Business

KOREA SOFTWARE SERVICE

Google Threat Intelligence 2025.03.11

 

 

 

 

 

안녕하세요, KOSS입니다! 

Virus Total이 2025년 6월 이후 Google Threat Intelligence로 새롭게 변경되었습니다! 기존갱신 고객은 6월 이전에

VirusTotal로 갱신이 가능하며 신규 및 6월 이후 갱신 건은 Google Threat Intelligence으로 구매가 가능합니다.

 

 

 

이번에 소개해드릴 소프트웨어는 Google Threat Intelligence 입니다. Google Threat Intelligence은 파일, URL, IP 주소, 도메인 

등을 분석하여 악성 코드(malware) 및 보안 위협을 감지하는 온라인 보안 서비스입니다. 구글이 2012년에 인수한 후 지속적으로 발전해왓으며, 

60개 이상의 보안 엔진을 이용하여 파일과 URL을 분석하므로 단일 보안 소프트웨어보다 높은 신뢰성을 제공합니다. 

 

Enterprise 서비스를 구독하면 이용할 수 있는 추가 기능에 관해서는 아래에서 자세히 설명드리겠습니다.

 

 

 

 

 

 

 

 

 

위처럼 웹사이트에 단순히 파일을 넣거나 API를 활용해 쉽게 분석이 가능합니다.







기존 위협 인텔리전스 업체들이 따라가지 못하는 이유


 

 

 

 

 

 글로벌 가시성의 한계

 

 

맥락과 실행 가능성 부족

 

 

사이버 위협 인텔 전문가 부족

 

 위협 행위자들은 국경과 산업에 구분없이 활동

하지만, 기존 업체들은 이를 포괄적으로 감지할 

수 있는 글로벌 가시성이 부족합니다.

단순한 위협 데이터만 제공되어, 실제 대응에 활용

하기까지 막대한 운영 부담이 발생합니다.

 

 전문인력이 턱없이 부족한 상황이므로 우수한

위협 인텔리전스 전문가를 채용하고 유지하는 

것이 매우 어렵습니다.

 

 






오늘날의 위협 인텔리전스

 

; 운영에 활용하기 어렵고, 사후 대응 중심이며, 정보량은 과도하고, 커버리지는 단편적입니다.

 

 노이즈와 관련 없는 데이터

 

 실행가능성의 한계

 

직접적/간접적 비용 증가 

 

 정작 중요한 위협을 식별하지 못하는 한계

 

 과도한 해석과 선별 작업이 필요하여 실제 

활용이 어렵습니다. 

정보 피드는 많지만 실제로 유의미한 것은 적고, 이를 운영에 적용하는 데 막대한 비용이 소요됩니다. 

위협 탐지 누락 

 

 

노출 시간 

 

맥락 부족과 제한된 커버리지로 인해 실제 위협을 

놓치는 경우가 발생합니다. 

 

위협 정보의 확보 및 전달 지연으로 인해 시스템이 

취약한 상태로 방치되는 시간이 발생합니다. 

 

도구 간 호환성 문제 

 

오탐(FP), 미탐(FN) 및 자원 낭비 

 

 기존 시스템에 위협 인텔리전스를 통합하는 것이 복잡하거나, 플러그인 부재로 아예 불가능한 경우도 있습니다.

 정보의 불완전성, 부정확성, 그리고 노후화로 인해 잘못된 탐지와 리소스 낭비가 발생합니다.

  

 

 

 

 누가 당신을 노리고 있는지 파악하세요

-압도적인 가시성과 함께

통찰을 행동으로 

전환하세요 

Google을 당신의 보안 팀으로 

활용하세요 

 위협 인텔리전스의 폭과 깊이 면에서 타의 추종을

불허하는 통찰력을 제공합니다.

새롭고 정교한 위협에 몇 주가 아닌 

단 몇 분 만에 대응할 수 있습니다. 

업계 최고 수준의 Mandiant 전문가 집단의 

역량을 그대로 활용할 수 있습니다. 




통찰을 실행으로 전환하세요


새롭고 정교한 위협에 몇 주가 아닌 단 몇 분 안에 대응할 수 있습니다.






 VT | Intelligence

 



Google과 Facebook을 결합하여 
Malware 분야에 적용

Google의 전 세계적 규모의 검색 엔진 기능을 상상하고, Facebook의 관계와 심층적인 프로필 특성을 추가하고, 이제 이 조합을 맬웨어 및 위협 인텔리전스 필드에 적용하면 플랫폼의 일부 기능에 대한 매우 광범위한 요약이 될 것입니다. 현미경으로 개별 위협을 관찰하고 망원경으로 인터넷의 악의적인 행동을 관찰합니다.

 

Google과 Facebook을  dfdf결합하여 Malware 분야에 적용

Google의 전 세계적 규모의 검색 엔진 기능을 상상하고, Facebook의 관계와 심층적인 프로필 특성을 추가하고, 이제 이 조합을 맬웨어 및 위협 인텔리전스 필드에 적용하면 플랫폼의 일부 기능에 대한 매우 광범위한 요약이 될 것입니다. 현미경으로 개별 위협을 관찰하고 망원경으로 인터넷의 악의적인 행동을 관찰합니다.

 

 

 

 

 

 

 

 

 

 

정적 위협 지표

위협을 추적하기 위한 신호를 수집합니다. 당사의 도구는 Office 문서 매크로의 OLE VBA 코드 스트림, PDF의 잘못된 상호 참조 테이블, Windows 실행 파일의 패커 세부 정보, PCAP에서 트리거된 침입 감지 시스템 경고, Exif 메타데이터, authenticode 서명 및 기타 수많은 속성과 같은 의심스러운 신호를 추출합니다. 이러한 속성을 IoC로 사용하여 네트워크의 악성 항목을 추적하십시오.

다중 속성 검색은 고급 수정자를 통해 수행할 수 있으며 위협 행위자 캠페인은 피봇팅 및 유사성 검색을 통해 완전히 매핑할 수 있습니다. 번개처럼 빠른 바이너리 n-gram 검색은 파일 유사성 검색을 보완하여 알려지지 않은 다른 공격 변종 및 동일한 위협 행위자와 관련된 다른 맬웨어를 찾습니다.

 

행동 활동 및 네트워크 통신

멀웨어 파일의 작동 및 통신 방식을 이해합니다. 당사의 Threat Intelligence는 가상으로 제어되는 환경에서 파일을 폭발시켜 파일의 활동과 통신을 추적하고, 열린 파일, 생성된 파일 및 작성된 파일, 생성된 뮤텍스, 레지스트리 키 세트, 연결된 도메인, URL 조회 등을 포함한 자세한 보고서를 생성합니다. 이 실행 활동은 즉각적인 조회를 허용하기 위해 패싯 방식으로 인덱싱됩니다.

동적 분석 기능은 실행 추적뿐만 아니라 정적 + 동적 분석 플러그인을 실행하여 RAT 악성 코드 구성을 디코딩하고 실시간 실행 중에 관찰되지 않았을 수 있는 네트워크 인프라를 추출하는 데 중점을 둡니다.

 

 

 

인더와일드 정보
멀웨어를 전파하고 유포하는 데 사용되는 기술과 위협 위치에 대한 컨텍스트를 확보합니다. 당사 플랫폼은 샌드박싱, 파일 간 관계 생성, 이메일 첨부 파일 추출, URL과 파일 매핑 및 허니팟에서 오는 파일의 라벨링과 같은 백엔드 프로세스를 실행합니다. Microsoft Sysinternals 제품군과 같은 타사 도구도 맬웨어의 야생 최종 사용자 목격에 대한 메타데이터를 제공합니다.

관계와 패턴
백엔드 프로세스를 활용하여 파일 간 netloc 관계를 이해하고, 지정된 위협을 포함할 수 있는 이메일을 검색하고, 상위 네트워크 트래픽 PCAP에 파일을 연결하고, 동일한 게시자가 서명한 다른 변형을 검색하고, 지정된 위협이 포함된 압축 패키지를 정확히 찾아내는 등의 작업을 수행할 수 있습니다.

 

 

 

 

대용량데이터

 

 50B+ 이상

2M<>8M


 데이터 세트에 50B 개 이상의 파일


매일 2M에서 8M 사이의 URL 분석 

보안 연구가 맬웨어를 식별하는 데 도움이 되는 강력한 신호가 있는 많은 파일 

하루에 약 300k가 구별되며 5개 이상의 URL 스캐너에 의해 감지됩니다. 

 

 1.8M

 

 

하루에 약 1.8M 파일 분석이 포함된 파일 피드


Google 인프라로 구동 

모든 원시 데이터를 사용할 수 있는 다운로드용 파일이 포함되어 있습니다. 피드에는

업데이트된 정보가 있는 파일의 재검사가 포함됩니다. 

Google 인프라의 데이터 보안, 신뢰성 및 계산 능력 

 

 

 

 

 

 

 

 

 

 

 

 

 VT | Hunting

 

 

건초더미에서 바늘을 찾고, 감시된 멀웨어 제품군의 
새로운 변종을 추적하세요.

YARA의 마법을 인텔리전스의 실시간 샘플 흐름에 적용하고 과거 데이터와 비교하여 시간을 거슬러 올라가 특정 위협 행위자, 관심 있는 멀웨어 제품군의 진화를 추적하고 조직을 보호하기 위해 IoC를 자동으로 생성하십시오.

 

 

 

 

 

 

 

 

YARA 규칙
YARA를 사용하면 텍스트 또는 바이너리 패턴을 기반으로 멀웨어 제품군에 대한 설명을 만들 수 있습니다. 규칙을 당사 플랫폼에 업로드하고 알려진 위협 행위자 또는 보안 업계의 레이더망에 포착될 수 있는 멀웨어 제품군의 변종에서 사용하는 새로운 도구를 추적하십시오.

YARA 설정을 사용하면 파일의 바이너리 콘텐츠(예: 바이러스 백신 레이블, 제출 파일 이름, 인텔리전스 태그, 파일 형식 등)를 기반으로 독점적으로 사용할 수 없는 메타데이터 및 기타 외부에 대한 조건을 지정할 수 있습니다.

자동 규칙 생성
일치시킬 파일 컬렉션을 제공하고, 위협 인텔리전스가 규칙 트리거로 작동하는 최적의 이진 하위 시퀀스를 자동으로 제안하도록 합니다. 전체 과거 데이터 세트에 대한 통계 분석을 통해 낮은 오탐률이 보장됩니다.

 

LIVEHUNT: VIRUSTOTAL의 파일 플럭스에 연결
멀웨어 헌팅에 업로드된 YARA 규칙은 전 세계에서 코퍼스로 전송되는 모든 파일에 실시간으로 적용됩니다. 규칙 일치가 있을 때마다 즉시 알림을 받습니다. 알림은 웹 인터페이스, 이메일 알림을 통해 보거나 REST API를 통해 검색할 수 있습니다.

API를 통해 IOC 생성
이 기능을 샌드박싱 또는 정적 분석과 같은 다른 기능과 결합하는 프로그래밍 방식의 워크로드를 구축하여 보안 방어를 강화하기 위한 침해 지표 피드를 생성합니다.

 

 

 

 

RETROHUNT: 시간을 거슬러 올라가는 YARA
YARA 규칙을 생성하고 기존 데이터 세트에 시간을 거슬러 적용하여 최근에 발견했을 수 있는 초기 버전 공격을 발견합니다. 공격자가 시간이 지남에 따라 어떻게 진화해 왔는지 이해합니다.

오프라인 학습을 위한 일치 항목 다운로드
규칙과 일치하는 파일은 추가 오프라인 연구를 위해 다운로드할 수 있으며 전체 프로세스는 REST API로 자동화할 수 있습니다.

그래프로 캠페인 매핑
클릭 한 번으로 모든 레트로헌트 매치가 GRAPH로 전송되어 노드 그래프에 위협 캠페인을 시각적으로 배치하여 공통점과 위협 인프라를 이해할 수 있습니다.

 

 

 

 

 

 

 

 

 

 

 

 

다양한 출처


글로벌 출처
232개의 고유한 ISO 국가 코드에서 제출된 파일이며, 여기에는 작년에 거의 
3M의 개별 소스가 포함됩니다.

다형성 변이체의 구조적 클러스터링(structural clustering of polymorphic variants)
한 달 동안 매일 198,000개의 클러스터가 생성됩니다. 기능 해시가 있는 모든 파일의 
약 35%가 상위 200개 컬렉션에 클러스터되어 있습니다.

파일 형식
하루 평균 100개 이상의 식별된 파일 형식이 표시됩니다. 예: Win32 DLL, Win32, EXE, HTML, Java 바이트코드, 안드로이드, PDF, 텍스트, Mach-O, ZIP, PNG, XML, MS Word, JPEG, ELF, RAR, Office Open XML, C++, C, GZIP, JAR, DOS, EXE, MS Excel, MP3, Python, 7ZIP, Windows, GIF, 이메일

ITW 파일 출처
출처 정보가 있는 400M 이상의 파일; 별개의 URL에서 100M 이상의 이식 가능한 실행 파일; 풍부한 원격 측정 데이터가 포함된 200M 이상의 파일; 풍부한 컨텍스트 정보를 위한 5M 이상의 이메일.

 

 

 

 

 

 

 

 

 

위협 그래프

 

 

데이터셋을 시각적으로 탐색하고
위협의 공통점을 발견합니다.

진행 중인 조사에서 발견된 파일, URL, 도메인, IP 주소 및 기타 
항목 간의 관계를 이해합니다.

그래프의 모든 멀웨어 아티팩트를 지능적으로 피벗하고 결과를 종합하여 동료와 공유할 수 있는 위협 맵으로 만듭니다.

 

 

 

 

 

 

 

 

 

 


관계 지향

백엔드는 파일이 다운로드된 URL, 주어진 파일이 다른 파일에 포함되어 있는지 여부, 주어진 Portable Executable의 부모는 무엇인지, 시간 경과에 따른 도메인과 IP 주소 매핑 등 풍부한 관계를 생성합니다. 이러한 모든 항목 간 링크를 그래프에서 탐색하고, 조사 대상이 활용하는 새로운 인프라와 아티팩트를 발견할 수 있는 노드와 호를 사용합니다.

시맨틱 아이콘
백문이 불여일견. 감지 수준 기반 채우기가 있는 파일 형식 아이콘, 네트워크 인프라에 대한 국가 플래그, 관계 종류 이미지 및 기타 시각적 불꽃놀이는 여러 일반 데이터 테이블을 반복해야 하는 많은 정보를 압축합니다.

위협 카드
그래프의 노드 중 하나에 마우스를 올려 놓으면 플랫폼에서 생성된 가장 대표적인 데이터가 있는 항목의 요약을 볼 수 있습니다.

SEAMLESS PIVOTING과의 통합
한 번의 클릭만으로 연구 워크벤치에서 연구된 아티팩트를 열 수 있으며, 자체 변환이나 후크를 코딩할 필요가 없습니다. API와 통합할 필요가 없습니다.

 

 

 

 

 

 

PRIVATE GRAPH 살펴보기

 

 

 비공개 그래프

그래프 협업 

사용자 노드 

 

기밀 유지 및 개인 정보 보호는 조사를 보호하는 데 

중요합니다. Private Graphs를 사용하면 Graph 조사의 

내용을 조직 또는 선택한 개인에게 비공개로 유지할 

수 있습니다.

 

 

 

 일부 조사는 매우 복잡하여 여러 팀 구성원의 입력이 

필요합니다. Private Graph를 사용하면 콘텐츠를 비공개로 
유지하는 동시에 온라인 사례에서 협업할 수 있습니다.

 

Private Graphs는 그래프에 표시되는 공격의 배후에 있는 

행위자와 같이 우리가 알지 못하는 정보를 추가하는 데 
도움이 됩니다. 이 정보는 유사한 스레드의 상관 관계를 
지정하거나 지정된 캠페인의 영향을 받는 자산을 문서화
하는데 유용합니다. 이 정보는 귀하와 귀하의 조직만 
액세스할 수 있습니다.

 

 

 

 공통점

추가 정보 

더 많은 확장 

 

일반적인 패턴과 공통점은 매우 흥미롭고 어떤 면에서는 

조사에서 중요한 부분이므로 주문형으로 계산하기로 결정한 

이유입니다. 그래프에서 노드 그룹을 선택하고 "공통점 찾기"

를 클릭하면 선택 항목에서 공통 속성 목록을 볼 수 있습니다.

 

IoC 조사 워크벤치와 위협 그래프는 함께 작동하여 조사에 

필요한 가장 관련성이 높은 정보를 제공합니다. Private Graphs는 그래프 샘플의 국가 및 날짜별로 제출된 내용을 표시합니다.

 

이메일 상위, 포함된 도메인, 포함된 IP 주소 또는 프리미엄 

위협 인텔리전스 쿼리를 통한 사용자 지정 확장과 같은 더 많은 

관계를 얻을 수 있습니다. 

 
 

 

 

 

 

제품에 대한 자세한 문의 사항은 사이트 우측 상단 

견적문의를 통한 고객문의, 혹은 하단의 문의처로 연락 주시면 

빠른 지원 드리도록 하겠습니다.





[ 제품 관련 문의 ]

한국소프트웨어서비스

office@ikss.kr / 02-535-1809

 

List