PowerPoint 프레젠테이션 - PDF Free Download

APT (Advanced Persistent Threat) AhnLab A-FIRST 오정훈연구원

Contents 01 02 03 04 Introduction APT Attack APT Countermeasure Conclusion

Introduction

Introduction APT(Advanced Persistent Threat) 지능형지속위협공격 특정기업이나조직을노린표적공격의대표적유형 특징 지능적 (Advanced) : 제로데이취약점, 사회공학 지속적 (Persistent) : 장기간의시간투자 확실한공격목표 (Targeted) : 첩보활동, 기간시설파괴, 금전적인목적 Copyright (C) AhnLab, Inc. All rights reserved. 5

Introduction APT 공격목표 정부기관 정부내기밀문서탈취 군사기밀문서탈취 사회기간산업시설 사이버테러리즘활동 사회기간산업시스템의동작불능 정보통신기업 기업지적자산탈취 기업영업비밀탈취 제조업종기업 기업지적자산탈취 기업영업비밀탈취 금융업종기업 사회금융시스템의동작불능 기업금융자산정보탈취 Copyright (C) AhnLab, Inc. All rights reserved. 6

APT Life Cycle 1. Initial Reconnaissance( 초기정찰 ) 2. Initial compromise( 최초침입 ) 3. Establish Foothold( 교두보확보 ) 4. Escalate Privileges( 권한상승 ) 5. Internal Reconnaissance( 내부네트워크정찰 ) 6. Move Laterally( 내부네트워크이동 ) 7. Maintain Presence( 연결유지 ) 8. Complete Mission( 목표달성 ) Copyright (C) AhnLab, Inc. All rights reserved. 12

STEP 1 : Initial Reconnaissance( 초기정찰 ) 초기정찰의활용예 X 프로젝트진행중 CIO 이름, 이메일 From. CIO 프로젝트 2 단계수정사항확인 A Company Homepage 학회발표예정발표자료다운로드프로젝트 2 단계진행회계연도 Senior Engineer Open or not? Copyright (C) AhnLab, Inc. All rights reserved. 14

STEP 2 : Initial compromise( 최초침입 ) 공격대상조직의내부네트워크로의침입이최초로시도하는단계 Initial Reconnaissance 단계에서획득한정보를바탕으로공격수행 주로보안이소홀한일반사원 PC를노림 주요공격방식 1 Watering Hole 공격대상이업무상방문해야하는사이트 Hacked Web Server Server Hosting Zero-day Exploit Copyright (C) AhnLab, Inc. All rights reserved. 15

STEP 2 : Initial compromise( 최초침입 ) 주요공격방식 2 E-Mail Attachment or Link File Attachment Malformed Document Using Zero-day Exploit Targeted Email Web Link Infected Web Site Using Zero-day Exploit Copyright (C) AhnLab, Inc. All rights reserved. 16

STEP 3 : Establish Foothold( 교두보확보 ) 주요백도어기능 시스템정보수집기능파일시스템제어 C&C 서버와의파일전송프로세스, 모듈제어서비스제어레지스트리제어실시간화면캡쳐원격제어 Command Shell 키보드, 마우스모니터링기능 Sleep 기능 Proxy 기능 Password, Hash 획득내부네트워크내시스템스캐닝 Copyright (C) AhnLab, Inc. All rights reserved. 18

STEP 4 : Privilege Escalation( 권한상승 ) 네트워크내다른시스템을접근하기위한아이템 (Password, Hash) 를얻는단계 Pass the Hash, Pass the Pass 공격방법사용 Windows Active Directory 환경에서특히취약함 Copyright (C) AhnLab, Inc. All rights reserved. 19

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Hash Attack Windows NTLM 인증요소 Logon Processes(WINLOGON.EXE) 기본 Logon Process 로그인시도 I/O 를감지함 LSA(Local Security Authority, LSASS.EXE) 유저모드프로세스, 로컬시스템보안정책과사용자인증을관리함 로그인세션유지 Authentication Packages(MSV1_0.DLL) NTLM Authentication Packages 실제사용자인증을수행하는 DLL, 로그인세션생성을수행, LSA 가시작시, 로딩됨 Copyright (C) AhnLab, Inc. All rights reserved. 20

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Hash Attack( 계속 ) NTLM 인증과정 1. 사용자로그인시도를 WINLOGON.EXE 가감지하여 LSASS.EXE 가로드한 DLL 인 MSV1_O.DLL 의 LsaLogonUser() 함수를호출 2. LsaLogonUser() 는사용자인증을수행, 로그인세션을생성하고해당세션에 Credentials 를추가 *Credentials : UserName, Domain, LM Hash, NT Hash 로구성된값 Copyright (C) AhnLab, Inc. All rights reserved. 21

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Hash Attack( 계속 ) 로그인세션내의 Credentials 각세션이가지고있는 Credentials 값은해당세션이인증이필요한작업 (ex : 리소스접근 ) 을수행할시사용됨 따라서매번사용자가패스워드를입력할필요없음 : SSO(Single Sign-On) Copyright (C) AhnLab, Inc. All rights reserved. 22

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Hash Attack( 계속 ) Active Directory 환경에서의 Pass the Hash Attack 1. 도메인관리자가 Domain User Workstation 으로 RDP 연결 2. 공격자는미리장악한 Domain User Workstation 시스템으로부터도메인관리자의 NTLM Credential 획득 3. 획득한 NTLM Credential 을현재공격자의세션에덮어씀 4. 공격자는해당도메인내모든리스소에접근가능 ~!! Copyright (C) AhnLab, Inc. All rights reserved. 24

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Hash Attack( 계속 ) WCE(Windows Credential Editor) 메모리에남아있는 NTLM Credentials 확인 : -l 옵션 ( 관리자권한필요 ) 공격자세션의 NTLM credentials 를도메인관리자의 NTLM credentials 로교체 (-s 옵션 ) Copyright (C) AhnLab, Inc. All rights reserved. 25

STEP 4 : Privilege Escalation( 권한상승 ) Pass the Pass Attack 메모리내암호화된패스워드를복호화하여획득하는기법 Pass the Hash 의경우와마찬가지로 RDP 연결을통해해당시스템메모리에남아있는데이터를이용 tspkg, wdigest, Kerberos 메모리영역에저장됨 Tspkg Encrypted Password Wdigest Encrypted Password SSO Kerberos Encrypted Password Copyright (C) AhnLab, Inc. All rights reserved. 26

STEP 6 : Move Laterally( 내부네트워크이동 ) 내부네트워크내타시스템으로이동하는단계 I have ID/PW or Credentials of Domain Administrator NetworkShare Point Copy Backdoor Run Backdoor Dominated System sc, at, wmic, reg, psexec, winrs Dominated Normal System Copyright (C) AhnLab, Inc. All rights reserved. 30

STEP 6 : Move Laterally( 내부네트워크이동 ) 2 단계 : 백도어실행 ( 설치 ) Service Control Manger(SCM) 복사한백도어를서비스로등록하여실행함 등록된서비스 ( in 192.168.70.101) 작업스케쥴러 작업스케쥴로등록하여실행함 등록된작업스케쥴러 ( in 192.168.70.101) Copyright (C) AhnLab, Inc. All rights reserved. 33

STEP 6 : Move Laterally( 내부네트워크이동 ) 2 단계 : 백도어실행 ( 설치 ) WMI(Windows Management Instrumentation) wmic 를통해원격실행 Remote Registry 레지스트리 Run 키에등록하여시스템재시작시, 실행하게함 등록된 Value( in 192.168.70.101) Copyright (C) AhnLab, Inc. All rights reserved. 34

STEP 6 : Move Laterally( 내부네트워크이동 ) 2 단계 : 백도어실행 ( 설치 ) Remote File Access 시작프로그램폴더에복사하여시스템재시작시, 실행되게함 Psexec $ADMIN 을통해 System32 에복사후, 실행 System32 폴더아래복사된 backdoor Copyright (C) AhnLab, Inc. All rights reserved. 35

STEP 6 : Move Laterally( 내부네트워크이동 ) 2 단계 : 백도어실행 ( 설치 ) Windows Remote Management Win7 이후기본적으로설치되어있음 ( 활성화되어있지않음 ) 활성화 : winrm qc Winrs 명령을통해원격실행 실행된백도어 (( in 192.168.70.101) Copyright (C) AhnLab, Inc. All rights reserved. 36

STEP 7 : Maintain Presence( 연결유지 ) 백도어설치후, 지속적인연결을유지하려는작업을하는단계 다양한 Reloading Point 이용 서비스등록레지스트리등록부팅시자동로딩되는시스템 DLL 교체 MBR 변조 (Bootkit) Anti Forensic 기법을통한분석방해 이벤트로그삭제 JOB 파일삭제최초설치파일삭제관련레지스트리키삭제획득한인증서재사용메모리내에만상주하는악성코드 Copyright (C) AhnLab, Inc. All rights reserved. 38

STEP 7 : Maintain Presence( 연결유지 ) 지속적으로새로운백도어설치 탐지되어삭제되어도지속적인연결을유지 탐지및대응후, 설치되는악성코드의양증가 VPN Credentials 사용 외부네트워크에서내부로바로접근할수있는통로확보 Web Portal 접근 외부로부터의연결유지를위해 Web Shell 설치 Copyright (C) AhnLab, Inc. All rights reserved. 39

STEP 8 : Complete Mission( 목표달성 ) 공격목적을달성하는단계 정보유출 WinRAR, 7zip, Winzip, BZIP 을통한데이터압축 FTP or Backdoor 에서제공하는전송기능사용 대용량전송시, 파일분할 게임머니업데이트 직접쿼리 Stored Procedure 업데이트 SQL Server 의 DLL 변조 Copyright (C) AhnLab, Inc. All rights reserved. 40

APT Countermeasure

APT Countermeasure APT 탐지 행위기반의이상행위탐지 정상행위에대한프로파일 베이스라인을통한평판진단 네트워크 + 엔드포인트 지속적인모니터링 주기적인모니터링및감사 이전결과와의편차비교 아웃바운드트래픽탐지 클리핑레벨을통한탐지범위축소 Outbound 목적지 IP/ 도메인, 커넥션길이, 데이터양, 패킷수 Copyright (C) AhnLab, Inc. All rights reserved. 45

APT Countermeasure APT 대응 APT 대응 6단계프로세스 1. 준비 침해사고발생전단계 임원진의동의 사법당국, 자문기관혹은다른부서와의관계유지 대응팀구성및훈련 2. 확인 침해사고인지단계 침해사고여부와대상범위파악 확인단계에서의시스템변경주의 3. 억제 상황을안정화시키고억제하는단계 가상화기반억제방안필요 : 커넥션차단, VLAN 격리 Copyright (C) AhnLab, Inc. All rights reserved. 46

APT Countermeasure APT 대응 APT 대응 6단계프로세스 ( 계속 ) 4. 분석및제거 분석을진행원인을파악하고조치를취하는단계 디지털포렌식기술을통한유입경로, 전파방법, 피해범위파악 근본적인원인제거 5. 복구 시스템정상화및데이터복구를진행하는단계 데이터복구시, 재감염여부주의 정상화후, 지속적인모니터링 6. 보고서작성 대응보고서를작성하는단계 대응프로세스리뷰를통한부족한점보완 임원진용요약보고서는항상간결하고정확하게작성 Copyright (C) AhnLab, Inc. All rights reserved. 47

APT Countermeasure SANS Critical Controls 20 : http://www.sans.org/critical-security-controls 1. 인가 / 비인가장치목록관리 2. 인가 / 비인가소프트웨어목록관리 3. 시스템의하드웨어 / 소프트웨어환경설정강화 4. 지속적인취약점평가및수정 5. 악성코드방어 6. 애플리케이션보안 7. 무선장비제어 8. 데이터복구능력 9. 보안기술평가수행 10. 네트워크장비설정강화 11. 네트워크포트, 프로토콜, 서비스사용에대한제어 12. 관리자권한사용제어 13. 경계보안 14. 보안감사로그에대한유지보수, 모니터링, 분석 15. 정보에대한접근제어 16. 계정모니터링제어 17. 데이터유출방지 18. 침해사고대응능력 19. 네트워크보안기술 20. 침투테스트와레드팀훈련 Copyright (C) AhnLab, Inc. All rights reserved. 48

APT Countermeasure APT 대응관련기술 Thin Clients 부팅시, 서버로부터 OS 다운로드및설치 환경설정의중앙관리 침해시간제한 가상화기반고립기술 웹서핑, 이메일열람을가상화된샌드박스에서수행 화이트리스트에포함되지않은애플리케이션도포함 동적접근제어 악성의심행위를보이는시스템에대한권한제한 각시스템에대한권한수정을자동수행 SIEM(Security Information and Event Management) 실시간로그 & 이벤트수집, 상관분석, 경고 공격지표탐지 Copyright (C) AhnLab, Inc. All rights reserved. 49

Conclusion

Conclusion 끊임없이발생하는 APT. 지능적 지속적 확실한공격목표 APT 공격방식에대한이해 Initial Reconnaissance( 초기정찰 ) Initial compromise( 최초침입 ) Establish Foothold( 교두보확보 ) Escalate Privileges( 권한상승 ) Internal Reconnaissance( 내부네트워크정찰 ) Move Laterally( 내부네트워크이동 ) Maintain Presence( 연결유지 ) Complete Mission( 목표달성 ) APT 대응 100% 방어는없다. 방지는이상적이지만탐지가필수다. 전통적인방지책이소용없는것이아님. 결국보안은사람이하는것 ~!! Copyright (C) AhnLab, Inc. All rights reserved. 51

Thank you.