VulnCheck IP 인텔리전스는 초기 침투 익스플로잇의 표적이 될 수 있는 잠재적으로 취약한 시스템뿐만 아니라 명령 및 제어(C2) 공격자 인프라와 허니팟을 추적합니다.
VulnCheck는 Havoc, Sliver, Meterpreter 등 수십 가지 명령 및 제어(C2) 공격자 인프라 유형을 식별합니다. VulnCheck는 이러한 지문을 기존 인터넷 인프라 매핑 기술(예: Shodan, Censys) 및 VulnCheck가 개발한 스캐너와 결합하여, 알려진 악성 IP 주소 목록을 유지합니다.
VulnCheck의 C2 차단 목록은 활성 명령 및 제어(C2) 인프라 인덱스를 유지하며, 상업적 TIP 및 위협 인텔리전스 워크플로우에 쉽게 가져올 수 있어 알려진 C2 인프라와의 통신을 즉시 차단할 수 있습니다.
VulnCheck Canaries는 웹 애플리케이션 공격, 잠재적으로 악성 트래픽 및 기타 악성 활동을 탐지하는 등 실제 공격자의 행동과 악용 기법을 실시간으로 포착합니다.
VulnCheck가 탐지 아티팩트를 개발한 취약점에 대해, VulnCheck는 인터넷에서의 잠재적 노출 정도를 측정합니다.
VulnCheck는 공개적으로 사용 가능한 노출 측정 시스템(예: Shodan)과 특정 취약점에 맞춰 설계된 VulnCheck 스캔 인프라를 모두 활용합니다. 예를 들어, PaperCut의 경우 VulnCheck는 고유하게 잠재적 취약 시스템을 식별할 수 있는 Shodan 검색 쿼리를 사용하여 노출을 측정합니다. 반면 Cisco IOS XE 취약점의 경우, VulnCheck는 이미 침해된 기기를 탐지하도록 제작된 VulnCheck 전용 스캐너를 사용하여 노출을 측정합니다.
인터넷에 다수 존재하는 허니팟 때문에 잠재적으로 취약한 시스템 수가 왜곡될 수 있습니다. VulnCheck IP 인텔리전스는 인터넷 상의 허니팟을 추적하여, 잠재적 취약 시스템을 보고할 때 허니팟을 제외합니다. 또한, 실시간 및 과거 허니팟 탐지 추적은 API를 통해 제공합니다.
VulnCheck는 소비자/상업용 VPN과 프록시 서비스를 식별하여 분석가가 합법적인 사용자 트래픽, 개인정보 보호 서비스, 그리고 잠재적으로 난독화된 공격자 인프라를 구분할 수 있도록 지원합니다.