3.20 사이버테러분석과대응솔루션제안 V2.0 아이티윈
1. 개요 2013 년 3 월 20 일오후주요방송사와금융기관의내부네트워크에연결된모든 PC 를공격하여 pc 의디스크파괴를통해업무전산망을마비시키는대형보안사고가발생 ( 추정치 32,000 여대 PC 감염 ) - 일시 : 2013 년 3 월 20 일오후 12 시에서 14 시 - 피해기관 피해기관사용네트워크사용백신 KBS KT, LG 유플러스하우리 MBC KT 안랩 YTN SK 브로드밴드, LG 유플러스하우리 신한은행 KT, LG 유플러스안랩 농협 KT, SK 브로드밴드, LG 유플러스안랩 LG U+ 그룹웨어해킹확인, 그룹웨어접속시 hacked by Whois team 화면이뜸 에스원고객사도그룹웨어를접근하면똑같은화면이뜸
2. 분석 3 월 20 일장애발생은아래와같은방법으로진행이되는것으로보임 - 피해기관내부전산망에위치한백신중앙관리서버 ( 안랩, 하우리 ) 가모든 pc 에파일을배포하고실행할수있는취약성을이용함 - APT 공격을통해피해기관백신중앙관리서버에백신업데이트파일로위장한악성코드파일설치 - 최초악성코드감염경로로 spear-phishing 이메일을통한악성코드감염으로추정 - 백신중앙관리서버는악성코드를하위 pc 에배포 - 업무용 pc 들은배포받은파일을실행 -> 연결된모든 pc 들악성코드감염 - 정해진시간백신프로그램종료및 MBR 파괴, 데이터파괴 - 하드디스크파괴및 pc 강제종료 / 재부팅안됨 외부에연결된백신업데이트서버 APT 공격으로관리자권한획득 인터넷 백신중앙관리서버 악성코드배포 내부사용자 업데이트파일로위장한악성코드배포준비 악성코드실행및디스크파괴, 재부팅안됨
2. 분석 -1 악성코드정보및기능 - 안랩 APC 모듈을통해배포된샘플 ApcRunCmd.exe - MBR 및파티션정보파괴, pc 종료 (DB4BBDC36A78A8807AD9B15A562515C4) - 하우리 VISMS 모듈을통해배포된샘플 OthDown.exe - MBR 및파티션정보파괴, pc 종료 (5FCD6E1DACE6B0599429D913850F0364) - 웹을통해배포된샘플 Mb_join.gif - MBR 및파티션정보파괴, pc 종료 (0a8032ccd6b4a710b1771a080fa09fb87) ApcRunCmd.exe - 하위파일생성후실행 - 시스템의원격정보검색, 원격접속시도 (9263E40D9823AECF9388B6DE34EAE54) AgentBase.exe - MBR 파괴 (DB4BBDC36A78A8807AD9B15A562515C4) ~pr1.tmp - SSH 접속후서버를파괴하기위한쉘코드 (DC789DEE20087C5E1552804492B042CD) Alg.exe, conime.exe - Putty SSH 접속프로그램 ( 정상 )
2. 분석 -2 - 피해시스템의디스크의 MBR 영역을분석한결과 HASTATI 와 PRINCPES 라는문구와드라이브를다운하는명령어가발견 HASTATI 와 PRINCPES 는로마제국시절로마군보병대의 3 개대열중선봉부대와중보병을의미한다. 이문자열의의미로 2 차공격가능성을예상 OS 에따라디스크를손상시키는기능포함
3. 결론 앞에서살펴보았듯전산망이마비되는최근대형보안사고는대부분 APT 공격을통해자행되는경향을보인다. 특히하나의침투대상의관리자권한을 APT 공격을통해확보하면다수의하위공격대상장비로공격을실행하는악성코드를유포하는 중앙집중관리시스템 ( 예 : PMS 등 ) 을해킹하려는시도가증가할것으로예상된다. 이러한공격을차단하기위해주요서버및 IT 시스템에대한보안을강화할수있는솔루션이필요하다. 당사는이러한부분에대한보안을위하여차세대위협방어를위한아래의솔루션들을제안합니다. 1. 기존시그니처및정책기반의보안제품의보완 : Signature-Less, Multi Vector/Stage, Virtualized 기반의 APT 방어솔루션 2. 인증방법의강화 : OTP 인증, 전화인증등의 2Factor 인증을통한주요서버접근에대한인증강화 3. 가상화 ( 망분리 ) 를통한시스템분리 : 업무영역과인터넷영역을나누어보안위협에대한노출을사전분리
1. APT 대응솔루션 (FIREEYE) 위협은실제하고있습니다. 오늘날의차세대공격은광범위하게분포되어있고, 기존 Signature 기반의보안장비들에서이러한공격들을잡아내지못한다는것은이미기정화된사실입니다. 위협은실제존재합니다. 당신도이미감염된상태입니다. 단지모르고있을뿐입니다. 2012, 가트너보고서 95% 이상의회사가 이미악성코드에감염 되어있는상태입니다
1. APT 대응솔루션 (FIREEYE) 새로운대응모델필요 기존의패턴매칭탐지모델 새로운가상실행모델 MATCH 101011010101101000101110 001101010101011001101111 100101011001001001001000 100100111001010101010110 110100101101011010101000 시그너쳐기반정적인탐지알려진위협대상오탐 (Unknown 탐지시 ) Signature-less 다이나믹 & 실시간 알려지지않은위협탐지 오탐의최소화
1. APT 대응솔루션 (FIREEYE) 혼합공격방어시나리오 Email 본문에악성 URL 을사용한공격방어 Email MPS 에의한 URL 확인 (Unknown Suspicious or Known Malicious) 알려진악성일경우해당메일격리, 의심 URL 일경우 CMS 를통해 Web MPS 전달 Web MPS 에서해당 URL 에대한트래픽발생여부확인및 VXE 이용검사, 알려진 C&C 접속차단 WebMPS 에서해당 URL 모니터링후 Dropper 혹은 Payload 다운로드후정밀분석필요시 MAS 전달 Sandbox 가아닌 Live 세부분석 CMS 에의한전체이벤트연관분석
1. APT 대응솔루션 (FIREEYE) 3.20 공격탐지예 APCRUNCMD.exe 실행및 Taskkill /F /IM pasvc.exe 동작확인
2-1. 2 Factor 인증솔루션 종전과대비되는최근해킹방법 고전적 해킹방법 2000 년대 이후해킹 방법 목표집중형 해킹방법 (2011 년이 후 ~) 공중망또는내부망 (2 차해킹 ) 을통해서서버자체의취약점진단, 공격 알려진취약점에근거한 Exploit 실행, 관리자계정탈취 방화벽, IDS, 보안패치로대응 웹해킹, 웹쉘, 자동화된해킹툴에의한해킹 소스코드취약점을이용한 SQL-Injection 해킹등 OPEN 채널공격 자동화된해킹툴로특별한타킷이없는무차별해킹이압도적, 대중화 보안코딩, 웹방화벽, 서버보안설정강화로대응 표적이뚜렷한맞춤형악성코드제작, 장기간은닉 외부망보다상대적으로감시가덜한내부망으로부터의역접속적극활용 행동개시전에는백신으로도감지할수없는잠복형 (APT 등 ) 인터넷차단?, 망분리?, 좀비색출솔루션?, 외부망에서외부서버직접해킹 외부망 내부망침투후내부사용자자격해킹
2-1. 2 Factor 인증솔루션 (RSA One Time Password) - 1 OTP 개요 사용자는본인의 ID와 Token에서생성되는비밀번호로인증시도토큰에서발생한값과 Auth Server에서발생한값을비교 / 인증 ( 시간동기화방식 ) OTP Token (60 초마다, 토큰코드자동생성 ) Auth Agent ( 고객업무서버 or NW/ 보안장비 ) Auth Server ( 사용자인증처리 ) RSA SecurID 구성 다양한 SecurID Token Auth Agent Auth Server SID700 SID800 SID900 S/W Token 1000 여개이상의 Application 을위한 Agent 제공 (FW, VPN, SAP 등 ) 고객환경에 Customizing 가능한 API 제공 ( 고객자체개발 Application 에적용가능 ) 사용자인증처리 GUI 기반관리툴제공 사용자정보저장위한 DB 내장 Primary/Replica 구조의이중화구성제공
2-1. 2 Factor 인증솔루션 (RSA One Time Password) - 2 1. 사용자 Passcode 입력 (PIN + OTP 값 ) 3. 사용자인증성공 2. 인증서버에서 Passcode 생성후비교
2-2. 2 Factor 인증솔루션 ( 전화인증 ) - 1 서비스요청채널 ( 인터넷 ) 과다른채널 ( 휴대폰 ) 로본인여부를확인하는 2 채널인증방식 사용자 고객사시스템 1 서비스이용요청 6 서비스제공 1 채널 5 인증결과 2 본인인증요청 2 채널 4 승인번호입력 3 전화승인요청 사용자 thinkcall 시스템
2-2. 2 Factor 인증솔루션 ( 전화인증 ) - 2 중요서버에접근시 2 채널전화인증을통한본인확인필요
3. 가상화 - 망분리 기존 PC 에가상화소프트웨어를통해인터넷전용의가상데스크톱을제공하여, 업무망을인터넷으로부터격리하여해킹및내부정보유출을방지하는논리적망분리솔루션입니다. 해킹방지용인터넷망분리 MirageWorks idesk 제품 MirageWorks idesk 설명 PC 가상화기반논리적망분리솔루션 - 인터넷전용의가상데스크톱제공 - 탁월한해킹방지및좀비 PC 방지 - 업무망과인터넷망분리제공 - 가상영역초기화기능제공 - 다양한엔드포인트차단기능제공 - 정책기반의 PC 관리및이력관리제공 적용유형 - 임직원인터넷망분리 - 협력업체직원벤더룸망분리 - IT 관리자서버보안망분리 - 공장 PC 해킹방지망분리 - VDI 단말보안 - VDI 의가상머신 (VM) 망분리
3. 가상화 - 망분리 PC 한대로망분리환경을구축합니다. 가상화관리서버 업무용서버 네트웍스위치 인터넷영역 가상 LAN 구간 (VPN 터널링 ) 네트워크망분리 ( 보안게이트웨이 ) 로컬데스크톱 인터넷데스크톱
감사합니다. 제품문의 : 김형택차장 010-8286-3125 전기홍차장 010-7585-6018 김도석과장 010-6639-8578