김 현섭 부장/ consultant system engineerfireeyeday.com/1604/pdf/track_1_4.pdf · security hole...
TRANSCRIPT
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
지능화된 스피어피싱 .. 그 대응은 ?
김 현섭 부장/ CONSULTANT SYSTEM ENGINEER
SESSION Q & A - TRACK 1 진단 & 준비
Track 1 진단 & 준비 세션에 대해 궁금하셨던 부분을 성함과 함께 남겨 주세요.
각 세션 종료후 발표자가 답변을 해드립니다.
* 질문이 채택 되신 분들께는
스타벅스 상품권, 텀블러, 핸드폰 거치대 등을 각 세션마다
다르게 제공하여 드립니다.
접속 URL : cdl2016track1.symflow.com • 위의 URL 또는 QR코드를 이용하여 접속하시거나 등록시 나누어 드린 안내장을 참고하시기 바랍니다.
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
3
APT 공격의 침투 방법
인터넷 정보
알려지지 않은 제로데이 공격 내부사용자
감염
이메일 이메일
이메일
웹사이트 웹사이트
웹사이트
공격도구 내부 공유
추가 감염 및 피해확산
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
4
E-MAIL을 통한 침투 시도
Web기반 공격 (URL)
NGFW
NX
FW
Anti-Spam
AV
SECURITY HOLE
E-mail 기반 공격
혼합공격 (Spear Phishing)
IPS
본 사
협력업체
계열사
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
5
스피어 피싱 데모시연
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
6
스피어피싱 피해 사례
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
7
북한의 사이버부대 홗동의 증가
전세계 사이버전이 고도화되고 북핚의 사이버전으로 인핚 국내기관의 사고사례가 증가
북한은 사이버젂 젂문부대를 증강하고 있으며 최근 정보에 따르면 3,000여명의 사이버젂지도국을 강화
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
8
왜 이메일을 통한 공격이 많이 발생하는 건가요?
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
9
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
10 COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED. 10
이메일을 통한 공격이 위협적인 이유
손쉬운 사용자 위변조
공개된 이메일 정보
공격자 통제 홖경
정확한 공격 목표 설정
• 소셜미디어 등을 통핚 공개된 사용자 이메일 정보 수집 가능
• 개인정보유출 등을 통해 유출된 사용자 이메일 정보 수집 가능
• 사회공학적인 측면에서 쉽게 이메일 정보 수집 가능
• 메일서버의 손쉬운 구축 및 여러가지 툴을 통핚
발싞자 정보 위변조 가능
• 메일서버 정보 및 메일헤더 정보 등도 위변조 가능
• 공격을 통해 얻고자 하는 목표에 맞는 기업/직급/업무 등을
선별하여 수행 가능
• 원하는 시간, 방법, 형식 등에 대해 공격자가 통제 가능
• 불특정 다수를 향핚 공격 시도가 아닌 붂명핚 목적에 의핚
공격 목표에게 메일 발송 가능
• 공격대상의 관심사 정보 등을 활용핚 유효핚 악성이메일 전송
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
11
스피어피싱 공격 방법
개인정보에 의해
선별된 대상에 대해
스피어피싱 메일 젂송
정상메일로 구성되어
보안솔루션 및 사용자
의심없이 실행되어
사용자 PC감염
스피어피싱 메일 메일수싞자 PC 감염 내부 인프라시스템
감염 확산
추가 악성코드 설치
및 내부 확산
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
12
스피어피싱 탐지 건수
2013
12,716건
2014
67,275건
[FireEye DTI 탐지 붂석 자료 – 월별 탐지 건수 및 총 탐지 현황]
스피어피싱 메일 탐지
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
13
28707
112320 112811
71353 51233
42348 50815 50750
35214 37261
108407 99404 92061
68736
431594
0
50000
100000
150000
200000
250000
300000
350000
400000
450000
500000
1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 1월 2월 3월
건수
2015
800,623건
2016
592,391건
스피어피싱 탐지 건수
스피어피싱 메일 탐지
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
14
스피어피싱 공격시 사용된 첨부파일
첨부문서를 통한 스피어 피싱 공격
doc, 2,259
pdf, 916 xls, 789
hwp, 258
ppt, 27
��������
- �������
� �����
�
��
��������
500 �������
� �����
�
��
��������
1, 000 �������
� �����
�
��
��������
1, 500 �������
� �����
�
��
��������
2, 000 �������
� �����
�
�� ��������
2, 500 �������� �����
���
doc ��������
pdf ��������
xls ��������
hwp ��������
ppt ��������
archive, 50,600 , 77%
exe, 9,926 , 15%
document, 1,963 , 3%
SCR, 2,383 , 4%
image, ��������
� � � � � �
�
�
473 ��������
, �������
�
1% ������
��
etc, �������� � � � � � � �
�
321 ������
�
�, �����
�
� �0% ����
�� ��
archive ��������
exe �������� �������� docu ment �������
�
SCR �������� image �������� etc ��������
[FireEye DTI 탐지 붂석 자료 – 첨부파일의 종류] [FireEye DTI 탐지 붂석 자료 – 문서파일의 종류]
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
15
지난 1년갂 국내 중요 이메일 공격 탐지
2015 03/04 2015 09/10 2015 12 2016 03
이메일의 첨부파일
(pptx, zip, pdf)
을 이용핚 공격
이력서를 위장핚 공격
메일 본문내에 악성 URL을 이용한
공격
인보이스명 첨부를
이용핚 공격
Locky 랜섬웨어, 변종
Spear-Phishing 공격 플로우
Victim C&C SVR
Exploit SVR
① 스피어피싱 메일 젂송 - 악성 URL 젂송 - 악성 첨부 파일 젂송
Attacker
④ GET 메소드를 이용한 파일 다운로드 요청
⑤ 각각의 파일 다운로드
⑥ 실행 파일로 변경 된 악성 파일 자동 실행 후 C&C 서버 접속 / 원격 제어 됨.
2016 02
Exploit Kit을 이용핚
공격
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
16
메일 첨부파일을 이용한 공격 사례
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
17
이력서를 위장한 APT 공격 탐지 이벤트
공격 정보 요약
발생일시 송수싞 주소 탐지명 MD5 악성코드 유형
2015-09-01 01:02:50 장비 확인 필요 Malware.Binary.exe faa8b8f7e739207d2dd18f0400f2b5b7 정보 유출을 위한 백도어
유입된 악성코드의 특징
Anti-VM
알려진 VM 홖경일 경우 허위 프로그램 (한글도구모음) 생성 후 종료
가상 홖경이 아닐 경우 가짜 이력서 생성 후 악성코드 감염
• Anti-VM 체크를 통한 알려진 가상머신을 이용한 분석 회피
• 카카오 디지털 서명으로 서명되어 AV 탐지 회피
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
18
이력서를 위장한 APT 공격 탐지 이벤트
파이어아이 탐지 결과
• 추가 악성코드 생성 및 실행
• 사용자를 속이기 위한 가짜 이력서 파일 생성
AV 탐지 결과 확인(2015년 11월 25일 기준)
• 추가 악성코드 생성
• 정상 프로세스로 위장하여 동작(code injection)
• 추가 생성되는 악성코드에 대하여 2개 AV사 진단하며, 국내 백신사 진단 못함
• 실제 인젝션되는 코드에 대하여 외산 AV 14개사 휴리스틱으로 진단하며, 국내 백신사 진단 못함
내문서 tmp 폴더에 src.exe 파일 생성
???. Xls 파일생성
Windows/syscore 폴더에 update.exe
파일 생성
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
19
• 악성코드의 기능
해당 악성코드는 국내 백신(V3, Alyac)을 강제로 종료시키는 기능을 포함하고 있음.
• 타사 탐지 유사 이벤트와의 연관성 분석
이력서-소유진.scr 이력서-손희진.scr
탐지일 : 2015-09-01 01:02:50 탐지일 : 2015-10-19 07:56:12
ggteam2014.vicp.cc
ip2.nwt.gg-team.net
ip3.nwt.gg-team.net
future1003.oicp.net
ip1.nwt.gg-team.net
악성코드의 기능 및 유사성
악성코드의 기능은 대부분의 백도어의 기능을 갖고 있으며, 감염 시스템 정보 전송, 파일 유출, 원격 명령창 생성, 키로깅, 스크린 샷 전송, 캠을 이용한 사진 촬영 및 전송 등 다양한 정보 유출 기능을 갖고 있다.
동일한 C&C 서버를 사용한 유사한 공격이 9월~10월에 걸쳐 지속적으로 탐지되었으며, C&C 서버 네이밍 규칙 및 내부 코드 분석 결과, 자칭 GG Team으로 부르는 그룹에 의한 APT 공격으로 추정
이력서를 위장한 APT 공격 탐지 이벤트
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
20
인보이스를 위장한 APT 공격
탐지 이벤트 정보 발생이벤트 : Malware.Binary.doc 탐지시각 : 2015/12/17 07:57:07 Ahnlab-V3 탐지여부 : 탐지불가 파일명 : invoice75113643.doc MD5 : a2da2eb5a4cceda38d050479777aecf
첨부파일을 통해 문서파일타입의 알려지지 않은 악성 파일이 수싞
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
21
C&C서버(savepic.su)와 통신을 시도
C&C서버(savepic.su)로 부터 6786586.png파일을 다운로드
인보이스를 위장한 APT 공격
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
22
최근 Exploit Kit을 이용한 공격 사례
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
23
랜섬웨어
APT 공격
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
24
다른 형태의 APT : 랜섬웨어의 변화
DirtyDecrypt CryptoLocker CryptoWall TorrentLocker
July 2013
CtbLocker Cryptographic Locker
NsbLocker(Nabucur) TeslaCrypt New CryptoLocker
Setp 2013 Nov 2013 July 2014 Aug 2014 Sept 2014
Nov 2014 Mar 2015 April 2015 June 2015
PowerLocker
Jan 2014
Apple Locker
Aug 2015
Locky
Feb 2016
LeChiffre SAMAS
Apr 2015
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
25
LOCKY 랜섬웨어 글로벌 트렌드 정보
글로벌 Locky 랜섬웨어 탐지 추이
Source : https://www.fireeye.com/blog/threat-research/2016/03/surge_in_spam_campai.html
• 파이어아이 랩에 따르면 Locky 랜섬웨어는 전
세계적으로 50개국 이상의 국가에 유포 중
• 한국의 유입 건수 전 세계 3위
• 전 세계적으로 2016년 3월 21일부터 Locky
랜섬웨어에 대한 탐지가 급격히 증가
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
26
국내 EX 고객사 Locky 랜섬웨어(JS형태) 유입 탐지 추이
0
5000
10000
15000
20000
25000
30000
3월1일 3월2일 3월3일 3월4일 3월5일 3월6일 3월7일 3월8일 3월9일 3월10일 3월11일 3월12일 3월13일 3월14일 3월15일 3월16일 3월17일 3월18일 3월19일 3월20일 3월21일 3월22일 3월23일 3월24일 3월25일 3월26일 3월27일
3월
• 3월 1일 ~ 3월 27일까지 국내 EX 고객사 대상 100,000건 이상의 Locky 랜섬웨어 유입 탐지
• 3월 중순 이 후 급격히 증가 추세를 보이고 있으며, 3월 22일 하루 동앆 25,000건 이상 탐지
LOCKY 랜섬웨어 국내 트렌드 정보
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
27
LOCKY 랜섬웨어 유포방식
※ 2016년 3월까지 매크로를 이용한 오피스 문서 형태로 전파되다가, 현재는 대부분 자바 스크립트
형태로 유입 중
주로 이메일을 통하여 유포
① 첨부 파일 형태(오피스 문서, 자바 스크립트)로 이메일을 통해
유입
② 사용자에 의해 첨부 파일 실행
③Locky 랜섬웨어 다운로드 및 파일 암호화
랜섬웨어 유포 서버
Locky 랜섬웨어 감염 방식
스피어피싱 전달
매크로가 포함된 오피스 문서
자바 스크립트가 압축된 압축 파일
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
28
LOCKY 랜섬웨어 FIREEYE 탐지
Locky 유포 서버 스피어피싱 전달
자바 스크립트가 압축된 압축 파일
각 단계별 파이어아이 탐지 결과
• 이메일 유입 단계 탐지 결과(EX) • 랜섬웨어 다운로드 단계 탐지
결과(NX) 자바 스크립트 파일이 압축된 형태의 파일 탐지
자바 스크립트 실행 후 특정 URL 접속 행위
Locky 랜섬웨어 다운로드 및 실행 행위
다운로드 되어지는 Locky 랜섬웨어에 대하여 행위 기반 탐지
C&C 서버 접속 행위 확인
감염 진행 과정 중(Locky Ransomware Indicator) 확인 가능
Locky 랜섬웨어 콜백 탐지
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
29
스피어 피싱에 대한 대응은 ?
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
30
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
31
어떻게 스피어 피싱에 대응해야 하는가?
문서 취약점공격 차단 비실행 파일 대응
•취약점을 이용한 문서파일을 탐지해야 함
•대부붂의 문서 취약점공격(Exploit)은 Zero-day 취약점을 이용
Unknown URL 탐지 및 차단 Unknown URL
•본문에 포함된 Unknown URL을 효과적으로 탐지해야 함
•악성으로 확인된 URL은 스스로 차단이 필요
스피어 피싱은 반드시 차단이 필요 실시갂 차단
•가상머싞을 통한 실시갂 붂석 및 차단이 필요
•빠른 시갂 안에 가상머싞 붂석이 완료 되어야 함
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
32
이메일 첨부파일에 대한
젂수검사 실시
이메일 본문내 URL에 대한
젂수검사 실시
1% 미만의 오탐율
로
싞뢰성 확보
젂용 VM을 통한
오탐제거
실시갂 차단 통한
방어기능 제공
스피어피싱 대응 기술 – 강력한 행위기반 붂석
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
33
메일붂석/붂류 단계 동적붂석 단계 이메일 정책 단계
이메일 메세지
PO
STFIX
MA
IL DE
LIVE
R
첨부파일
사이즈
체크
첨부파일
/UR
L 포함여부
확인
• WindowsXP-SP3 • Windows7 64 bit • Windows7-SP1
URL 블랙리스트 엔진
(동적붂석 결과에
의한 DTI List)
이메일 차단
이메일 젂송 YES
NO
가상실행엔진 최대 160개 동시 실행
FIREEYE MVX ENGINE FOR EMAIL ATTACK
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
34
FIREEYE THREAT INTELLIGENCE
ATI+ (Advance Threat Intelligence +)
APT 그룹, 최싞동향에
대한 포털 제공
ATI & DTI 포함
탐지 이벤트의
Kill chain 제공
FireEye 장비에
라이센스 형태로 설치
DTI 포함
ATI (Advanced Threat Intelligence)
DTI (Dynamic Threat Intelligence)
전 세계 FireEye 장비의 탐지 정보공유
FireEye 장비에 라이센스 형태로 설치
24X7 모니터링
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
35
EX URL탐지 기능의 변화
알려짂 악성 URL탐지 – Yara Rule에 의핚 이메일 본문 탐지, Security Content (매시간 업데이트), FAUD 탐지(실시간)
알려지지 않은 악성 URL탐지(파일다운로드 유도) – Dynamic URL Analysis 기능으로 탐지
알려지지 않은 악성 URL 탐지(파일다운로드 유도 이외의 URL) – NX 연동을 통해서, 사용자가 직접 클릭핛때 탐지
알려지지 않은 악성 URL 탐지(파일다운로드 유도 이외의 URL) – FAUD를 통하여 탐지 / 사용자가 클릭핛때 차단
계정정보 입력 유도형 악성 피싱 URL 탐지 – FAUD 기반 탐지 (EX가 이메일을 받았을때 탐지 / 사용자가 클릭핛때 차단)
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
36
UNKNOWN URL 탐지 - ADVANCED URL DEFENSE
EX
http://example.com/clickme DTI
DTI
MVX
1
3
Allow
Warn
Block
Deep URL
Analysis
Malicious URL
Lookup Server
http://example.com/clickme
https://protect.fireeye.com/url?abc
2
4
5
Email Server
메일본문에 포함된 URL을 DTI를 통해 조회
1
사용자가 이메일 본문에 URL을 클릭하는 시점에 해당 URL의
악성유무를 확인
4
메일에 URL을 Rewrite하여 메일서버로 전송
(inline deployments only)
3
Unknown URL의 경우 FAUD를 통해 심층붂석 수행
2
붂석결과에 해당하는 페이지 전달 5
Advanced URL Defense requires two-way DTI subscription
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
37
탐지회피 기법 중 가장 많이 사용하는 기법은 암호
기법(PDF나 압축파일)
파이어아이는 email body에서 password 후보
리스트를 생성
Password 리스트를 통해 실제 압축 해제
다양한 언어 지원(한글 지원)
Base64로 Encoding된 파일 지원
사용자가 직접 password 후보 리스트 삭제 및 추가
가능
메일 본문에서 Password 후보 리스트를 생성하여, Password 리스트를 통하여 압축 해제하여 검사를 수행하는 기능
Password Protected File 붂석
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
38
URL 분석, Message Content 분석, Image 인식, HTML 에뮬레이션 기법을 통해 사용자 Credential을 탈취하는
기법 탐지
User Credentials Compromised
Initial URL Not Malicious
‘Post’ action is malicious
사용자가 메일 본문 링크 클릭시, 접속하는 URL과 도메인 명을 확인, 로그인
버튼 클릭시 접속시도하는 도메인 검증 제공
Credential Phishing Protection
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
39
사회공학 기법으로 메시지 내 URL과 실제 LINK가 다른, 소위 Phishing 공격 탐지
송신자 도메인, 본문 URL에 대해 수행
예시
weIIsfargo.com vs wellsfargo.com 의 모양이 똑같이 보이지만 앞 글자에 “I”는 L 이 아니고
“i“ 글자의 대문자임
These are capital ‘i’s
"Like but not Equal" Domain 탐지
COPYRIGHT © 2016, FIREEYE, INC. ALL RIGHTS RESERVED.
40
APT 솔루션 도입시 고려사항
•의심파일의 행위붂석을 위한 젂수조사
Vs. 시그니쳐 탐지 후 의심파일에 대해 행위붂석
•자체개발 하이퍼바이저
Vs. 상용 가상머싞을 사용
•다양한 악성파일 붂석(본문 URL, 난독화, 암호 압축파일 등)
Vs. 기본형태의 문서파일에 국핚
•행위붂석에 의한 Unknown 악성이메일 차단
Vs. 스팸만 차단 – Unknown 악성이메일 차단앆됨
의심파일의 전수조사를 위해서는 성능이 뛰어난 가상머신의 수가 많아야 한다.
최근 발생되는 대부분의 APT공격은 상용 가상머신의 분석을 우회할 수 있는 기술을 사용
본문에 포함된 악성 URL에 대한 탐지가 가능해야 한다.
APT공격에 사용되는 모든 악성코드는 Unknown 악성코드이다.