디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가? ·...
TRANSCRIPT
SECURITY REIMAGINED
REPORT
디지털상의 7가지 단서:지능형 사이버 공격의 배후는 누구인가?
2 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
목차
요약 .................................................................................................................................................................................................................................................................................................................................................................... 3
머리말 .................................................................................................................................................................................................................................................................................................................................................................... 3
1. 키보드 배열 ......................................................................................................................................................................................................................................................................................................................... 4
2. 악성코드 메타데이터 ...................................................................................................................................................................................................................................................................................5
3. 내장된 폰트 .........................................................................................................................................................................................................................................................................................................................6
4. DNS 등록 ................................................................................................................................................................................................................................................................................................................................7
5. 언어 ....................................................................................................................................................................................................................................................................................................................................................... 8
6. 원격 관리 툴의 설정 ................................................................................................................................................................................................................................................................................10
7. 행동 ................................................................................................................................................................................................................................................................................................................................................. 11
맺음말 .............................................................................................................................................................................................................................................................................................................................................................. 11
FireEye 소개 ........................................................................................................................................................................................................................................................................................................................................ 12
3 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
요약현재와 같은 사이버 위협 환경에서는 공격자를
파악하는 것이 모든 방어 계획의 가장 중요한
요소입니다. 누가 공격자이고, 어떤 방법으로 공격을
하고, 무엇을 원하는지 알아내는 것이 데이터와 지적
재산을 보호하는 데 매우 중요합니다.
다행스럽게도, 침입을 당한 컴퓨터 시스템에는
범죄 현장처럼 단서가 남아 있습니다. 지능형 사이버
공격과 관련된 범죄자들은 악성코드 , 피싱 이메일,
사용한 명령 및 제어(CnC) 서버와 행동을 통해서
정체를 드러낼 수 있습니다. 범죄 해결을 위해 지문,
DNA, 섬유 분석을 통한 과학적 수사가 매우
중요해졌듯이, 지능형 사이버 공격의 단편적
사실에서 결론을 도출해내는 것은 심지어 가장
지능적인 위협 행위자들을 파악하는 데에도 도움이
될 수 있습니다(연구자들이 무엇을 밝혀내야 하는지
알고 있는 경우).
FireEye®가 추적한 약 1,500건의 공격으로부터
추출한 샘플에 근거하여 작성한 이 문서는
악성코드 공격의 다음과같은 측면과 그러한 공격이
흔히 범죄자에 대한 단서를 드러내는 것에 대해
설명합니다.
• 키보드 배열. 피싱 시도에는 공격자가 언어와
지역에 따라 다른 키보드를 선택하는 것에 대한
정보가 숨겨져있습니다.
• 악성코드 메타데이터z. 악성코드의 소스
코드에는 공격자가 사용하는 언어, 소재지, 다른
공격과의 연계를 나타내는기술적인 세부사항이
포함되어 있습니다.
• 내장된 폰트. 피싱 이메일에 사용된 폰트는
공격의 발원지를 나타냅니다. 이것은 공격자가
보통 모국어가 아닌폰트를 사용하는 경우에도
해당됩니다.
• DNS 등록. 공격에 사용된 도메인을 분석하면
공격자의 위치를 정확하게 알아낼 수 있습니다.
중복 등록 정보는다수의 도메인을 잘 알려진 한
범죄자에게 연계시킬 수 있습니다.
• 언어. 악성코드에 내장된 불완전한 언어는 보통
공격자의 출신국을 드러냅니다. 그리고 피싱
이메일의 일반적인 언어실수는 때때로 역으로
분석하여 작성자의 모국어를 확인할 수 있습니다.
• 원격 관리 툴의 설정. 많이 사용되는 악성코드
작성 툴에는 다양한 설정 옵션들이 포함되어
있습니다. 이러한옵션들은 보통 이 툴을 사용하는
공격자마다 고유하므로, 연구자들은 유사점이
없는 서로 다른 공격들을 공통의 위협행위자에게
연계시킬 수 있습니다.
• 행동. 공격 방법과 대상 같은 행동 패턴은
공격자의 몇 가지 공격 전술과 동기를 나타냅니다.
보안 전문가들은 이러한 측면들을 분석함으로써
위협 행위자를 파악하는 데 많은 진전을 보이고
있으며, 미래의 사이버 공격으로부터 조직들을
방어하는 능력을 강화할 수 있습니다..
머리말최근 수년 간, 사이버 공격이 더 지능적이고
완강해졌으나, 완전 범죄를 저지를 수는 없습니다.
정찰, 무기화, 전달, 악용, 설치, 명령 및 제어, 목표
실행(보통 유출)1 등과 같은 모든 단계의 공격 킬
체인은 디지털 페이퍼에 단서를 남길 수 있습니다.
그 이유는 각 단계마다 공격자와 표적 사이에 어떤
접촉점이 필요하기 때문입니다. 때로는 이러한 접촉이
피싱 이메일과 같이 직접적일 수 있습니다.
또 다른 경우에는 이러한 접촉이 표적 컴퓨터를
공격자의 시스템으로 연결하는 콜백을 하는 것과 같이
간접적일 수 있습니다. 이러한 종류의 접촉들은
공격자에 대해 더 상세하게 알아볼 수 있는 기회를
제공합니다. 이러한 정보를 정확하게 분석하면 보안
1 Eric M. Hutchins, Michael J. Cloppert 및 Rohan M. Amin (Lockheed Martin). “Intelligence-Driven Computer Network Defense Informed by
Analysis of Adversary Campaigns and Intrusion Kill Chains(적대적인 공격과 침입 킬 체인의 분석 결과에 의해 알려진 인텔리전스 기반의 컴퓨터
네트워크 방어).” 2010년 11월.
4 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
전문가가 피해를 방지하고, 침입을 당한 시스템을
복구하고, 미래의 공격을 예측하는 능력을 강화하는
데 도움을 줄 수 있습니다.
주의 사항: 이 보고서에서 상세하게 설명하는 디지털
포렌식 기법은 FireEye 연구자들에게 유용하다는
것이증명되었으나, 범죄자가 남기는 단서들은 흔히
오도하거나 모순될 수 있습니다. 증거를 분석하는
것은 복잡하고 힘든 작업이며, 과학적 방법과 인문학적
방법이 미묘하게 혼합되어 있어 하나의 “명백한 증거”
를 찾아내기는 매우 어렵습니다. 사이버 범죄자들은
오도의 전문가이므로, 단서나 증거를 액면 그대로
받아들여서는 안됩니다. FireEye는 공격의 출처에
대한 결론에 도달하기 전에 다수의 출처로부터 입수한
증거를 철저히 분석하고, 디지털 포렌식 전문가에게
협조를 요청할 것을 강력하게 권고합니다.
1. 키보드 배열
연구자들은 피싱 이메일의 헤더에 대한 “문자 집합”의
특성을 조사함으로써, 특정한 악성코드를 작성하기
위해 사용하는 악성코드 키보드의 배열을 확인할
수 있습니다. 대부분의 피싱 시도는 특정한 국가를
나타내지 않는 표준 키보드 배열을 사용합니다. 그러나
비표준 키보드를 사용했다는 것이 명백한 경우에는
강력한 단서가 됩니다.
FireEye 연구자들은 공격자들이 다양한 악성코드
공격을 할 때 중국에서 사용하는 표준 중국어
(GB2312) 키보드로입력한다는 특징을 발견했습니다.
이와 유사하게, 공격자들이 북한의 KPS 9566 문자
집합을 사용하는 경우, 그 지역에서 시도된 악성코드
공격을 식별하는 데 도움이 될 수 있습니다.
이 공격의 발원지를 추적하는 이 방법은 누구나 쉽게
사용할 수 없습니다. 예를 들면, 이론적으로 러시아
국적자가 북한 키보드를 사용하여 신원과 소재지를
위장할 수 있습니다.
FireEye 연구자인 Alex Lanstein은 2012년 3월에
다수의 티베트 활동가에게 이메일을 보내어 사이버
공격 대상이 될가능성이 있다고 경고했습니다. 그 후에
공격자들은 공격 대상 중 한 사람으로부터 Lanstein의
이메일 사본을 입수하여 다른 활동가들에 대한 미끼로
사용했습니다. 표준 서양 언어 키보드
(Windows-1252)를 사용한 원래의 이메일과는 달리,
미끼로 사용한 이메일은 중국의 GB2312 키보드
배열을 사용한 발신자로부터 전송되었습니다.
그림 1은 미끼로 사용한 이메일입니다. 그림 2는
키보드 배열이 표시된 이메일 헤더 정보를 보여줍니다.
그림 1: 티베트 활동가들에게 보낸 미끼 피싱 이메일
5 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
그림 2: 피싱 이메일의 문자 집합 코드 (그림 1 참조)
2. 악성코드 메타데이터
악성코드의 실행 코드는 보통 소스 코드를
체계화하는 원래의 소스 디렉토리를 참조
표시합니다. 이와 같은 방법으로, C++로 작성한
프로그램들은 프로젝트 이름을 참조 표시합니다.
이 기초적인 코드는 (코드와 공격의 다른 여러
측면들을 공격 대상의 언어에 따라 맞춤화했더라도)
공격자의 언어나 출신국을 나타낼 수 있습니다.
그림 3은 최근의 3단계 공격에 사용한 소스
코드를 보여줍니다. 이 그림에서, 공격자는
비속어를 사용하여 중국 안티바이러스
소프트웨어 회사인 Beijing Rising (발음대로
“Ruixing”이라고 표기) International Software
Co.를 모욕하는 행동을 했습니다.
그림 4는 전에 공개되지 않은 2단계 공격의
소스 코드(PNG 파일로 위장한 실행 파일)를
보여줍니다. 이 코드는 초기 단계에서 피해를
입힌 후에 엔드포인트로 전달되었습니다. 이
코드에는 악성코드 작성자의 하드 드라이브(“E:\
pjts2008\ moon\Release\MoonClient2.
pdb”)에 저장된 프로세스 디버깅(PDB) 파일에
대한 참조 표시가 포함되어 있습니다. (PDB 파일은
Windows .Net 프레임워크에서 작성된
프로그램에 대해 생성됩니다.) 이 페이지에 참조된
“MoonClient” 파일은 중국 해커 단체인 APT1
(CommentGroup이라고도 알려져 있음)이
사용하는 WEBC2 악성코드의 변종입니다.
그림 3: 중국 안티바이러스 소프트웨어 회사인 Beijing Rising(발음대로 “Ruixing”이라고 표기)을 모욕하는 악성코드. 소스 코드에 사용된 비속어는 스크린샷에 흐릿하게 표시하였습니다.
6 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
그림 4: 디코딩된 실행 파일 (붉은색 박스는 PDB에 대한 참조 표시)
3. 내장된 폰트
“키보드” 섹션에서 설명한 문자 집합 특성과
마찬가지로, 피싱 이메일과 다른 악성 문서에서
사용되는 폰트는 때때로 APT 공격의 소스를
추적하기 위해 유용할 수 있습니다.
FireEye 연구자들이 최근에 발견한 Sanny APT를
예로 들어보겠습니다. 그림 5는 공격 대상을
유도하기 위해 사용하는미끼 문서입니다.
미끼 문서는 러시아의 이해관계자들을 공격
대상으로 삼기 위해 러시아어로 작성했으나, 한국어
폰트인 “바탕”과 “KP 청봉”을 사용했습니다. 이러한
폰트를 선택했기 때문에, 북한과 관련된 다른 소스들
(공격에서 사용한 작성자의 이름과 CnC 서버 포함)
로부터 입수한 기존의 증거가 재확인되었습니다.
이러한 증거들을 종합적으로 검토하여 공격자의
출신국에 대한 확실한 사례가 제시되었습니다.
그림 5: 러시아어 문자 집합으로 작성했으나 한국어 폰트를 사용한 미끼 문서
7 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
4. DNS 등록
어떤 경우에는, 위협 행위자들이 도메인
블랙리스트 같은 표준 악성코드 방어에 의한
탐지를 회피하기 위해 비용을 지불하고 도메인을
등록합니다. 이러한 DNS 등록은 보통 공격자의
출신국을 직접 나타냅니다.
허위 이름과 주소를 사용하여 DNS에 등록하더라도,
범죄자를 정확하게 찾아내는 데 유용할 수 있습니다.
어떤 경우에는, 공격자들이 다수의 도메인에 대해
허위 연락처 정보를 재사용합니다. 연구자들은 이
복사 정보를 사용하여 다수의 공격을 단일 위협
행위자에게 신속하게 연계시키고 각 공격으로부터
수집한 정보를 종합합니다.
이에 대한 적절한 사례는 “Sin Digoo Affair”
입니다. 2004년과 2011년 사이에, Hotmail
이메일 주소를 사용하는 어떤 사람이 같은
이름으로 몇 개의 도메인을 등록했습니다. 이
등록자는 물리적 주소를 “Sin Digoo, Californa”의
사서함으로 기재했고, 이것은 발음에 따라 “San
Diego”의 철자를 잘못 적은 것이 명백합니다.
연구자들은 이 중복 등록 정보의 덕택으로
개인적인 악성코드 공격을 더 큰 패턴의 지능형
지속적 위협으로 연계시킬 수 있었습니다.2
악성코드 연구자인 Nart Villeneuve는 이와 유사한
방법으로 DNS 등록 정보를 사용하여 중국의 제지앙
대학을 홍콩 앰네스티, 언론인 및 인권 운동가에
대한 2010년의 공격과 연계시켰습니다.3
FireEye는 최근에 DNS 등록 세부사항을 사용하여
바이러스 점검 웹사이트인 VirusTotal로 업로드된
몇 가지 악성코드샘플과 연계시켰습니다(그림 6
참조). 이 공격자는 안티바이러스 커뮤니티가
악성코드를 탐지하고 있는지 테스트하기 위해
샘플을 업로드한 것처럼 보입니다.
이 샘플을 업로드한 위협 행위자는 1단계의 CnC
시도를 가장했습니다. 그러나, 악성코드를 라이브
인프라에서 실행해야만 드러나는 2단계에서는
허위일 가능성이 많은 뉴델리 주소에 거주하는 어떤
사람에게 등록된 secureplanning.net 도메인(그림
7)을 사용했습니다.
4 Joe Stewart (Dell SecureWorks). “The Sin Digoo Affair(신디구 사건).” 2012년 2월.5 Villeneuve, Nart. “Nobel Peace Prize, Amnesty HK and Malware.(노벨 평화상, 홍콩 앰네스티 및 악성코드)” 2010년 11월.
그림 6: 악성코드 샘플 업로드의 예
그림 7: VirusTotal로 업로드된 샘플 악성코드에 대한 업로드 정보
8 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
등록 정보가 완전한 단서는 아닙니다. 숙련된
공격자는 허위 연락처 정보를 생성하여 연구자들을
오도할 수 있습니다. 그러나 이 경우에는 FireEye
연구자들이 VirusTotal로 업로드된 악성코드의
약간 모핑된 버전을 15회가 넘게관찰했습니다.
모든 샘플을 동일한 뉴델리 주소로 등록된
도메인들에 연결하려고 시도했기 때문에, 비교적
명확한 패턴을 나타냈습니다.
5. 언어
악성코드 공격에 사용된 언어를 말하는 사람이
원어민이 아니라는 것을 드러내는 여러 가지 단서가
있습니다. 때로는 그러한 단서들이 공격자의
출신국을 나타낼 수도 있습니다.
명백한 오타와 오기는 원어민이 아니라는 명확한
증거입니다. 또한 더 상세한 분석을 하는 경우에는
공격자가 언어 번역 사이트를 이용했다는 확실한
증거를 포착할 수 있습니다. 연구자들은 많이
이용하는 번역 사이트들이 특정한 단어와 문구를
처리하는 방법을 알고 있기 때문에, 공격에 사용된
피싱 이메일의 원래 언어를 확인할 수 있습니다.
많이 알려진 RSA에 대한 2011년의 공격을 예로
들어보겠습니다. 정부를 위해 일한다고 가장한
두 그룹이 RSA의 SecurID 제품에 대한 데이터를
추출하기 위해 이 회사의 네트워크로 침입했습니다.
이 공격은 Flash의 알려지지 않은 취약점을
이용함으로써, 기술 수준이 높다는 것을
보여주었습니다. 그러나 그림 8에서 보듯이, 피싱
이메일에서는 서투른 영어를 사용했고, 어색하게
첨부 파일을 열라고 유도했습니다(그러나
결과적으로 성공했습니다). 이러한 특성을 고려할
때, 개인 공격자가 영어 원어민이 아니라는 것을
확인할 수 있습니다.
그림 8: RSA에 대한 2011년의 공격에 사용된 피싱 이메일
9 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
다른 경우에는, 악성코드 내부에 내장된 언어가
공격자들을 정확하게 찾아내는 데 도움이 될 수
있습니다. 그림 9에서 보듯이, Backdoor.LV
악성코드에 대한 스니펫(코드 조각)에서는 공격
대상에게 “태그”를 제공하기 위해 아랍어 이름과
언어를 사용했습니다.
이 문자열은 그림 10에 나타난 것처럼 “HacKed By
Fayez Hacker_400CD510”으로
디코딩되었습니다.
그림 11에 표시된 코드는 동일한 공격자가 사용한
것처럼 보입니다. 이 문자열을 디코딩하면
“400CD510”이라는 태그가 나타나고(그림 12
참조), 이번에는 아랍어 문자가 추가되었습니다.
그림 11: Fayez와 연계된 또 하나의 악성코드 스니펫. 강조 표시된 부분은 그림 12에 나타난 문자열로 디코딩되었습니다.
그림 12: 아랍어 문자가 추가된 400CD510 태그
그림 10: 디코딩된 Backdoor.LV
그림 9: Backdoor. LV 악성코드의 스니펫. 강조 표시된 부분은 그림 10에 나타난 문자열로 디코딩되었습니다.
10 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
6. 원격 관리 툴의 설정
원격 관리 툴(RAT)은 공격자에게 공격 대상
컴퓨터에 대한 실시간 제어를 제공하는 일종의
악성코드입니다. 이 툴은 키 로그, 화면 캡처,
비디오 캡처, 파일 전송, 시스템 관리, 커맨드 쉘
접속 같은 다양한 기능을 지원합니다. 유료 또는
무료로 대중에게 제공되는 RAT는 보통 적절하게
테스트되고 완전한 기능을 갖추고 있기 때문에
공격자들에게 매력이 있습니다.
RAT는 귀속성을 더 어렵게 만들 수 있으나, 누구나
이 툴을 사용할 수 있고, 다른 많은 그룹들이
동일한 툴을 사용합니다. 그러나 많은 옵션이 있어
각 공격자가 고유하게 설정을 결합할 수 있습니다.
동일한 방법으로 설정된 RAT를 사용한 다수의
공격은 잘 알려진 한 공격자가 자행했다는 것을
나타냅니다.
많이 사용되는 8년 된 RAT인 Poison Ivy를 예로
들어보겠습니다. 이 툴이 가장 많이 사용하는 몇
가지 설정 옵션에는 ID, 그룹, 패스워드, 뮤텍스가
포함됩니다.
그림 13은 Poison Ivy의 연결 설정 창에 표시된 ID
및 패스워드 필드를 보여줍니다. 그림 14는 고급
설정 창에 표시된 뮤텍스 필드를 보여줍니다.
이러한 설정 옵션은 Volatility(메모리 덤프에서
운영되는 오픈 소스 파일 메모리-포렌식
프레임워크)를 사용하여 컴파일된 RAT로부터
추출할 수 있습니다.
Poison Ivy에서는 공격 대상 그룹들에게 태그를
제공하고 체계화하기 위해 ID 및 그룹 필드를
설정합니다. 다수의 공격에서 동일한 ID 또는 그룹
이름이 나타나는 경우, 연구자들은 그러한 공격들이
연계되어 있다고 결론을 내릴 수 있습니다.
패스워드 필드는 Poison Ivy의 통신을 암호화하는
키로 사용됩니다. 이 필드는 기본인 “admin”으로
설정되고 보통 변경되지 않습니다. 그러나
적극적으로 설정하는 경우, 패스워드는 분류에 대한
지문 역할을 할 수 있습니다. 패스워드는 보통
고유하고, 공격 캠페인에서 공격자들이 공격 대상에
대해 자주 재사용합니다.
소프트웨어에서 뮤텍스는 한 프로그램에서 다수의
스레드가 같은 시간에 동일한 자원을 사용하려고
시도하는 것을 방지하기 위해 사용하는 프로그램
객체입니다. Poison Ivy에서는 뮤텍스가 마커
역할을 하여 이 툴이 감염된 시스템에서 이미
실행되고 있는지 여부를 확인하여 자체적으로
한 인스턴스를 초과하여 실행되지 않게 합니다.
Poison Ivy는 “)!VoqA.l4”의 기본 뮤텍스 값을
사용합니다. Poison Ivy에 설정된 패스워드처럼,
수정된 값은 보통 고유하므로 뮤텍스가 유용한
마커가 될 수 있습니다.
그림 13: Poison Ivy의 연결 설정 창 (ID 및 패스워드 필드가 강조 표시되어 있음)
그림 14: Poison Ivy의 고급 설정 창 (프로세스 뮤텍스 필드가 강조 표시되어 있음)
11 www.fireeye.com
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
7. 행동
사람은 습관의 존재입니다. 위협 행위자들도 다른
사람들과 마찬가지로 보통 시간이 지나면 일관성
있는 행동 패턴을 보여줍니다. 그들은 동일한
공격 대상과 산업에 집중하고, 동일한 CnC
서버를 사용합니다. 이러한 반복적인 행동에
의해 공격자의 접근방법, 목표 및 소재지가
드러날 수 있습니다. 이러한 측면에서 위협
행위자에 대한 프로파일이 도움이 될 수 있습니다.
범죄자 프로파일이 유력한 용의자를 추적하는
수사관에게 도움이 되는 것과 마찬가지로, 보안
전문가는 상당한 기간 동안 공격자를 관찰하여
패턴을 확인할 수 있습니다. 연구자들은 이 정보를
사용하여 특정한 그룹의 스타일과 접근방법에 대한
성향을 파악할 수 있습니다.
이와 같은 방법으로, 공격자의 익스플로잇 툴과
전술이 공격자의 프로파일을 작성하는 데 도움이
됩니다. 그림 15는 다른 익스플로잇, 다른 미끼,
그리고 다른 1단계 악성코드 이식을 사용하는 4건의
서로 다른 공격을 보여줍니다. 그러나 이러한
공격들은 모두 종교 운동가들을 목표로 삼고
있습니다. 그리고 헤딩 정보에 표시된 것처럼(그림
16 참조), 이러한 공격들은 모두 동일한 서버로부터(
일부는 Yahoo! 웹 이메일 서비스에 의해, 그리고
일부는 스크립트에 의해) 전송되었습니다. 이
증거는 같은 팀에 속해 있고 동일한 인프라를
사용하는 다수의 행위자임을 밝혀낼 수 있습니다.
맺음말이러한 특성들이 단독으로 드러나는 경우에는
절대적인 증거가 될 수 없습니다. 그러나 다수의
징후가 동일한 공격자에게 나타나는 경우,
연구자들은 특정한 공격의 배후에 누가 있는지에
대해 거의 확실한 결론을 내릴 수 있습니다. 이러한
정보는 보안 전문가가 공격 방법과 동기를
예측하여 미래의 공격을 방어하고 공격 대상
시스템과 데이터를 보호하는 것을 강화하는 데
도움이 될 수 있습니다.
그림 15: 4 건의 피싱 이메일
FireEye Korea | 서울특별시 강남구 테헤란로 440, 포스코센터 빌딩 서관 11층 | 02-559-0730 | [email protected] | www.FireEye.com
© 2014 FireEye, Inc. 저작권 소유. FireEye는 FireEye, Inc의 상표입니다. 다른 모든
브랜드, 제품 또는 서비스 명칭은 각 소유자의 상표 또는 서비스 마크입니다..
RPT.DB.KO.082014
디지털상의 7가지 단서: 지능형 사이버 공격의 배후는 누구인가?
공격을 방어하고 피해를 복구하는 긴급한 작업을
수행해야 하는 경우, 공격의 출처를 확인하는 것은
부수적인 일인 것처럼 보일 수도 있습니다. 그러나
사실은 그렇지 않습니다. 공격 대상 조직이 공격자의
공격 방법과 목표를 알게 되면 그러한 정보를
사용하여 다음과 같은 조치를 취할 수 있습니다.
• 자원을 즉시 이동시켜 취약한 데이터를 보강
• 사내 자원 또는 법집행에 대한 추가 지원을 요청
• 공격자들이 다른 공격에서 사용했고 누락될
가능성이 있는 다른 경로들을 더 철저히 분석
동일한 공격자가 다른 곳에서 자행한 이전의
공격들로부터 수집한 정보를 결합하는 경우,
공격의 출처를 확인하는 것은 특히 유용할 수
있습니다. 증가하는 FireEye 고객 기반에 대해
익명화된 위협 인텔리전스를 공유하는 FireEye®
Dynamic Threat IntelligenceTM 클라우드와 같은
솔루션은 공격자들이 사용하는 전술, 프로토콜, 포트
및 콜백 채널에 대한 정보를 제공합니다.
FireEye 위협 방어 플랫폼이 사이버 공격에 대한 방어를
강화할 수 있는 방법에 대해 더 자세히 알아보려
면 FireEye웹사이트 http://www.FireEye.com을
방문하십시오.
FireEye 소개FireEye®는 전세계의 기업과 정부들을 차세대
사이버 공격의 위협으로부터 실시간으로
방어한다는 특별한 목적으로설계된 가상 머신
기반의 보안 플랫폼을 발명했습니다. 고도로
진화된 사이버 공격들은 차세대 방화벽, IPS,
안티바이러스, 게이트웨이와 같은 기존의 시그니처
기반 방어를 쉽게 우회합니다. FireEye 플랫폼은
시그니처를 사용하지 않는실시간 동적 위협 방어를
제공하여, 웹, 이메일, 파일을 포함하는 일차 위협
경로에 대해, 그리고 다양한 단계의 공격
라이프사이클에 대해 조직을 보호합니다. FireEye
플랫폼의 핵심은 사이버 공격을 실시간으로 탐지
및 차단하는 가상실행 엔진이며, 이 엔진은 동적
위협 인텔리전스에 의해 보완됩니다. FireEye는 40
여개국에서 포춘 100대 기업을포함하는 1,000여
고객들을 보유하고 있습니다.
그림 16: 피싱 이메일 헤딩 정보 (IP 주소에 강조 표시)