지능형지속위협(APT) 공격
(사진: 시만텍 코리아)
APT(Advanced Persistent Thrats) 의 약자로서 지능형 지속 위협 이라고 합니다.
지능형 지속 위협 (APT)란 무엇일까요?
- 활동중이며,표적형, 그리고 장기적인 작전을 말합니다.
- 성공률을 높이기 위해서 다중 kill chain을 포함 합니다.
- 특정 기간 동안 탐지 되지 않고, 지속적인 노력을 말합니다.
- 탐지를 우회하기 위한 기법을 사용 합니다.
- 고도화된 조직과 기술 보유를 하고 있는 것을 말합니다.
즉, 한마디로 APT는 현재 진행형 형태의 고도화된 공격 입니다.
APT공격이 무서운것은 이른바 '안되면 될떄까지' 한다는 해병대 정신이 생각 나게 만드는
그야말로 끈질긴 공격 입니다. 취약점은 어떤 조직이건 존재하길 마련 인데요
그것을 집요하게 파고 들어서 끝내는 해킹당하고 마는 무서운 공격이지요.
APT 공격의 7단계
1단계 : 정찰(Reconnaissance)
: 해커들은 대게 타겟에 대한 정보를 얻기 위해 SNS등에 접근하기 마련이며 이곳에서 먼저 1차적인
정보를 수집하게 됩니다.
2단계: 유인(Lures)
: 블로그, 홈페이지등에서 검색엔진 상위에 링크를 시키고 사용자들이 클릭 을 유도하게 정교화된
UI와 호기심을 바탕으로 제작된 컨텐츠를 제공하여 감염시킵니다.
이외에 이메일의 경우에는 사용자들의 기대심리를 이용한 정보를 이용한 방법 이 있습니다,
이메일 클릭 TOP5의 예를 들면, 주문알림,티켓,배송통지서,이메일 테스트 및 세금 환급정보 를
많이 보게 됩니다.
3단계: 리다이렉트(Redirects)
: 쉽게 말해 클릭시 다른 웹페이지로 이동 하는 것을 말하며, 일반적으로 블로그 나 웹페이지 클릭
을 통해 종종 액션이 발생 합니다. 저같은 경우는 웹하드 관련 검색어에서 주로 많이 체험하게
되었으며, 이런 페이지들은 사용자들이 모르게 원하지않는 컨텐츠를 제공 받도록 하기 위해
SQL,iframe 인젝션을 포함하고 있습니다.
4단계: 익스플로잇 킷(Exploit kirs)
: 옛날에는 악성코드가 사용자의 시스템에 설치되도록 하는 경로를 리다이렉트로 유인사용을
하였으나 오늘날에는 방지가 가능해짐에 따라서 익스플로잇 킷이 Dropper Files 을 전달하는데
사용되고 있으며 취약점이 발견되었을 경우 드러퍼파일 이 전송이 됩니다.
그러므로 취약점을 찾아내는 익스플로잇킷 에 대한 주의가 요구 됩니다.
5단계: 드로퍼 파일(Dropper Files)
: 5단계 에서는 대부분의 조직에서는 전방의 방어 시스템에 초점을 두고 네트워크를 통해서
들어오는 악성코드 떄문에 모든 파일을 분석하게 됩니다.
그런데 여기서 문제는 대부분의 AV엔진이 시그니처 나 패턴이 존재하지 않는 동적 패커(packer)를
사용하는 드로퍼 파일을탐지할 수 없다는 것입니다.
실제로 키로거 같은 악성코드 드로퍼 파일도 국내 유명 백신엔진에서 못잡는 경우가
있었습니다.
6단계: 콜홈(Call Home)
: 멀웨어와 툴을 다운로드 하는 일반적인 지능형 공격인 '콜홈(Call Home)'은 중요한 정보를
외부로 보내는 것입니다. 그런데 여기서 취약점이 대부분의 방어시스템이 들어오는 공격에만
초점을 맞춘다는 것입니다.
대부분 감염된 시스템으로부터 전송되는 외부와의 콜홈 통신을 분석하지 않는 다는 것입니다.
또한 콜홈통신은 탐지를 피하기 위해서 보통 동적 DNS를 사용합니다. 불행중 다행히
이러한 지능형 고역ㄱ의 단계를 방어하는 새로운 기술이 있습니다.
한예로, 사용자가 신뢰할수 있는 사이트를 지속적으로 사용하는 동안에도 감염된 시스템 및 봇의
콜홈으로의 시도는 동적 DNS 사용으로부터 차단할 수 있습니다.
또한 DLP에서 상황을 인지해 제공하는 지오로케이션(Geo-location) 인지처럼 예정 경로를 판별하여
잠재적인 방어를 제공합니다.(후자의 경우 그러나 대부분의 멀웨어 통신,호스팅 및 피싱이 미국에서
발생해 대부분의 정책은 이러한 도메인을 차단하지 않습니다.)
콜홈통신을 찾아내기 위해 아웃바운드 트래픽을 분석하는 방어체계를 보유하고 있는지, 개인 웹 메일
SNS계정으로 전송되거나 , 클라우트 스토리지 계정에 저장되는 기밀정보를 방지하기 위해 데이터,
사용자,목적지 및 변수상황 분석을 수행하수 있는지가 중요 합니다.
7단계: 데이터 유출(Data Theft)
: 결국 공격자들이 추구하는 것은 조직의 중요한 데이터 입니다. 그리고 이전 6단계에서 도입한
보안 시스템의 방어능력이 불충분하여 우회할수 있을 떄 공격자는 데이터를 획득할 수
있습니다. 그러나 아직 마지막 7단계 에서도 기밀 데이터를 안전하게 유지할 수 있는 새로운
방어기술이 있습니다.
7단계에서 이런 질문들을 해보아야 합니다.
- 기업의 보호체계는 네트워크로 유출되는 패스워드 파일 또는 아웃바운드 파일에 사용된 범죄 암호화의 사용을
감지할 수 있는가?
- 정의된 기간 동안 탐지를 회피하기 위해 매 요청마다 소량으로 유출(Drip) 되는 기밀정보를 차단 할 수 있는가?
- 데이터가 기업을 떠나는 순간 어떤 데이터가 차단되었는지 포렌식 보고서를 제공 하는가?