하네스는 while 루프, MCP를 통한 Binary Ninja, 그리고 4개의 마크다운 파일가 전부입니다.
요약
GPT-5.5-Cyber 모델을 활용하여 Cortex XDR 및 주요 EDR 시스템으로부터 수천 개의 YARA 규칙과 행동 탐지 규칙을 추출하고 검증한 보안 연구 사례를 소개합니다.
핵심 포인트
- LLM을 활용한 보안 규칙(YARA, CLIPS) 자동 추출 및 복구 성공
- 추출된 규칙을 실제 라이브 인스턴스에서 검증하여 신뢰성 확보
- CrowdStrike, Microsoft Defender 등 주요 EDR에 적용 가능한 방법론
- 보안 연구 분야에서 LLM의 실질적인 활용 가능성 제시
하네스 (Harness)는 while 루프, MCP를 통한 Binary Ninja, 그리고 4개의 마크다운 파일가 전부입니다. 그것이 전부입니다.
GPT-5.5-Cyber는 Cortex XDR로부터 6,358개의 YARA 규칙, 9,350개의 행동 탐지 (behavioral detection) 규칙, 테스트 하네스 (test harnesses)를 갖춘 7개의 ML 모델, 그리고 전체 CLIPS 기반 규칙 엔진을 추출했습니다. 모든 암호화 키가 자동으로 복구되었습니다. 모든 규칙은 라이브 인스턴스에 대해 검증되었습니다.
동일한 접근 방식이 CrowdStrike, Microsoft Defender for Endpoint, SentinelOne, Elastic Security, 그리고 엔드포인트로 로컬 탐지 로직을 전송하는 다른 모든 EDR에도 적용됩니다.
이것이 보안 연구 (security research)를 위해 LLM을 사용하는 실제 모습입니다. AI가 생성한 저질 블로그 글 (blog slop)도 아니고, 출처 표기 없이 타인의 작업물을 가로채는 것도 아닙니다. LLM이 무엇을 했는지 명확히 밝히고, 모든 발견 사항을 실제 시스템을 통해 검증하며, 방법론을 공개적으로 게시하는 실제 연구입니다.
만약 당신의 보안 전략이 로컬 엔드포인트 탐지에만 의존하고 있다면, 이것은 경종을 울리는 신호입니다.
저자: @xpn @SpecterOps
#DefenseEvasion #ThreatIntel #InfoSec
[IMG:1]
[IMG:2]
[IMG:3]
AI 자동 생성 콘텐츠
본 콘텐츠는 X 토픽: MCP의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기