APT 공격에따른대응전략 조남용 차장 EMC
지능형지속공격 (Advanced Persistent Threat : APT)
피해범위 / 정교함 Changing Threat Environment 금전적이득을위한사이버범죄비즈니스기반에막대한위협초래정교함 / 피해범위 / 공격의속도가급격히증가 Advanced Persistent Threats (APTs) Significant impact on business bottom line Targeted malware APTs Rootkits Hybrid Worms Web-application attacks Coordinated attacks Service/resource Disruption Botnets DoS/DDoS Worms Spyware Spam Financial Backdoor Trojans Viruses Phishing Minor Annoyance Hobby-based malware Cyber vandalism 공격동기 Financially motivated cyber crime
지능형지속공격 (APT) 사례 현대캐피탈 고객 43 만명정보유출 농협 운영서버 200여대장애은행및카드업무장애원장데이터손실 SK 컴즈 회원 3,500 만명정보유출
지능형지속공격 (APT) 지능형지속공격 (APT) 공격자가특징기업혹은조직의기밀정보를획득하기위해장기간동안은밀하게진행하는공격형태 주요특징 특정조직에최적화된공격수행충분한시간과비용을투자조직및구성원개인에대한충분한정보수집 ( 사회공학적인방법이용 ) 탐지회피 low and slow 전략알려지지않은악성코드 (Zero-Day Attack) 사용이상징후를파악하지못하도록장기간에걸쳐은밀히활동 다양한방향으로공격, 사용자및 Endpoint 에집중
지능형지속공격 (APT) 일반적인공격단계 1. 표적확인필요한접근권한을가지고있는개인을표적으로삼음 2. Spear-Phishing 이용가치가있는특정직원에게악성코드또는링크가첨부된허위메일을전송 3. 조직파악침입에성공하면조직의 IT 인프라를조사하여전략적인자산, 주요서버및관리자권한이있는직원을파악 4. 권한상승추가적인 Spear- Phishing 또는권리자계정탈취를통해관리자권한획득 5. Stealth Fighters 탈취한시스템에악성코드를설치, 백도어생성, commandand control 서버로 Back Connection 활성화 6. D-day Command-andcontrol 인프라를활성화하여탈취한정보를압축 / 암호화하여전송
지능형지속공격 (APT) 국내공격사례 출처 : 한국일보 출처 : 디지털타임스
지능형지속공격 (APT) 기존보안시스템우회 Firewall 대부분의 Firewall 은외부에서내부로의접속을제어 내부에서외부로의연결이허용된포트사용 일반적으로 HTTP (80) 포트를사용하여내부에서외부에있는원격조종서버로연결 IDS/IPS 및 Anti-Virus IDS/IPS 및 Anti-Virus 는알려진악성코드에대한 Signature 기반탐지 지능형지속공격 (APT) 에서는알려지지않은신종 / 변종악성코드사용 보안관제 원하는정보를얻기까지장기간에걸친은밀한활동 일반적인 Worm 및공격탐지패턴에발각되지않음
지능형지속공격 (APT) 대응방안
지능형지속공격 (APT) 대응방안 4. 권한상승 1. 표적확인 2. Spear-Phishing 6. D-day 5. Stealth Fighters 3. 조직파악 1~6개월소요공격자가원하는정보에접근하기까지소요시간지연 네트워크분리 ( 망분리 ) 내부시스템인증강화 공격자가원하는정보에접근하기이전단계에서탐지 / 제거 알려지지않은악성코드 (Zero-Day Attack) 탐지 / 제거악성코드 / bot-net / Command & Control 지점접근트래픽탐지 / 차단
지능형지속공격 (APT) 대응방안공격자의공격소요시간지연 공격자가원하는정보를획득하기까지의시간지연 조직의보안체계가일정수준이상갖추어져있을경우공격자는최초잠임후원하는정보에도달하기까지 1 개월 ~6 개월정도의시간이필요 APTs 공격소요시간지연을위한주요보안조치 시스템패치관리 악성코드공격의성공률을낮추어내부시스템을점령에많은시간필요 내부인증강화 OTP, Smart Card 등을이용한인증내부시스템인증강화는악성코드를이용한계정탈취를어렵게함 망분리 업무망과주요시스템운영망을분리하여업무망에악성코드가감염되더라도주요시스템에접근을어렵게함 중요정보확산방지및암호화 주요기밀정보에대한보호등급설정및주기적검색을통한정보확산방지 주요기밀정보에대한암호화적용및암호화키관리
지능형지속공격 (APT) 대응방안공격에대한탐지 / 제거 알려지지않은악성코드 (Zero-Day Attack) 탐지 외부로부터유입되는모든실행파일에대한전수조사실시 비정상적인실행파일분석을통해 Zero-Day Attack 이의심되는파일탐지 SandBox 에서실행파일을실행시켜행위를모니터링하여악성코드와흡사한행위를하는지분석 SandBox : 테스트를목적으로구현된독립된실행환경으로주로검증되지않은코드를실행하여행위모니터링에사용됨 모든네트워크트래픽저장및모니터링 비정상적인경로를통한실행파일유입탐지브라우저취약점이용실시간 Botnet, 악성코드배포지점정보를이용한의심스러운파일다운로드탐지외부로연결이허용된트래픽 (80, 443 port 등 ) 모니터링으로외부공격자로의접속을탐지접속 Port 와실제프로토콜의일치여부확인 ( 예 : HTTP 프로토콜을사용하지않는 80 port 트래픽 ) 의심가는 IP 로의접속내용확인 ( 실시간 Botnet, Command&Control 지점정보이용 )
NetWitness 개요
NetWitness Is 혁신적인 네트워크모니터링 솔루션 네트워크 행위및내용에대한 광범위한가시성 정확하고 실효적인대응체계 제공 Know Everything. Answer Anything.
NetWitness Network Security Analysis Platform 모든네트워크트레픽의실시간저장및인덱스생성 자동화된악성코드분석및위험도평가 자동화된위협보고서및경보 즉각적인원인파악및분석 혁명적인가시화를통한신속한 Content 리뷰
NetWitness 주요기능
NetWitness NextGen Platform Session 기반네트워크분석플랫폼 NextGen Platform 네트워크상의모든트래픽저장 네트워크트래픽을세션단위로인덱스 Source IP / Port, Destination IP / Port Protocol (HTTP/MSN IM/POP3/SSH) Action (login/get/sendto/attach) File Type (exe/pdf/jpg) Etc 실시간인덱스생성 인덱스기반고속검색 네트워크트래픽정보를이용한 상세내용조회 NextGen 플랫폼에다양한어플리케이션구현 Spectrum/Informer/Investigator/Visualize
NetWitness Investigator Network Session 기반대화형분석솔루션 Investigator Layer 2-7 컨텐츠에대해세션기반대화형분석방식제공 Port 에독립적인세션기반분석 ( 특허기술 / 수상경력 ) 사용자친화적인데이터표현 (Web, Voice, Files, Emails, Chats, etc.) 대용량데이터고속검색 수테라바이트데이터를인덱스기반고속검색 신속한분석 전세계 50,000 이상의보안전문가들이 Freeware 사용중
NetWitness Spectrum Signature-free 악성코드탐지솔루션 Spectrum 알려지지않은악성코드 (Zero-Day Attack) 탐지 네트워크상의모든실행파일에대해다양한관점에서악성코드여부분석 File 파일의고유속성 / 파일헤더정보를분석하여변조된실행파일탐지 NextGen 파일출처에대한네트워크정보를확인하여비정상적인유입경로확인 Community 해당파일의 Signature 에대해 Online Community 에질의 SandBox 실행파일을테스트환경에서실제실행하여악성코드행위탐지
NetWitness Informer Monitoring & Alerting Informer 위협상황을종합적으로인지할수있는유연한대시보드제공 다양한부서에서사용 네트워크보안 내부보안 / 인사관리 법무 / R&D / 감사 I/T 운영 HTML, PDF 등다양한리포트제공 SIEM 과완벽한연동을위해다양한로그전송방식제공 CEF, SNMP, syslog, SMTP
NetWitness Visualize 네트워크컨텐츠의혁신적인가시화 Visualize 네트워크컨텐츠의가시성을제공하는혁신적인인터페이스 네트워크트래픽에서모든이미지, 파일, 객체, 오디오, 음성등을추출하여대화형인터페이스로표현 멀티터치, 드릴다운, 타임라인및자동재생기능제공 네트워크컨텐츠의신속한리뷰
NetWitness Live 최신탐지정책실시간업데이트 Feeds Custom Actions Flex Parsers Rules Reports NetWitness community 로부터분석방식자동업데이트 Global threat intelligence Solutions to problem-sets: Advanced threats Malware BOTNets Policy/Audit Enterprise Monitoring Fraud User Attribution Risk prioritization
Use Case NetWitness 를이용한 APTs 탐지
APTs 탐지시나리오 악성코드유입탐지알려진악성코드알려지지않은악성코드 악성코드유입경로확인 Browser 취약점이메일첨부파일파일공유사이트 악성코드감염시스템의네트워크접속내역추적감염된시스템의모든트래픽내용이상트래픽의목적지 IP 주소추적
알려지지않은악성코드 (Zero-Day Attack) 탐지 알려지지않은악성코드의심파일 (Suspicious Zero-Day) Anti-Virus 및 Community 정보에는탐지되지않지만파일속성및유입경로가악성코드특성을가짐 알려진악성코드현재사용중인 Anti-Virus 에서탐지됨 알려진않은악성코드현재사용중인 Anti-Virus 에서탐지못함타사 AntiVirus 에서탐지
악성코드유입경로분석악성코드탐지근거상세내용및보고서생성 View Event Detail PDF 형태로저장
악성코드유입경로분석악성코드파일추출 zip 형태로악성파일저장
악성코드유입경로분석악성코드와관련된상세트래픽내용조회 악성파일관련정보를 Investigator 에서상세분석
악성코드유입경로분석 Session 세션상세내용 404 Not Found 표시이후특정파일다운로드
악성코드유입경로분석 Session 세션상세내용 특정사이트로이동, 파일다운로드
악성코드유입경로분석악성코드다운로드내용확인
감염된시스템트래픽분석감염된시스템의트래픽내역확인
감염된시스템트래픽분석감염된시스템의이상트래픽내역분석
감염된시스템트래픽분석악성파일전송후추가행위분석 악성파일수신사이트로계속적인 UDP 패킷전송확인 상세패킷확인
감염된시스템트래픽분석 Web 검색을통한내역확인 상세웹검색 Palevo Botnet 의 C&C 서버 IP 로확인 UDP 패킷의용도가키보드입력값전송인것으로추측됨
결언
전체트래픽분석의필요성 악성코드대응체계강화 악성코드유입및행위에대한능동적대응체계확보 AV 미탐지악성코드및알려지지않은악성코드탐지악성코드유입경로에대한지속적차단및악성코드행위차단 주요위협탐지 / 대응방안제시 알려지지않은신규공격행위파악및대응탐지를회피하는정교한공격탐지 / 제거 Zero-Day Malware, Botnet, C&C 서버접근위협이되는사이트접근행위탐지및통제 내부직원의행동유형분석 조직에위협이될수있는업무관행파악및개선 Outbound 트래픽통제시에기존업무영향도분석
트래픽통제체계강화방안지속적인보완 / 최적화 Cycle RSA NetWitness 를이용한통제체계의지속적보완 / 강화 주요위협모니터링및상세분석결과를 Feedback 으로이용 기존정책의지속적보완 OutBound 접속통제항목의지속적보완 정책보완 정책정의 트래픽통제체계강화 지속적탐지 탐지 주요 Outbound 접속행위 / 위협사항탐지 통제 Outbound 접속통제 ( 방화벽 / BlueCoat SG / PS) Feedback 모니터링 / 분석 RSA NetWitness / 트래픽모니터링 / 분석