김 현섭 부장/ consultant system engineerfireeyeday.com/1604/pdf/track_1_4.pdf · security hole...

COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.

지능화된 스피어피싱 .. 그 대응은 ?

김 현섭 부장/ CONSULTANT SYSTEM ENGINEER

SESSION Q & A - TRACK 1 진단 & 준비

Track 1 진단 & 준비 세션에 대해 궁금하셨던 부분을 성함과 함께 남겨 주세요.

각 세션 종료후 발표자가 답변을 해드립니다.

* 질문이 채택 되신 분들께는

스타벅스 상품권, 텀블러, 핸드폰 거치대 등을 각 세션마다

다르게 제공하여 드립니다.

접속 URL : cdl2016track1.symflow.com • 위의 URL 또는 QR코드를 이용하여 접속하시거나 등록시 나누어 드린 안내장을 참고하시기 바랍니다.


3

APT 공격의 침투 방법

인터넷 정보

알려지지 않은 제로데이 공격 내부사용자

감염

이메일 이메일

이메일

웹사이트 웹사이트

웹사이트

공격도구 내부 공유

추가 감염 및 피해확산


4

E-MAIL을 통한 침투 시도

Web기반 공격 (URL)

NGFW

NX

FW

Anti-Spam

AV

SECURITY HOLE

E-mail 기반 공격

혼합공격 (Spear Phishing)

IPS

본 사

협력업체

계열사


5

스피어 피싱 데모시연


6

스피어피싱 피해 사례


7

북한의 사이버부대 홗동의 증가

전세계 사이버전이 고도화되고 북핚의 사이버전으로 인핚 국내기관의 사고사례가 증가

북한은 사이버젂 젂문부대를 증강하고 있으며 최근 정보에 따르면 3,000여명의 사이버젂지도국을 강화


8

왜 이메일을 통한 공격이 많이 발생하는 건가요?


9


10 COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED. 10

이메일을 통한 공격이 위협적인 이유

손쉬운 사용자 위변조

공개된 이메일 정보

공격자 통제 홖경

정확한 공격 목표 설정

• 소셜미디어 등을 통핚 공개된 사용자 이메일 정보 수집 가능

• 개인정보유출 등을 통해 유출된 사용자 이메일 정보 수집 가능

• 사회공학적인 측면에서 쉽게 이메일 정보 수집 가능

• 메일서버의 손쉬운 구축 및 여러가지 툴을 통핚

발싞자 정보 위변조 가능

• 메일서버 정보 및 메일헤더 정보 등도 위변조 가능

• 공격을 통해 얻고자 하는 목표에 맞는 기업/직급/업무 등을

선별하여 수행 가능

• 원하는 시간, 방법, 형식 등에 대해 공격자가 통제 가능

• 불특정 다수를 향핚 공격 시도가 아닌 붂명핚 목적에 의핚

공격 목표에게 메일 발송 가능

• 공격대상의 관심사 정보 등을 활용핚 유효핚 악성이메일 전송


11

스피어피싱 공격 방법

개인정보에 의해

선별된 대상에 대해

스피어피싱 메일 젂송

정상메일로 구성되어

보안솔루션 및 사용자

의심없이 실행되어

사용자 PC감염

스피어피싱 메일 메일수싞자 PC 감염 내부 인프라시스템

감염 확산

추가 악성코드 설치

및 내부 확산


12

스피어피싱 탐지 건수

2013

12,716건

2014

67,275건

[FireEye DTI 탐지 붂석 자료 – 월별 탐지 건수 및 총 탐지 현황]

스피어피싱 메일 탐지


13

28707

112320 112811

71353 51233

42348 50815 50750

35214 37261

108407 99404 92061

68736

431594

0

50000

100000

150000

200000

250000

300000

350000

400000

450000

500000

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 1월 2월 3월

건수

2015

800,623건

2016

592,391건

스피어피싱 탐지 건수

스피어피싱 메일 탐지


14

스피어피싱 공격시 사용된 첨부파일

첨부문서를 통한 스피어 피싱 공격

doc, 2,259

pdf, 916 xls, 789

hwp, 258

ppt, 27

��

- ��

� ��

�

��

��

500 ��

� ��

�

��

��

1, 000 ��

� ��

�

��

��

1, 500 ��

� ��

�

��

��

2, 000 ��

� ��

�

��

2, 500 ��

��

doc ��

pdf ��

xls ��

hwp ��

ppt ��

archive, 50,600 , 77%

exe, 9,926 , 15%

document, 1,963 , 3%

SCR, 2,383 , 4%

image, ��

� � � � � �

�

�

473 ��

, ��

�

1% ��

��

etc, ��

�

321 ��

�

�, ��

�

� �0% ��

��

archive ��

exe �� docu ment ��

�

SCR �� image �� etc ��

[FireEye DTI 탐지 붂석 자료 – 첨부파일의 종류] [FireEye DTI 탐지 붂석 자료 – 문서파일의 종류]


15

지난 1년갂 국내 중요 이메일 공격 탐지

2015 03/04 2015 09/10 2015 12 2016 03

이메일의 첨부파일

(pptx, zip, pdf)

을 이용핚 공격

이력서를 위장핚 공격

메일 본문내에 악성 URL을 이용한

공격

인보이스명 첨부를

이용핚 공격

Locky 랜섬웨어, 변종

Spear-Phishing 공격 플로우

Victim C&C SVR

Exploit SVR

① 스피어피싱 메일 젂송 - 악성 URL 젂송 - 악성 첨부 파일 젂송

Attacker

④ GET 메소드를 이용한 파일 다운로드 요청

⑤ 각각의 파일 다운로드

⑥ 실행 파일로 변경 된 악성 파일 자동 실행 후 C&C 서버 접속 / 원격 제어 됨.

2016 02

Exploit Kit을 이용핚

공격


16

메일 첨부파일을 이용한 공격 사례


17

이력서를 위장한 APT 공격 탐지 이벤트

공격 정보 요약

발생일시 송수싞 주소 탐지명 MD5 악성코드 유형

2015-09-01 01:02:50 장비 확인 필요 Malware.Binary.exe faa8b8f7e739207d2dd18f0400f2b5b7 정보 유출을 위한 백도어

유입된 악성코드의 특징

Anti-VM

알려진 VM 홖경일 경우 허위 프로그램 (한글도구모음) 생성 후 종료

가상 홖경이 아닐 경우 가짜 이력서 생성 후 악성코드 감염

• Anti-VM 체크를 통한 알려진 가상머신을 이용한 분석 회피

• 카카오 디지털 서명으로 서명되어 AV 탐지 회피


18


파이어아이 탐지 결과

• 추가 악성코드 생성 및 실행

• 사용자를 속이기 위한 가짜 이력서 파일 생성

AV 탐지 결과 확인(2015년 11월 25일 기준)

• 추가 악성코드 생성

• 정상 프로세스로 위장하여 동작(code injection)

• 추가 생성되는 악성코드에 대하여 2개 AV사 진단하며, 국내 백신사 진단 못함

• 실제 인젝션되는 코드에 대하여 외산 AV 14개사 휴리스틱으로 진단하며, 국내 백신사 진단 못함

내문서 tmp 폴더에 src.exe 파일 생성

???. Xls 파일생성

Windows/syscore 폴더에 update.exe

파일 생성


19

• 악성코드의 기능

해당 악성코드는 국내 백신(V3, Alyac)을 강제로 종료시키는 기능을 포함하고 있음.

• 타사 탐지 유사 이벤트와의 연관성 분석

이력서-소유진.scr 이력서-손희진.scr

탐지일 : 2015-09-01 01:02:50 탐지일 : 2015-10-19 07:56:12

ggteam2014.vicp.cc

ip2.nwt.gg-team.net

ip3.nwt.gg-team.net

future1003.oicp.net

ip1.nwt.gg-team.net

악성코드의 기능 및 유사성

악성코드의 기능은 대부분의 백도어의 기능을 갖고 있으며, 감염 시스템 정보 전송, 파일 유출, 원격 명령창 생성, 키로깅, 스크린 샷 전송, 캠을 이용한 사진 촬영 및 전송 등 다양한 정보 유출 기능을 갖고 있다.

동일한 C&C 서버를 사용한 유사한 공격이 9월~10월에 걸쳐 지속적으로 탐지되었으며, C&C 서버 네이밍 규칙 및 내부 코드 분석 결과, 자칭 GG Team으로 부르는 그룹에 의한 APT 공격으로 추정



20

인보이스를 위장한 APT 공격

탐지 이벤트 정보 발생이벤트 : Malware.Binary.doc 탐지시각 : 2015/12/17 07:57:07 Ahnlab-V3 탐지여부 : 탐지불가 파일명 : invoice75113643.doc MD5 : a2da2eb5a4cceda38d050479777aecf

첨부파일을 통해 문서파일타입의 알려지지 않은 악성 파일이 수싞


21

C&C서버(savepic.su)와 통신을 시도

C&C서버(savepic.su)로 부터 6786586.png파일을 다운로드

인보이스를 위장한 APT 공격


22

최근 Exploit Kit을 이용한 공격 사례


23

랜섬웨어

APT 공격


24

다른 형태의 APT : 랜섬웨어의 변화

DirtyDecrypt CryptoLocker CryptoWall TorrentLocker

July 2013

CtbLocker Cryptographic Locker

NsbLocker(Nabucur) TeslaCrypt New CryptoLocker

Setp 2013 Nov 2013 July 2014 Aug 2014 Sept 2014

Nov 2014 Mar 2015 April 2015 June 2015

PowerLocker

Jan 2014

Apple Locker

Aug 2015

Locky

Feb 2016

LeChiffre SAMAS

Apr 2015


25

LOCKY 랜섬웨어 글로벌 트렌드 정보

글로벌 Locky 랜섬웨어 탐지 추이

Source : https://www.fireeye.com/blog/threat-research/2016/03/surge_in_spam_campai.html

• 파이어아이 랩에 따르면 Locky 랜섬웨어는 전

세계적으로 50개국 이상의 국가에 유포 중

• 한국의 유입 건수 전 세계 3위

• 전 세계적으로 2016년 3월 21일부터 Locky

랜섬웨어에 대한 탐지가 급격히 증가


26

국내 EX 고객사 Locky 랜섬웨어(JS형태) 유입 탐지 추이

0

5000

10000

15000

20000

25000

30000

3월1일 3월2일 3월3일 3월4일 3월5일 3월6일 3월7일 3월8일 3월9일 3월10일 3월11일 3월12일 3월13일 3월14일 3월15일 3월16일 3월17일 3월18일 3월19일 3월20일 3월21일 3월22일 3월23일 3월24일 3월25일 3월26일 3월27일

3월

• 3월 1일 ~ 3월 27일까지 국내 EX 고객사 대상 100,000건 이상의 Locky 랜섬웨어 유입 탐지

• 3월 중순 이 후 급격히 증가 추세를 보이고 있으며, 3월 22일 하루 동앆 25,000건 이상 탐지

LOCKY 랜섬웨어 국내 트렌드 정보


27

LOCKY 랜섬웨어 유포방식

※ 2016년 3월까지 매크로를 이용한 오피스 문서 형태로 전파되다가, 현재는 대부분 자바 스크립트

형태로 유입 중

주로 이메일을 통하여 유포

① 첨부 파일 형태(오피스 문서, 자바 스크립트)로 이메일을 통해

유입

② 사용자에 의해 첨부 파일 실행

③Locky 랜섬웨어 다운로드 및 파일 암호화

랜섬웨어 유포 서버

Locky 랜섬웨어 감염 방식

스피어피싱 전달

매크로가 포함된 오피스 문서

자바 스크립트가 압축된 압축 파일


28

LOCKY 랜섬웨어 FIREEYE 탐지

Locky 유포 서버 스피어피싱 전달

자바 스크립트가 압축된 압축 파일

각 단계별 파이어아이 탐지 결과

• 이메일 유입 단계 탐지 결과(EX) • 랜섬웨어 다운로드 단계 탐지

결과(NX) 자바 스크립트 파일이 압축된 형태의 파일 탐지

자바 스크립트 실행 후 특정 URL 접속 행위

Locky 랜섬웨어 다운로드 및 실행 행위

다운로드 되어지는 Locky 랜섬웨어에 대하여 행위 기반 탐지

C&C 서버 접속 행위 확인

감염 진행 과정 중(Locky Ransomware Indicator) 확인 가능

Locky 랜섬웨어 콜백 탐지


29

스피어 피싱에 대한 대응은 ?


30


31

어떻게 스피어 피싱에 대응해야 하는가?

문서 취약점공격 차단 비실행 파일 대응

•취약점을 이용한 문서파일을 탐지해야 함

•대부붂의 문서 취약점공격(Exploit)은 Zero-day 취약점을 이용

Unknown URL 탐지 및 차단 Unknown URL

•본문에 포함된 Unknown URL을 효과적으로 탐지해야 함

•악성으로 확인된 URL은 스스로 차단이 필요

스피어 피싱은 반드시 차단이 필요 실시갂 차단

•가상머싞을 통한 실시갂 붂석 및 차단이 필요

•빠른 시갂 안에 가상머싞 붂석이 완료 되어야 함


32

이메일 첨부파일에 대한

젂수검사 실시

이메일 본문내 URL에 대한

젂수검사 실시

1% 미만의 오탐율

로

싞뢰성 확보

젂용 VM을 통한

오탐제거

실시갂 차단 통한

방어기능 제공

스피어피싱 대응 기술 – 강력한 행위기반 붂석


33

메일붂석/붂류 단계 동적붂석 단계 이메일 정책 단계

이메일 메세지

PO

STFIX

MA

IL DE

LIVE

R

첨부파일

사이즈

체크

첨부파일

/UR

L 포함여부

확인

• WindowsXP-SP3 • Windows7 64 bit • Windows7-SP1

URL 블랙리스트 엔진

(동적붂석 결과에

의한 DTI List)

이메일 차단

이메일 젂송 YES

NO

가상실행엔진 최대 160개 동시 실행

FIREEYE MVX ENGINE FOR EMAIL ATTACK


34

FIREEYE THREAT INTELLIGENCE

ATI+ (Advance Threat Intelligence +)

APT 그룹, 최싞동향에

대한 포털 제공

ATI & DTI 포함

탐지 이벤트의

Kill chain 제공

FireEye 장비에

라이센스 형태로 설치

DTI 포함

ATI (Advanced Threat Intelligence)

DTI (Dynamic Threat Intelligence)

전 세계 FireEye 장비의 탐지 정보공유

FireEye 장비에 라이센스 형태로 설치

24X7 모니터링


35

EX URL탐지 기능의 변화

알려짂 악성 URL탐지 – Yara Rule에 의핚 이메일 본문 탐지, Security Content (매시간 업데이트), FAUD 탐지(실시간)

알려지지 않은 악성 URL탐지(파일다운로드 유도) – Dynamic URL Analysis 기능으로 탐지

알려지지 않은 악성 URL 탐지(파일다운로드 유도 이외의 URL) – NX 연동을 통해서, 사용자가 직접 클릭핛때 탐지

알려지지 않은 악성 URL 탐지(파일다운로드 유도 이외의 URL) – FAUD를 통하여 탐지 / 사용자가 클릭핛때 차단

계정정보 입력 유도형 악성 피싱 URL 탐지 – FAUD 기반 탐지 (EX가 이메일을 받았을때 탐지 / 사용자가 클릭핛때 차단)


36

UNKNOWN URL 탐지 - ADVANCED URL DEFENSE

EX

http://example.com/clickme DTI

DTI

MVX

1

3

Allow

Warn

Block

Deep URL

Analysis

Malicious URL

Lookup Server

http://example.com/clickme

https://protect.fireeye.com/url?abc

2

4

5

Email Server

메일본문에 포함된 URL을 DTI를 통해 조회

1

사용자가 이메일 본문에 URL을 클릭하는 시점에 해당 URL의

악성유무를 확인

4

메일에 URL을 Rewrite하여 메일서버로 전송

(inline deployments only)

3

Unknown URL의 경우 FAUD를 통해 심층붂석 수행

2

붂석결과에 해당하는 페이지 전달 5

Advanced URL Defense requires two-way DTI subscription






37

탐지회피 기법 중 가장 많이 사용하는 기법은 암호

기법(PDF나 압축파일)

파이어아이는 email body에서 password 후보

리스트를 생성

Password 리스트를 통해 실제 압축 해제

다양한 언어 지원(한글 지원)

Base64로 Encoding된 파일 지원

사용자가 직접 password 후보 리스트 삭제 및 추가

가능

메일 본문에서 Password 후보 리스트를 생성하여, Password 리스트를 통하여 압축 해제하여 검사를 수행하는 기능

Password Protected File 붂석


38

URL 분석, Message Content 분석, Image 인식, HTML 에뮬레이션 기법을 통해 사용자 Credential을 탈취하는

기법 탐지

User Credentials Compromised

Initial URL Not Malicious

‘Post’ action is malicious

사용자가 메일 본문 링크 클릭시, 접속하는 URL과 도메인 명을 확인, 로그인

버튼 클릭시 접속시도하는 도메인 검증 제공

Credential Phishing Protection


39

사회공학 기법으로 메시지 내 URL과 실제 LINK가 다른, 소위 Phishing 공격 탐지

송신자 도메인, 본문 URL에 대해 수행

예시

weIIsfargo.com vs wellsfargo.com 의 모양이 똑같이 보이지만 앞 글자에 “I”는 L 이 아니고

“i“ 글자의 대문자임

These are capital ‘i’s

"Like but not Equal" Domain 탐지


40

APT 솔루션 도입시 고려사항

•의심파일의 행위붂석을 위한 젂수조사

Vs. 시그니쳐 탐지 후 의심파일에 대해 행위붂석

•자체개발 하이퍼바이저

Vs. 상용 가상머싞을 사용

•다양한 악성파일 붂석(본문 URL, 난독화, 암호 압축파일 등)

Vs. 기본형태의 문서파일에 국핚

•행위붂석에 의한 Unknown 악성이메일 차단

Vs. 스팸만 차단 – Unknown 악성이메일 차단앆됨

의심파일의 전수조사를 위해서는 성능이 뛰어난 가상머신의 수가 많아야 한다.

최근 발생되는 대부분의 APT공격은 상용 가상머신의 분석을 우회할 수 있는 기술을 사용

본문에 포함된 악성 URL에 대한 탐지가 가능해야 한다.

APT공격에 사용되는 모든 악성코드는 Unknown 악성코드이다.


41

감사합니다 [email protected]

김 현섭 부장/ consultant system engineerfireeyeday.com/1604/pdf/track_1_4.pdf · security hole...

Documents