SINCE 1999 ~ 2015 WINS REPORT 최근 해킹 실체와 2016년 차세대 보안 강화 전략 공개 2015.11.30 By WSEC 윈스 악성코드분석파트장 김진욱
목차 0. 스마트폰금융해킹시연 1. 2015 년사이버침해사고현황 사이버인질극랜섬웨어분석이탈리아해킹팀, 판도라의상자글로벌사이버범죄조직을밝힌다. ( 국내외공격조직분석발표 ) 2. Next Generation 보안 예방과대응방안 2
사이버인질극랜섬웨어분석 2015 년 11 월 13 일 5.135.75.112 IP 를가진서버에서 Cryptowall 랜섬웨어유포정황을확인 alexainvest.info 도메인으로접속한감염 PC 사용자는 5.135.75.112 IP 를가진웹서버에접속후에악성코드감염행위를진행함을확인
사이버인질극랜섬웨어분석 5.135.75.0/24 대역의 IP 를가진웹서버에서 Cryptowall 랜섬웨어의유포정황이다수확인 감염시, 3 곳의정해진위치에악성코드를복사하며, 시작프로그램등록을진행 [ 악의적인행위지속 ( 암호화진행되지않았을때 ) 을위한시작프로그램등록 ]
사이버인질극랜섬웨어분석 [ 클리앙랜섬웨어유포사고분석 ] 취약점 CVE-2015-0311 Adobe Flash MS 14-056 취약점 IE Angler Exploit Kit 공격조직통합운영의표준모델정립 유럽권국가기존해외랜섬웨어와유사다수의 C&C가네델란드, 독일, 불가리아등에위치 악성코드 크립토락커악성코드사용자문서, 이미지, 중요파일암호화금전요구 5
사이버인질극랜섬웨어분석 [ 클리앙랜섬웨어유포사고분석 ] 6
사이버인질극랜섬웨어분석 [ 클리앙랜섬웨어유포사고분석 ] 해당크립토락커는사용자시스템에연결되어있는공유폴더로지정된폴더까지탐색하여파일들을암호화시킨다. 7 ** 공유폴더를통해해당악성코드는전파되지않음
사이버인질극랜섬웨어분석 [ 랜섬웨어대응방안 ] 정확한판단 랜섬웨어대응 세분화된공격탐지 공격형태를파악하여최종적인진단필요 ( 진단카테고리의세분화 ) 변종코드대처 타겟팅공격시특정파일, 특정사용자에게국한된공격을진단가능 다수의변종코드를진단 ( 시그니쳐기반의한계 ) 8
사이버인질극랜섬웨어분석 [ 랜섬웨어대응방안 ] 정확한판단 랜섬웨어대응 세분화된공격탐지 Injector 진단 변종코드대처 공격주체기준진단결과정확한공격영향파악불가 바이러스토탈백신탐지결과 Sniper APTX 탐지결과 카테고리 : Trojan 피해대상기준진단결과세분화된공격영향파악 상세분석진단 : CryptoLocker 9
사이버인질극랜섬웨어분석 [ 랜섬웨어대응방안 ] 정확한판단 랜섬웨어대응 변종코드대처 세분화된공격탐지 Anti-VM, Time Sleep, Time Trigger 공격, 분석시스템비정상화공격등무력화 파일변화에서랜섬웨어유형탐지 10 국내유포중인유사 CryptoLocker
사이버인질극랜섬웨어분석 [ 랜섬웨어대응방안 ] 정확한판단 랜섬웨어대응 세분화된공격탐지 변종코드대처 세분화된타겟팅공격탐지가가능한다양한경우의수고려 - 국내주요문서파일분석기능 - 군 / 정부관련타겟팅키워드검사 - 암호화가능한다양한종류의파일진단수행 11
이탈리아해킹팀, 판도라의상자 이탈리아해킹팀자료유출로 MS 긴급패치배포 2015 년 7 월이탈리아해킹팀자료유출다수의 0-day 취약점지속적인공개 해당취약점은 flash 를이용한 local 취약점 웹을통한악성코드유포에사용 12
이탈리아해킹팀, 판도라의상자 [Adobe SandBox 우회 ] Renderer Process - 허가된자원, 함수이외의접근불가 - Broker Process 를통해서만자원접근가능 - 자원접근작업은공유메모리버퍼를통해전달 Broker Process - 자원에대한접근은오직 Broker Process 만통해서가능 - 정책에따라자원접근작업을 Permit 또는 Deny 하기도한다. Shared Memory - Referer Process 와 Broker Process 간통신을위한버퍼공간 13
글로벌사이버범죄조직을밝힌다. ( 국내외공격조직분석발표 ) Zeus Deadeye Jackal Magic Kitten Energetic Bear Winnti Emissary kimsuky Panda Nigeria Spearphishing Ramnit Numbered Panda Sykipot Icefog Kimsuky 北해킹그룹, 한수원공격의혹 Energetic Bear 정치적활동, 러시아결탁 Emissary Panda 미국에있는외국대사관타겟, 방위산업과항공우주, 통신분야공격 Sykipot 국내특정기업및기관타겟, 중국해커그룹, 스피어피싱 Ramnit 피해국가는인도, 인도네시아, 베트남, 방글라데시, 미국, 필리핀등, 금융정보, 비밀번호, 쿠키, 개인파일을수집 Winnti 중국기반, 전세계온라인게임업체타겟 Zeus 다양한범죄조직이이를이용해은행이나, IT 운영마비 Icefog 국내방위산업체타겟, 대한민국, 일본타겟 14
글로벌사이버범죄조직을밝힌다. ( 국내외공격조직분석발표 ) 2015 년국내활동조직 그룹 A 200 여대이상의 Victim 서버보유 2015 년 2 월말잠시소강상태였으나, 유포방식과새로운유형의 Banker 로활동 유포악성코드 : Banker,DDoS 한국과중국, 미국서버를이용하였으나, 최근한국서버만을이용 그룹 C 2015 년 1 월부터 3 월까지유포사이트나악성코드변화없음 한국서버사용 유포악성코드 : Banker 그룹 E 50 여대이상의 Victim 서버보유 한국 / 미국서버사용 서버구축단계로방문자통계를통해취약점및악성코드유포예상 그룹 C 유포악성코드 Banker: 원본악성코드를랜덤문자열디렉토리에복사하고추가파일다운로드를시도함 ( 현재불가 ), 다운로드시 hosts 파일변경할것으로예상 그룹 E 유포악성코드 Banker, 본격적으로악성코드유포하지않음 15
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] DIY - Agent 생성 监听端口 : 리스닝포트连接上限 : 연결제한 Agent 설정上线地址 : 접속주소端口 : 접속포트上线标识 : 연결메시지. 增加服务端体积 : Agent 파일사이즈조절 MD5 수정기능. 修改一次 : 1 회수정循环修改文件 MD5: 주기적수정 DIY - Agent 연결상황 공격자의 Master 에는유포후실행된 Agent 리스트를실시간으로확인가능 - 감염시킨 PC 정보 -IP 정보 -Agent 정보 16
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] 공인인증서탈취 C&C 전송 DNS 설정변경후악성코드에의한자체 DNS 서버사용 감염시스템 Count 전송 Internet Explorer 시작페이지변경 감염시스템 MAC 유출 국내유포악성코드 Banker( 메모리변조, 공인인증서압축후 FTP로탈취,Sleep 이용한분석방해행위추가 ) Banker( 행위 : DNS 자체서버로구성후피싱사이트로 Redirect 됨 ) AES DDOS(VERSONEX: 시스템정보 +Mr.black 가포함된패킷을전송하며 C&C 통신시작, Flooding 공격예상 ) Banker( 행위 : potplayer.dll 생성 / DNS 설정변경 (127.0.0.1) 하여피싱서버로리다이렉트 ) Banker(potplayer.dll + syswow32.dll 생성하여피싱행위, IE실행시마다 syswow32.dll을로드하여피싱서버유도특이사항 : TabProcGrowth = 0으로설정 (IE에서실행되는 tab과 frame들이하나의프로세스에서실행되도록하여정보탈취를용이하게하기위한것으로판단 ) Banker(syswow32.dll 생성하여피싱행위, IE실행시마다 syswow32.dll을로드하여피싱서버유도특이사항 : TabProcGrowth = 0으로설정 (IE에서실행되는 tab과 frame들이하나의프로세스에서실행되도록하여정보탈취를용이하게하기위한것으로판단 ) Banker:Python27.dll 파일을이용하는 Banker,Vlmshlp.dll, syswow32.dll 파일두개를생성하여이용하는 Banker, 핀터레스트를이용하는 Banker, 호스트파일변조형 Banker 17
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] 실제금융정보탈취 FTP 서버 탈취된공인인증서 FTP 계정 hanguo 18
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] Rig Exploit Kit PHP 로난독화되어있어코드분석이어려움 공격자가지정한특정값 (PHPSSESID) 을다른페이지에서확인 CK VIP Exploit Kit 2012 년부터최근까지활발하게악성코드유포에사용되는 Exploit Kit Java,Flash,IE 취약점을이용하여악성코드유포 공격자들은 Exploit Kit 을이용하여다수의웹사이트에취약점을삽입하고패턴화된난독화스크립트를삽입한다. 19
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] Gongda Android Exploit Kit PHP 로난독화되어있어코드분석이어려움 공격자가지정한특정값 (PHPSSESID) 을다른페이지에서확인 사용자환경이 PC 일경우와 Moblie 일경우를구분 기존 Gongda Exploit 에 APK 다운로드 Script 추가 실제악성앱유포사이트 9 시간동안 9340 건다운로드카운팅 20
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] Master Key 취약점 CVE-2013-4787(Android security bug 8219321) Put Method 는 Hashmap Table 구성시동일한키 ( 파일명 ) 를가지고있을경우 Overwrite Certification 우회 정상 악성 21
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] Master Key 취약점 CVE-2013-4787(Android security bug 8219321) 실제유포되어피해가발생한뱅킹위장악성코드 개인정보유출 비밀번호유출 22
글로벌사이버범죄조직을밝힌다. [ 공격양상분석 ] Master Key 취약점 CVE-2013-4787(Android security bug 8219321) 보안카드정보유출 23
Next Generation 보안 예방과대응방안 어플리케이션 / 시스템버전관리 -OS 보안자동업데이트관리 - 어플리케이션보안자동업데이트관리 - 불필요한어플리케이션삭제 - 보안프로그램자동업데이트관리 - 서비스관리자의주기적인시스템점검 정기적인정보보안교육실시 - 사내에서업무와무관한사이트접속자제 - 확인되지않은메일의첨부파일열람금지 - USB, Flash 메모리등개인메모리장치사내사용금지 - 업무용과개인용사용구간을정확히분리운영 - 이상징후발견시즉각적인신고 - 수료 / 미수료, Pass/Fail 방식의적극적인교육실시 즉각적인보안업데이트만으로해킹공격의 99% 방어 24
Next Generation 보안 예방과대응방안 최근매년새로이발견되는 Exploit Kit 건수 20~30 여건최근매년새로이발견되는취약점건수 8000~9000 여건 취약점대비대응패턴비율 30~40% - 네트워크장비, 서버에대한지속적인보안강화로직접적인공격의어려움 - 시그니쳐기반의장비에대한공격우회기술발전 - 여전히취약한클라이언트보안 - 해킹그룹의대규모화, 세력화 - 다양해진개인용스마트기기의폭발적증가 - 국내 IT 환경특성상과도한개인정보저장 - 서비스공격에서 -> 정보유출로공격방향전환 - 고도화된편의시스템, 관리시스템으로다양한어플리케이션활용 25
Next Generation 보안 예방과대응방안 확장되는보안관리포인트 넘쳐나는보안로그 보안로그의재가공 보안로그 > 처리 / 분석능력 26
Next Generation 보안 예방과대응방안 정보의수집 -> 정보의처리 1. 사이트정책최적화 2. 보안솔루션 -> 보안컨텐츠 3. 빅데이터처리, 차세대보안기술확보 27
Next Generation 보안 예방과대응방안 BOT 을이용한공격양상 알려지지않은신규취약점, 유포지, 경유지, 악성코드대응필요 대응규모의한계 다양한 Local 취약점 (MS- Office,Adobe,HWP,Windows,Linux 등 ) 을사용한공격 사이트별보안대응시스템의한계 국내외해킹공격에대한대응필요 IPS 탐지영역 APT 탐지영역 사이트내부보안시스템 + 중앙집중적해킹대응시스템연계필요 -> 예상가능한공격에대한선제대응필요 ( 국내외해킹동향자료필요 ) 28
Next Generation 보안 예방과대응방안 로컬기반취약점대응필요 IPS 는패킷기반분석시스템으로로컬기반취약점대응에한계 APT 전용대응시스템필요 로컬기반취약점은동적분석기법필요다양한어플리케이션에대한지원필요국내환경에맞는분석시스템 IPS에서는 BOT은클라이언트설치후발생하는트래픽탐지만가능 Bot 대응필요 BOT의통신트래픽차단이아닌시스템에 Bot의설치자체를방어해야 Bot, 악성코드에대한대응은 Anti-Virus( 백신 ) 에의존관리의어려움, 전체사이트관리에부적합, 시그니쳐기반백신의한계 알려지지않은 Signature 기반의보안장비의한계로새로운유형의공격에대한대응이어려움공격대응 APT 공격은행위분석을통해새로운유형의공격도탐지가가능 탐지패턴의상관분석, 전문사의수동분석등추가적인분석을통해서만확인가능 29
Next Generation 보안 예방과대응방안 네트워크솔루션에적용될컨텐츠를벤더에서직접연구하여솔루션성능향상도모 해킹트랜드파악주요기관 / 기업모니터링 신규취약점악성코드연구 공격트랜드파악 패턴기반탐지한계동적행위를기준으로악성판단기술개발 여러탐지회피기술무력화 ( 난독화스크립트, 리다이렉트, Anti-VM, 버전호환성문제등 ) 탐지회피기술무력화 최신공격패턴업데이트 동적분석방식의탐지기술개발 최신트랜드의취약점, 악성코드패턴지속적업데이트 30
Next Generation 보안 예방과대응방안 신규취약점악성코드연구 공격트랜드파악 탐지회피기술무력화 동적분석방식의탐지기술개발 최신공격패턴업데이트 취약점도움말 CVE DB Exploit DB 31
Next Generation 보안 예방과대응방안 신규취약점 / 악성코드연구 공격트랜드파악 탐지회피기술무력화 동적분석방식의탐지기술개발 최신공격패턴업데이트 홈페이지위변조탐지악성코드유포지 DB 사용자업로드데이터분석 32
Next Generation 보안 예방과대응방안 신규취약점 / 악성코드연구 공격트랜드파악 탐지회피기술무력화 동적분석방식의탐지기술개발 최신공격패턴업데이트 웹쉘삽입탐지 웹악성코드삽입탐지 기업 개인 국가기관 ISP 보안벤더 공공 국가 33
Next Generation 보안 예방과대응방안 신규취약점 / 악성코드연구 공격트랜드파악 탐지회피기술무력화 동적분석방식의탐지기술개발 최신공격패턴업데이트 34
Next Generation 보안 예방과대응방안 신규취약점 / 악성코드연구 공격트랜드파악 탐지회피기술무력화 동적분석방식의탐지기술개발 최신공격패턴업데이트 난독화스크립트 동적행위분석기법으로난독화된스크립트의복호화과정없이분석가능 Anti-VM VM 환경판단근거제거 ( 레지스트리, Device, 파일시스템구조, 네트워크등 ) 버전호환성문제 사용자선택가능한다양한 VM 환경구축 (XP,7,x86,x64,IE8,IE9,ie10,Adobe1.6, Adobe1.7,MS-Office 2007,2010, HWP2007,2010 등 ) 35
감사합니다.