반 서버, 임베디드, 네트워크 어플라이언스 및 장치 지원을 계속 보유하고 있습니다.

Juniper 및 Cisco와 같은 엣지 장치 보호 외에도 Sandfly 5.4에는 다음과 같은 새로운 기능도 있습니다:

  • Slack 및 기타에 대한 알림을 위한 웹훅 통합
  • 공개 및 비공개 해시 데이터베이스를 위한 위협 피드 통합
  • Salt Typhoon 중국 국가 차원의 전술 및 관련 활동에 대한 확장 탐지

Cisco 및 Juniper 네트워크 장치 지원

Sandfly에 의해 탐지되고 모니터링되는 Juniper 라우터

Sandfly의 전체 기능이 Linux 기반 운영 체제를 실행하는 Juniper 및 Cisco의 라우터와 스위치로 확장되었습니다. 여기에는 다음이 포함됩니다:

  • 라우터용 Cisco IOS XR 네트워크 운영 체제
  • 스위치 및 관련 하드웨어용 Cisco Nexus NX-OS 데이터 센터 운영 체제
  • 라우터 및 스위치용 Juniper Evolved OS

Sandfly의 전체 기능 세트는 액세스할 수 있는 모든 장치에서 사용할 수 있습니다. 이는 Cisco 및 Juniper 네트워크 장비를 실행하는 고객이 다음을 얻는다는 의미입니다:

  • Sandfly의 완전한 Linux EDR 탐지 적용 범위
  • 무단 변경, 새 프로세스, 새 사용자, 새 SSH 키 또는 장치에 대한 관련 변경 사항에 대한 드리프트 탐지
  • 완전한 SSH 키 추적 및 SSH 보안 구역 보호
  • 약한 및 기본 패스워드를 찾기 위한 기존 사용자 계정의 패스워드 감사
  • 실행 중인 프로세스, 운영 중인 네트워크 포트, 존재하는 사용자, systemd 서비스, 커널 모듈 등에 대한 완전한 장치 가시성
  • 사고 대응을 위한 사용자 정의 위협 헌팅
  • 운영에 영향을 주지 않는 빠르고 안전하며 안정적인 즉시 에이전트리스 적용 범위

Salt Typhoon 위협

최근 공개된 Salt Typhoon으로 명명된 중국 국가 차원의 위협 행위자들의 통신회사에 대한 공격은 Cisco 및 Juniper의 중요한 네트워킹 장비를 표적으로 삼았습니다. 이러한 장치에 침입하면 공격자는 장기간 지속성을 유지하고 고객 및 네트워크 운영에 대한 극도로 민감한 정보에 액세스할 수 있습니다. 그들이 이렇게 오랫동안 지속할 수 있었던 주된 이유는 지금까지 이러한 장치를 모니터링할 효과적인 방법이 없었기 때문입니다.

그들의 공격 패턴에 대한 세부 사항은 여러 소스에서 확인할 수 있지만, 그들 공격의 주요 내용은 다음과 같습니다:

  • 다양한 익스플로잇이나 도난당한 자격 증명을 통해 중요한 라우터 및 네트워크 스위칭 장비에 액세스 얻기
  • 내장 메커니즘을 사용하여 지속성 유지
  • 대체 포트에서 SSH를 활성화하여 원격 액세스 활성화
  • 추가적인 은밀한 액세스 및 지속성을 위한 백도어 배포
  • 중요한 인프라로 더 나아가기 위해 암호화되지 않은 자격 증명과 같은 민감한 네트워크 트래픽 획득

Cisco 및 Juniper 위협 탐지

Sandfly의 에이전트리스 보안 플랫폼은 EDR과 드리프트 탐지를 결합했습니다. 이 두 기능 모두 Salt Typhoon 및 기타의 행동을 상당히 더 어렵게 만들 것입니다.

예를 들어, 드리프트 탐지 기능은 장치의 알려진 양호한 프로필을 잠그고 새로 시작된 프로세스, 변경된 파일, 추가된 새 사용자 등에 대해 경고하도록 쉽게 구성할 수 있습니다. EDR은 시스템에서 실행 중인 위협을 찾거나 기존 시스템에서 침해 징후를 확인하는 사고 대응의 일부로 사용할 수 있습니다. 마지막으로 SSH 키를 추적하는 기능은 장치에 추가된 새로운 액세스를 즉시 볼 수 있어 횡적 이동 위험을 제한합니다.

Cisco 및 Juniper 네트워크 장비 구성

Juniper와 Cisco 모두 Sandfly SSH 액세스를 활성화하기 위한 특별한 요구사항이 있습니다. Juniper Evolved OS는 서명된 바이너리가 실행되어야 하며 이는 아래 지침으로 수행됩니다. Cisco 장비도 다른 특별한 고려사항과 함께 SSH 액세스를 허용하기 위한 구성이 필요합니다. 자세한 내용은 설명서를 참조하세요:

Cisco NX-OS 애플리케이션 노트

Cisco IOS-XR 애플리케이션 노트

Juniper Evolved OS 애플리케이션 노트

Slack 및 기타 웹훅 알림

Slack 및 기타 애플리케이션에 알림을 보내기 위한 웹훅 지원을 추가했습니다. 새로운 알림을 통해 다른 플랫폼에 대한 경고 템플릿도 사용자 정의할 수 있습니다. 웹훅 활성화는 아래 지침을 따라 수행할 수 있습니다:

웹훅 활성화

위협 피드

Sandfly는 이제 Malware Bazaar 및 기타 위협 피드와 같은 곳에서 알려진 Linux 악성코드에 대한 해시 목록에 액세스할 수 있습니다. 해시 목록은 다음 중 하나에 대해 경고합니다:

  • 프로세스 해시 일치
  • 파일 해시 일치
  • SSH 키 해시 일치

위협 피드 기능은 고객이 제공한 URL에서 보안 팀이 유지 관리하는 사용자 정의 해시 목록에서도 가져올 수 있습니다.

위협 피드는 아래 설명서를 따라 추가할 수 있습니다:

위협 피드 구성

확장된 전술 탐지

Salt Typhoon과 기타 새로운 위협에서 사용하는 전술에 대해 더 광범위한 네트를 만들도록 적용 범위를 확장했습니다. 새로운 탐지는 더 많은 백도어 활동, 의심스러운 프로세스, 비정상적인 네트워크 프로세스 및 관련 익스플로잇을 찾습니다. 이는 이미 광범위한 업계 최고의 Linux 적용 범위를 확장합니다. 새로운 탐지 기능은 다음 중 일부를 포함합니다:

  • process_injector_memfd_*_network_operating - 파일리스 악성코드 백도어에서 사용하는 memfd 소켓에서 실행되는 네트워크 프로세스를 찾는 새로운 탐지
  • process_masquerade_cmdline_overwrite - 프로세스를 시작하는 데 사용된 명령줄을 가짜 이름으로 덮어쓰는 바이너리 위장 기법 탐지
  • policy_process_ssh_port_non_standard_tcp_port - 비표준 포트(예: TCP 포트 22가 아닌)에서 실행되는 SSH 데몬 찾기
  • process_backdoor_bindshell_login_mode - 백도어 활동과 일반적으로 관련된 로그인 모드에서 사용되는 시스템 셸 찾기
  • process_backdoor_bindshell_interactive_mode - 백도어 활동과 일반적으로 관련된 대화형 모드에서 사용되는 시스템 셸 찾기
  • process_backdoor_bindshell_pseudo_master - 백도어 활동에서 일반적으로 보이는 Linux 의사 터미널 마스터/슬레이브의 의심스러운 사용 찾기
  • process_backdoor_bindshell_parent_static_binary - 백도어 활동에서 일반적으로 보이는 정적으로 빌드된 네트워크 프로세스 바이너리에 의해 생성된 셸 찾기
  • process_masquerade_sshd - 존재를 숨기기 위해 다른 이름으로 실행되는 SSH 데몬 프로세스 찾기
  • process_running_ping_sweep_operating - 시스템에서 핑 스윕 프로세스가 실행되고 있다는 징후 찾기
  • process_running_port_scanner_operating_nmap - 시스템에서 실행되는 nmap 및 관련 포트 스캔 활동의 인스턴스 찾기
  • process_network_port_operating_static_binary - C2 페이로드 및 백도어에서 일반적인 시스템에서 실행되는 정적으로 빌드된 네트워크 바이너리 찾기
  • process_masquerade_cmdline_proc_dir - /proc을 명령줄 값으로 사용하여 실행하고 숨기는 프로세스 찾기
  • 프로세스 maps 포렌식 데이터가 maps_list로 변환되어 크기와 중복 데이터를 크게 줄임
  • 기존 검사 확장, 프로세스 위협의 더 넓은 적용 범위 등

Microsoft Sentinel 호스트 및 SSH 데이터

수집하는 호스트 및 SSH 키 데이터를 플랫폼에 보내는 것을 포함하여 Microsoft Sentinel에 대한 지원을 더 추가했습니다. 이 데이터는 Sentinel 내부의 보안 팀이 추가 위협 헌팅 및 상관관계 분석에 사용할 수 있습니다. 호스트 데이터는 장치 검색에 도움이 되도록 Sentinel 플랫폼 내부의 보안 팀을 위한 호스트 자산 인벤토리 데이터를 구축하는 데도 사용할 수 있습니다.

오늘 Sandfly 체험하기

Cisco 및 Juniper 장치 지원은 많은 회사에 중요한 새로운 기능이며 고객들이 국가 차원의 공격자들에 의해 자주 표적이 되는 엣지 장치에서 침해를 확인하기를 권장합니다. Sandfly를 사용하면 엔드포인트 에이전트 없이 이러한 장치를 간단하고 안전하게 보호할 수 있습니다. 항상 그렇듯이 Sandfly는 모든 라이선스 계층에 대해 무료 체험을 제공합니다. 자세한 정보는 아래를 참조하세요:

Sandfly 받기

Sandfly 업그레이드

모든 고객은 Linux에 대한 확장된 적용 범위 및 보호 옵션을 보기 위해 업그레이드하기를 권장합니다. 질문이 있으시면 도움을 드리겠습니다. 새로운 기능과 능력에 대한 설명서를 참조하세요:

Sandfly 설명서

업그레이드를 원하는 고객은 여기 지침을 따르세요:

Sandfly 업그레이드

질문이 있으시면 문의하시기 바랍니다.

Sandfly를 사용해주셔서 감사합니다.

Sandfly Security에 대한 자세한 정보는 공식 웹사이트를 방문하시거나 무료 체험을 신청해 보세요.

원문 기사 보기

Sandfly Security 공식 블로그에서 영문 원문을 확인하세요.

원문 읽기 →

관련 기사

Sandfly 5.5 - Linux EDR, 보안 및 규정 준수 강화
제품 업데이트

Sandfly 5.5 - Linux EDR, 보안 및 규정 준수 강화

Sandfly 5.5 버전은 Linux EDR, 보안 및 규정 준수를 크게 강화합니다.

Sandfly 5.3.1 - 홈 사용자 에디션을 포함한 새로운 라이선스 티어
제품 업데이트

Sandfly 5.3.1 - 홈 사용자 에디션을 포함한 새로운 라이선스 티어

홈 사용자 에디션을 포함한 새로운 라이선스 티어 옵션이 추가된 Sandfly 5.3.1 제품 업데이트입니다.

Sandfly 보안 솔루션 체험

이 기사에서 소개한 보안 기술들을 실제로 경험해보세요.

무료 체험 시작기능 자세히 보기