PowerPoint 프레젠테이션

2015. 06. 10. 0 ( 수 )

I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과 4. APT 솔루션분석 5. 최상의 APT 대응방법 1 1

I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과 4. APT 솔루션분석 5. 최상의 APT 대응방법 2 2

공격의피해정도 사이버범죄 사이버첩보활동및사이버범죄 교란 APT공격 / 제로데이 / 표적공격 / 동적 Trojan/ 스텔스봇..... 스파이웨어 / 봇웜바이러스 2006 2008 2010 2012 2014 기존 악성코드 개방성 알려지거나패치가능 광범위 일회성 새로운위협등장 잠복 알려지지않은제로데이 표적 지속적 신종 악성코드 신종사이버공격 목적 특징..... 1995 감염속도느림 2000 악성코드의흐름 2005 2007 2010 호기심, 자기과시금전적이득기밀정보유출사이버전 감염속도빠름국지성, 대량유포표적공격, 제로데이취약점이용 범죄화, 무기화 APT 공격 1. 타깃형범죄증가 2. 신 / 변종악성코드탐지및제거어려움 3. 악성코드로인한비용 ( 돈 ) 지불 4. 전통적인악성코드의부활 5. 모바일악성코드확산 3 3

개인 PC 사용자 하루에생성되는악성코드는 150,000~500,000 개 업무 PC 사용자 금융거래피해 ( 파밍, 메모리해킹 ) 업무정보유출 (APT 공격 ) 개인정보탈취 ( 워터홀공격 ) 내부감염확산 ( 악성코드유포 ) PC 파괴 / 장애 (Zero-Day/DDoS 공격 ) 전산마비 / 공격 (Zero-Day/DDoS 공격 ) 하루에업데이트되는바이러스백신은 200 개 4 4

감염 소셜네트워킹을이용한감염확산 피싱이메일파일첨부및링크, 소셜네트워킹유인, 감염된이미지웹페이지 전통적인보안솔루션우회방식적용 보안회피 (SSL 암호화트래픽, P2P 네트워킹, IM(Instant Messaging) 를위한암호화 공격자선호감염경로 : 소셜미디어, 웹메일, 메시지보드, 트위터등 APT 공격전략 지속성 감염 PC 의지속성을확보하기위하여루트킷, 부트킷, 안티 -AV 악성코드설치 루트킷 (RootKit) : 루트레벨의 Access 접근악성코드 부트킷 (BootKit) : 루트킷커널모드변종, 풀 - 디스크암호화된 PC 공격목적악성코드 안티 -AV : 바이러스백신 S/W 무력화목적악성코드 커뮤니케이션 /C&C 커뮤니케이션기술들 : 암호화 (SSL, SSH), 우회기법 ( 리모트데스크탑액세스툴등 ), 포트우회 ( 네트워크익명화, 비표준포트 IRC(Internet Relay Chat)), Fast Flux( 감염호스트들이프록시로작동 ) C&C : 웹메일, 소셜미디어, P2P 네트워크, 블로그, 메시지보드등에서확보 5 5

1. 정보수집 2. 침입 3. C&C 서버통신 4. 확산 5. 데이터접근 6. 데이터유출 6 6

I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과 4. APT 솔루션분석 5. 최상의 APT 대응방법 7 7

E-Mail 악성첨부파일 E-Mail 내악성링크 코드난독화 다중압축파일 기존보안장비우회 Packing 8 8

해킹그룹 Targeted 된스피어피싱이메일을사내담당자들에게전송 인터넷 네트워크스위치 방화벽 /IPS 기존보안장비 사용자환경바이러스백신설치 PC 레벨방화벽운영 PMS 운영호스트 IPS 운영 이메일서버 Anti-Spam 바이러스월장비 9 9

두개는동일한결과값을출력하는코드!! 10 10

정상파일들 나만악성파일! 1 개의압축파일에여러개의파일을 넣어서, 그중에몇개만악성코드로실행 되도록하는방법 압축된악성코드를다시압축하면서, 여러번압축되도록하는방법 악성코드를압축하고, 암호를걸어서, 분석을피하는방법 1 개의압축파일 11 11

방화벽 NAC IPS/ 백신 PC 보안보안관제 외부-> 내부로의접근은통제, 내부-> 외부는허용정책적용 최근악성코드는 Back-Connection을이용해내부에서외부에있는 C&C서버로연결 웹접속을위한 80번포트는열려있으며, 이를통해악성코드등감염또는유포 필수보안프로그램미설치시네트워크사용을통제하나악성코드탐지와는무관 네트워크접근허용단말을통하여내부악성코드유입가능성존재 시그니처기반의탐지및차단 해커는시그니처가알려지지않은신종 / 변종악성코드를주로사용하여내부침투 수시로생성되고사라지는신종 / 변종악성코드를모두업데이트수용불가능 PC의이동저장매체및 CD/DVD 등저장매체사용통제 악성코드의탐지및차단과는무관 원하는정보를확보할때까지장기간에걸쳐은밀히활동 웜및공격탐지패턴에발각되지않음 비정형적인통신을이용한정보유출은탐지하지못함 A P T 탐지 / 차단 솔루션 12 12

1. WEB, E-Mail, SNS 등을이용하여 인터넷 PC 악성코드감염 보안 USB 3. 해당사용자가 내부 PC 에감염된 USB 연결시자동시스템접근 2. 감염된 인터넷 PC 에 USB 를연결함과동시에 USB 도감염 4. 악성코드에의해최근 30 일간의자료가 USB 에자동수집 5. 해당 USB 인터넷 PC 에연결시자료가해커시스템으로전송 INTERNET INTERNAL 해커 인터넷 PC 내부 PC 시스템 생성되는악성코드수에비하여백신에업데이트되는수가현저히적으므로, 신 / 변종악성코드를바이러스백신에서탐지하기어려움 ( 제로데이공격 / 변종악성코드탐지및차단불가 ) Anti-Virus 중요자료 전세계적으로하루탄생하는신 / 변종악성코드의수는 150,000~500,000 개 / 2013 안랩통계자료 하루바이러스백신에업데이트되는악성코드수는약 200 개 10 일간바이러스백신업데이트가없었다면최대 5,000,000 개의악성코드에노출 미국유수기업들이내부 PC 가악성코드에감염되어자료가유출되는것을알아차리는데평균 230 일 (8 개월 ) 소요 유출된기업들모두가최신업데이트된안티백신프로그램을사용했는데도탐지를못했다는것 주요기업은약 2,3TB 정도의데이터가실제유출확인 13 13

I. 악의적행위들에대하여 1. 악성코드의진화 2. 악의적행위의근원, 악성코드 3. APT 공격전략 4. APT 단계별공격방법 II. 기존보안장비의한계에대하여 1. 기존보안장비우회공격 2. 기존보안장비의 APT 대응문제점 3. 망분리운용의문제점 III. APT 방어전략에대하여 1. 악성코드유포흐름도 2. 필요기능 3. 기대효과 4. APT 솔루션분석 5. 최상의 APT 대응방법 14 14

해킹된웹서버 해커그룹 C&C 서버 악성코드유포서버 웹서핑 ( 우연 ) 스팸메일 APT( 작은악성코드 ) - 작은악성코드 (Dropper) 설치 - 악성코드미탐지프로그램 - 바이러스백신무력화작동 - PC 내부스캔및악성코드유포서버통신 - Malware 설치 - 악성코드탐지가능 - Malware 종류에맞는 C&C 서버통신 15 15

INTERNET 감염된 E-Mail 해킹된 Server 감염된 E-Mail 의첨부파일또는감염된 Server 를통해유입되는모든파일에대한 MD5 Hash 값추출및검사 검사완료후유사한코드 2 차행위분석 1 차, 2 차검사및분석에서감염으로판별될경우, 외부인증된기관에 MD5 Hash 값 3 차검증 라우터 내부망 Dropper Scanner DB 업데이트 방화벽 Port Mirroring 백본스위치 Z-Block 사용자그룹 16 16

Black Hacker 해킹된 Server INTERNET 라우터 내부망 방화벽 Port Mirroring 백본스위치 URI Matching 기법에의해 URL 및 URI 탐지 사용자그룹 모든 URL 및 URI 쿼리를분석 Dropper Scanner 기능으로실시간 URL 및 URI Matching 검사 URI? HTTP://127.0.0.1:8180/study/ch04/main001.jpg 17 17

Normal SinkHole DNS TCP Reset Black Hacker C&C Server Black Hacker C&C Server Black Hacker C&C Server 2 URL 연결및 TCP SYN 세션 (C&C 서버통신및조종 ) 내부망 라우터 INTERNET DNS 서버 1 DNS 쿼리및응답 내부망 1 DNS 쿼리 라우터 INTERNET DNS 서버 1 TCP SYN 세션 내부망 라우터 INTERNET 방화벽 방화벽 방화벽 백본스위치 백본스위치 3 DNS 대신응답 Port Mirroring 2 DNS 쿼리미러링 Z-Block 4 N:1 차단모드로통신 백본스위치 Port Mirroring 2 TCP SYN 세션시포트미러링 Z-Block 3 N:1 TCP Reset 사용자그룹 사용자그룹 사용자그룹 18 18

시그니처생성 1 Agent 통합관리 지사스위치 2 지사 Z-Block 백본스위치 3 4 지사 Z-Block 사용자그룹 사용자그룹 Z-Block Agent 1 실시간탐지내역을기반으로 Z-Block에서 Agent용시그니처신규생성 2 Z-Block 에서생성된시그니처를모든 PC 가다운로드받아 C&C Server 로통신되는악의적인프로세스및실행파일, 설치디렉토리정보검출 Z-Block Agent 3 Agent에서탐지된 PC내악성프로세스및실행파일, 설치디렉토리정보를 Z-Block에실시간 Upload 4 모니터링된 Agent 내역을기반으로 APT 공격의악의적인프로세스및실행파일, 설치디렉토리삭제및치료유도 19 19

해킹된웹서버 해커그룹 C&C 서버 X X 악성코드유포서버 X - Dropper Scanner 기능 - Web 으로감염되는 Dropper 차단예방 - Download 서버무력화 (Dropper Scanner 에의해차단된 Download 서버무력화 ) - Malware Download 차단 - Z-Block Agent 에의한악의적인 Process 및실행파일, 설치디렉토리검출삭제 20 20

네트워크단말시스템 최단시간탐지, 일부차단 악성중심탐지, 일부차단 탐지, 분석, 백신치료 탐지, 분석, 백신치료 탐지, 분석, 백신치료 탐지, 분석, URL/URI/IP 차단, 단말 / 시스템악성정보검출, 서버이상접근검출, 트래픽분석 21 21

네트워크, 시스템에대한의심스러운행위탐지 보안교육 (4 단계 ) 행위탐지 (1 단계 ) 조직환경에맞는 APT 전용시스템구축 보안정책 (3 단계 ) 시스템구축 (2 단계 ) APT 공격탐지시방어 ( 대응 ) 프로세스수립 APT 공격의시작은내부사용자의헛점을이용 22 22

감사합니다. Q & A 23