클라우드 서비스를 이용한 APT 대응

2,893 views

Published on

2011년 10월 국방IT 심포지움

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,893
On SlideShare
0
From Embeds
0
Number of Embeds
1,295
Actions
Shares
0
Downloads
51
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

클라우드 서비스를 이용한 APT 대응

  1. 1. Cloud Service를 이용핚 APT(Advanced Persistent Threat) 대응 2011.11.03 ㈜ 안철수연구소 ASEC (AhnLab Security Emergency response Center) Advanced Threat Researcher, MCSE, MCDBA, MCSA, CISSP 장 영 준 선임 연구원 (zhang95@ahnlab.com) Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.
  2. 2. 목차 I. APT(Advanced Persistent Threat) 1. APT(Advanced Persistent Threat) 특징 2. APT(Advanced Persistent Threat) 대상 3. APT(Advanced Persistent Threat)의 Targeted Attack 4. APT(Advanced Persistent Threat)의 Remote Control II. APT(Advanced Persistent Threat) Case Study 1. 2010년 1월 Operation Aurora 침해 사고 2. 2011년 2월 Night Dragon 침해 사고 3. 2011년 3월 EMC/RSA 침해 사고 4. 2011년 8월 Operation Shady RAT 침해 사고 Ⅲ. Cloud Service를 이용한 APT(Advanced Persistent Threat) Defense Strategy 1. APT(Advance Persistent Threat) Timeline 2. Proactive Defense for APT(Advance Persistent Threat) 3. Cloud Service for Proactive Defense 1
  3. 3. 1 APT(ADVANCED PERSISTENT THREAT) 2
  4. 4. 1. APT(Advanced Persistent Threat) 특징 APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격 APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표 3
  5. 5. 2. APT(Advanced Persistent Threat) 대상 정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상 피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발 정부 기관 사회 기간 산업 시설 • 정부 기관 기밀 문서 탈취 • 군사 기밀 문서 탈취 • 사이버 테러리즘 활동 • 사회 기간 산업 시스템 동작 불능 정보 통신 기업 • 첨단 기술 자산 탈취 • 원천 기술 관련 기밀 탈취 제조 업종 기업 • 기업 지적 자산 탈취 • 기업 영업 비밀 탈취 금융 업종 기업 • 사회 금융 시스템의 동작 불능 • 기업 금융 자산 정보 탈취 4
  6. 6. 3. APT(Advanced Persistent Threat)의 Targeted Attack APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계 공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발 Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의 취약점을 악용하는 악성코드나 악성코드를 다운로드하는 웹 페이지 링크 전송 [Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기] 5
  7. 7. 4. APT(Advanced Persistent Threat)의 Remote Control Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드 악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증 공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복 [Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기] 6
  8. 8. 2 APT(ADVANCED PERSISTENT THREAT) CASE STUDY 7
  9. 9. 1. 2010년 1월 Operation Aurora 침해 사고 2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개 해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상 공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취 공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용 1) Targeted Attack으 로 웹 사이트 링크 전 달 4) 내부 주요 시스템들 해킹 후 데이터 탈취 내부 임직원 3) C&C 서버에서 원격 제어 2) 링크 클릭으로 I.E Zero Day 취약점 동작 악성코드 다운로드 & 감염 [Operation Aurora 침해 사고 흐름도] 8
  10. 10. 2. 2011년 2월 Night Dragon 침해 사고 2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개 해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상 공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취 기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염 1) 외부 시스템 해킹 후 C&C 서버 설치 악성코드 업로드 3) 악성코드에 감염된 내부 임직원 시스템으로 내부망 침입 5) 이메일 데이터와 기밀 문건들 외부 유출 최소 1년 이상 기업 내부망 잠복 2) 내부 임직원 대상 Targeted Attack 수행 악성코드 감염 4) 다른 해킹 툴 다운로드 후 내부망 주요 시스템들 해킹 [Night Dragon 침해 사고 흐름도] 9
  11. 11. 3. 2011년 3월 EMC/RSA 침해 사고 2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개 공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취 공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정 Targeted Attack으로 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용 이메일에는 취약핚 SWF 파일이 포함된 “2011 Recruitment plan.xls” 파일 전송 •내부 직원 대상 •취약한 XLS 파일 악성코드 •Poison Ivy 감염 •주요 시스템 해킹 •외부 원격 제어 Targeted Attack 기밀 데이터 •관리자 권한 확보 •기밀 데이터 추출 •RAR로 분할 압축 •FTP로 외부 전송 •압축 및 암호화 내부망 해킹 탈취 [EMC/RSA 침해 사고 흐름도] 10
  12. 12. 4. 2011년 8월 Operation Shady RAT 침해 사고 2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개 해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생 공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취 Targeted Attack으로 웹 페이지 링크 전송 등 다양핚 일반 Application의 취약점을 악용 미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22 건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6 전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13 방위 산업 업체 - 13 부동산, 회계, 농업, 보험 관련 업체 - 6 국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13 [Operation Shady RAT 침해 사고 발생 조직 분류] 11
  13. 13. 3 CLOUD SERVICE를 이용한 APT(ADVANCED PERSISTENT THREAT) DEFENSE STRATEGY 12
  14. 14. 1. APT(Advanced Persistent Threat) Timeline 1) 2) 3) 4) 유포지 획득 : 제 3의 시스템 해킹 후 악성코드 업로드 악성코드 유입/감염 : Social Engineering을 이용핚 Targeted Attack 공격자와 연결 : Reverse Connection으로 C&C 서버로 연결 공격 명령 : C&C 서버를 통해 원격 제어 및 공격 명령 지시 13
  15. 15. 2. Proactive Defense for APT(Advance Persistent Threat) APT 공격에 대응하기 위해서는 핚, 두 가지 대응 방안으로는 대응이 어려움 여러 대응 방안들이 상호 유기적으로 결합된 Defense in Depth 체계가 구축 되어야 함 14
  16. 16. 3. Cloud Service for Proactive Defense 종합 위협 분석 시스템 데이터센터/ 서비스 제공자 보안 관제 센터 Network 위협 정보 악성 URL 악성 코드 CERT ASEC 모니터링 / 대응 보안 파트너 (정부/해외) Smart Defense SiteGuard Heuristic 게임/금융 TrusGuard Signature 대기업 V3 Engine Smart Defense SiteGuard Database Database 보안 관리 인프라 AOS Hackshield TrusGuard APC 4.0 SiteGuard Security Center V3 IS 8.0 SiteGuard 중소기업 V3 MSS SiteGuard 개인사용자 V3 365 SiteGuard Mobile Security 15
  17. 17. 감사합니다 세상에서 가장 안전핚 이름 Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved. http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo

×