피싱 공격에 가장 흔히 사용되는 단어들: 엔터프라이즈 네트워크를 효과적으로훼손시키고 데이터를 훔치기 위한 스피어

Size: px

Start display at page:

Download "피싱 공격에 가장 흔히 사용되는 단어들: 엔터프라이즈 네트워크를 효과적으로훼손시키고 데이터를 훔치기 위한 스피어"

진우 부
4 years ago
Views:

1 REPORT 피싱 공격에 가장 흔히 사용되는 단어들: 엔터프라이즈 네트워크를 효과적으로훼손시키고 데이터를 훔치기 위한 스피어 SECURITY REIMAGINED

2 목차 요약... 3 머리말... 3 파일명... 3 상위 5개의파일확장자...5 맺음말... 6 FireEye 소개

3 요약공격목표의허점많은방어시스템과부주의한사용자에의해, 현재의사이버범죄자들은시스템을파괴하고다양한악성활동을하는지능형악성코드를전달할수있습니다. 이러한많은지능형악성코드들은악성파일이첨부된이메일을통해서전달됩니다. 이보고서는사이버범죄자들이배포하고있는파일, 특히방화벽, 차세대방화벽, 침입차단시스템 (IPS), 안티바이러스 (AV), 보안게이트웨이같은전통적인방어시스템을효과적으로우회하는파일들의특성에대한현황을보여줍니다. 이보고서는이러한지능형악성코드의특성을나타내는파일명과파일종류에사용되는단어를설명함으로써, 지능형위협을방어하기를원하는사용자와보안팀에게중요한정보를제공합니다. 머리말이메일통신을보호하기위해설계된모든보안방어시스템에도불구하고, 이채널은계속사이버범죄의온상을제공하고있으며, 대부분의조직에있어서매우취약한부분입니다. 이메일통신은가장자주사용되는공격경로입니다. 이러한공격은중대한위험을발생시킵니다. 이메일은스팸과대량으로배포되는악성코드가침투하는경로일뿐만아니라, 다양한지능형지속위협 (APT) 공격을시작하는방법이기도합니다. 고스트넷, 나이트드래곤, 오퍼레이션오로라, RSA 침해, 그리고공개적으로확인된대다수의다른 APT 는최소한부분적이더라도표적으로발송된스피어피싱이메일을통해서시작되었습니다. 이공격방법은매우효과적이기때문에, 사이버범죄자들이계속이방법을사용하고있는것이현실입니다. FireEye 는가장최근의 2012 년상반기지능형위협보고서 [ 연결링크 ] 에서 2012 년 1 분기와 2 분기사이에악성이메일의양이 56% 증가했다고보고했습니다. 이러한증가는악성이메일의총수가아니고, 조직들의기존의전통적인보안방어시스템을통과한이메일수의증가라는것을인식하는것이중요합니다.. FireEye 는이러한지능형표적공격활동을파악할유리한위치를확보하고있습니다. 수많은기업고객들이 FireEye Malware Protection System TM (MPS) 을설치했습니다. FireEye 솔루션은방화벽, 차세대방화벽, IPS, AV 및다른보안게이트웨이후방에배치되고, 조직체에대한마지막방어선을구축합니다. 이러한솔루션은취합, 분석및공유할수있는위협인텔리전스를자동으로수집하는어플라이언스가특징입니다. FireEye 는이러한솔루션을통해서지능형위협의성격을보고할수있습니다. 이보고서는이메일첨부파일을통해서배포되고전통적인보안시스템을우회하는지능형악성코드의특성을중점적으로분석합니다. 이보고서는수집한데이터를통해서지능형악성코드의특성과사이버범죄자들의전술에대한중요한정보를제공합니다. 아래의조사결과가기존의메커니즘을효과적으로우회하는지능형위협을상세하게설명한다는것을이해하는것이중요합니다. 바꾸어말하면, 이러한종류의악성코드가여러분의받은메일함에아직도달하지않았더라도곧도달할가능성이높다는것을의미합니다. 파일명사이버범죄자들은의심되지않는수신자를사칭하여이러한파일들을컴퓨터에다운로드하거나설치하게할의도로악성파일을배포합니다. 범죄자들은이를위해서다양한전술을사용합니다. 이러한파일명에사용된단어들은사이버범죄자들이사용하고효과적이라는것이증명된전술에대한몇가지명확한정보를제공합니다. 아래의표는 FireEye 솔루션이탐지한악성파일에가장많이나타나는단어들을보여줍니다. 확실한것은공격자들이이러한단어들을모든전통적인 IT 보안방어시스템을우회하기위해사용한다는것입니다. 사이버범죄자들이사용자들을속이는한가지방법은특송통지서라고사칭하는파일을보내는것입니다. 이러한서비스는광범위하게제공되고, 본질적으로중요하고긴급한경우가많기때문에, 사용자들은발송관련단어가들어있는악성파일을열수밖에없습니다. 이러한술책은가장흔히사용되는것들중하나입니다. 발송및우편요금과관련된단어가악성파일명에사용된단어의 26% 를차지하고, 2012 년상반기에확인된 10 개의가장많이사용된단어중 7 개를차지합니다. DHL 3

4 순위 단어 2011 년하반기 첨부파일에대한비율 1 label( 라벨 ) invoice ( 청구서 ) post ( 우편 ) document( 문서 ) postal( 우편의 ) calculations( 계산 ) copy( 사본 ) fedex( 페덱스 ) statement( 명세서 ) financial( 금융의 ) dhl (dhl) usps notification( 통지 ) n irs( 국세청 ) ups (ups) no( 아님 ) delivery( 배달 ) ticket( 티켓 ) 2.60 순위 단어 2012 년상반기 첨부파일에대한비율 1 dhl notification( 통지 ) delivery( 배달 ) express( 특송 ) label( 라벨 ) shipment( 발송 ) ups (ups) international( 국제 ) parcel( 소포 ) post( 우편 ) confirmation( 확인 ) alert( 주의 ) usps report( 보고서 ) jan2012(2012 년 1 월 ) april(4 월 ) idnotification(id 통지 ) ticket( 티켓 ) shipping( 발송 ) 2.92 주 : 위의표는 FireEye MPS 어플라이언스에의해탐지된악성첨부파일에포함된단어의비율을보여줍니다. 주 : 1 개의악성첨부파일에여러단어들이포함될수있으므로, 비율의합계가 100% 가아닐수도있습니다.. document.zip, Fedex_Invoice.zip, Label_Parcel_IS US.zip 과같은파일명은범죄자들이사용하는파일명의유형에대한대표적인샘플입니다 년하반기와 2012 년상반기에는몇가지추세가확인되었습니다. 예를들면, 발송과관련된단어가언급된파일명의비율은 19.20% 에서 26.33% 로증가했습니다. 또한긴급성과관련된단어가언급된파일의수는 1.72% 에서 10.68% 로증가했습니다. 4

5 2011 년하반기 2012 년하반기 주제 비율합계 주제 비율합계 우편 뱅킹 / 세금 5.98 긴급성 1.72 항공사 1.81 청구서발송 4.98 우편 뱅킹 / 세금 3.83 긴급성 항공사 2.45 청구서발송 0.68 주 : 위의표는악성이메일첨부파일에많이사용된단어카테고리중상위 5 개를보여줍니다. 다음은흔히사용되는몇가지다른카테고리들입니다. Urgency( 긴급성 ). 확인, 주의, 통지와같은긴급성과관련된단어들은두번째로많이사용된단어의카테고리로확인되었습니다. 이러한단어들은자체적으로사용될수있으나, 발송 (UPS-Delivery-Confirmation- Alert_ April-2012_ zip) 또는세금 (IRS-Penalty-Income-Tax-Warning-Notification SUD4811L9JS.zip) 과같은다른카테고리와연계하여사용되는것이자주관찰되었습니다. Finance( 금융 ). 금융기관및이와관련된거래및커뮤니케이션에대한단어들도매우많이사용되었습니다. 다음은몇가지대표적인파일명입니다 : VisaCard-N zip, PayPal.com_2012_Account_Update_ Form.html, Lloyds TSB - Login Form.html. Taxes( 세금 ). 세금과 IRS 에대한단어들도상당한수가관찰되었으며, 다음과같은파일명들이사용되었습니다 : Tax_Refund.zip, irspdf.zip, tax_return_form.pif. Travel( 여행 ). 여행예약, 특히항공편예약에대해사칭하는많은파일명도많이사용하는카테고리이고, 다음과같은파일명이흔히확인되었습니다 : Ticket_American_Airlines_ ID zip, Delta_Air_Lines_Ticket_ID zip, A_Airline_Ticket_ ID US.zip. Billing( 청구서발송 ). 청구서, 주문서등에대한단어들도상당히많이사용하는카테고리입니다. 다음은탐지된파일의몇가지예입니다 : Purchase Order zip, Invoice_ ID zip, Invoice_Copy.zip. 상위 5 개의파일확장자악성파일의확장자와관련하여, 사이버범죄자들은보안방어및메커니즘에대한접근방법을변화하는환경에계속적응시키고있습니다. 한가지명확한추세는.EXE 파일을더이상사용하지않는것입니다. 과거에는.EXE 파일이악성첨부파일종류의대부분을차지했습니다. 그러나현재는매우적은부분의.EXE 파일만이보안방어를통과할수있습니다. 또한.EXE 파일은보통사용자의컴퓨터운영체제로부터알림기능을작동시켜, 사용자들에게.EXE 파일의설치에대한확인및동의를요청하는프롬프트가표시되므로, 표적시스템을효과적으로훼손시킬가능성이적습니다. 현재는.ZIP 파일이지능형악성파일의대부분 (76.91%) 을차지합니다. 별개의파일과파일종류를포함시킬수있는이복잡한첨부파일은이파일확장자에대한사용자의인식부족과결합되어악성코드를배포하고시스템을악용하는매우효과적인수단을제공합니다. 5

6 2011 년하반기 2012 년상반기 확장자 비율 확장자 비율 zip exe 5.91 pif 2.67 scr 2.06 bat 1.79 zip pdf exe 3.98 doc 2.67 pif 1.09 주 : 위의표는 FireEye MPS 어플라이언스에의해탐지된악성파일에사용된파일확장자의상대적비율을상세하게보여줍니다. PDF 파일도중대한위협을발생시킵니다. 이파일은널리사용되고거의모든컴퓨터사용자에게매우친숙합니다. 또한많은사용자들은악성코드가 PDF 파일을통해서배포될수있다는사실을인식하지못하며, 이러한파일종류에내장된악성코드는기존의방어시스템이탐지하기어렵다는것이증명되고있습니다. 이러한이유로, PDF 파일은사이버범죄자들에게매우효과적인공격수단을제공합니다. 맺음말사이버범죄자들은중요하고보통시간에민감한정보 ( 특송통지서, 납세신고서양식, 재무회계상태, 항공권확인등 ) 를사용하여표적에대해긴박감을조성함으로써시스템을악용하는악성코드를급히다운로드하도록유도합니다. 범죄자들은.EXE 파일의효과가충분하지않기때문에현재는.ZIP 파일, PDF 파일및다른종류의파일을사용하여기존의전통적인보안방어시스템을우회하고있습니다. 사용자들은이러한위협들을방어하기위해서지능형악성코드의위험과형태에대해즉시교육을받아야합니다. 또한보안팀은현재기존의방어시스템을우회하고있는지능형위협을탐지및방지할수있는첨단기술이필요합니다. 사용자들은이러한위협들을방어하기위해서스피어 피싱이메일 ( 특히사회공학을이용하여이메일을위장하는방법과이러한이메일이발생시키는위험 ) 에대해교육을받아야합니다. 회사들은이러한지능형표적공격을탐지및차단하기위해서전통적인 IT 보안방어시스템을우회하는공격을방어할수있는차세대위협방지시스템으로전환하고있습니다. FireEye 소개 FireEye 는지능형악성코드, 제로데이익스플로잇및 APT 수법을사용하는지능형사이버공격을방지하는기술의리더입니다. FireEye 솔루션은지능형위협에대응하지못하여네트워크에보안의허점을남기는기존및차세대방화벽, IPS, 안티바이러스, 게이트웨이를보완합니다. FireEye 는유일하게웹및이메일위협벡터를통한공격은물론, 파일공유시스템에상주하는잠복악성코드를탐지및차단하는솔루션을제공합니다. 이솔루션은제로데이위협을탐지하기위해스테이트풀공격분석을수행하는비 - 시그니처기반의가상실행엔진을사용하여공격라이프사이클의모든단계에대처합니다. 캘리포니아주밀피타스에소재한 FireEye 는 Sequoia Capital, Norwest Venture Partners, Juniper Networks 를포함하는최고의금융파트너들로부터지원을받고있습니다. 6

FireEye Network Threat Prevention Platform

SECURITY REIMAGINED FireEye Network Threat Prevention Platform 웹 기반의 사이버 공격에 대처하는 위협 방어 플랫폼 데이터 시트: SECURITY REIMAGINED 주요 기능 인라인(차단/모니터 모드) 또는 대역 외(TCP 재설정 모드/모니터 모드)로 설치하고, IPv6 트래픽에 대한 보안 분석을 활성화 PDF,