SINCE 1999 ~ 2015
WINS REPORT
최근 해킹 실체와 2016년 차세대 보안 강화 전략 공개
2015 .11 .30 By WSEC
㈜ 윈스 악성코드분석파트장 김진욱
목차
1. 2015년 사이버 침해사고 현황
이탈리아 해킹팀, 판도라의 상자
2
사이버 인질극 랜섬웨어 분석
0. 스마트폰 금융 해킹 시연
글로벌 사이버 범죄 조직을 밝힌다. (국내외 공격조직 분석 발표)
2. Next Generation 보안
예방과 대응 방안
사이버 인질극 랜섬웨어 분석
2015년 사이버 침해사고 현황
2015년 11월 13일 5.135.75.112 IP를 가진 서버에서 Cryptowall 랜섬웨어 유포 정황을 확인
alexainvest.info 도메인으로 접속한 감염 PC 사용자는 5.135.75.112 IP를 가진 웹 서버에 접속 후에 악성 코드 감염 행위를 진행함을 확인
사이버 인질극 랜섬웨어 분석
5.135.75.0/24 대역의 IP를 가진 웹 서버에서 Cryptowall 랜섬웨어의 유포 정황이 다수 확인
감염 시, 3곳의 정해진 위치에 악성 코드를 복사하며, 시작 프로그램 등록을 진행
[악의적인 행위 지속 (암호화 진행되지 않았을 때)을 위한 시작프로그램 등록]
2015년 사이버 침해사고 현황
사이버 인질극 랜섬웨어 분석
5
취약점 통합 운영의 표준모델 정립
악성코드
CVE-2015-0311 Adobe Flash MS 14-056 취약점 IE Angler Exploit Kit
공격 조직
유럽권 국가 기존 해외 랜섬웨어와 유사 다수의 C&C가 네델란드,독일,불가리아 등에 위치
크립토락커 악성코드 사용자 문서,이미지,중요 파일 암호화 금전 요구
[클리앙 랜섬웨어 유포 사고 분석]
2015년 사이버 침해사고 현황
사이버 인질극 랜섬웨어 분석
• 해당 크립토락커는 사용자 시스템에 연결되어 있는 공유폴더로 지정된 폴더까지 탐색하여 파일들을 암호화 시킨다. ** 공유폴더를 통해 해당 악성코드는 전파되지 않음
7
[클리앙 랜섬웨어 유포 사고 분석]
2015년 사이버 침해사고 현황
사이버 인질극 랜섬웨어 분석
정확한 판단
변종 코드 대처
세분화된 공격 탐지
랜섬웨어 대응
공격형태를 파악하여 최종적인 진단 필요 (진단 카테고리의 세분화)
다수의 변종 코드를 진단 (시그니쳐 기반의 한계)
타겟팅 공격시 특정 파일,특정 사용자에게 국한된 공격을 진단 가능
8
[랜섬웨어 대응 방안]
2015년 사이버 침해사고 현황
변종 코드 대처
세분화된 공격 탐지
랜섬웨어 대응
정확한 판단
공격 주체 기준 진단 결과
정확한 공격 영향 파악 불가
피해 대상 기준 진단 결과
세분화된 공격 영향 파악
바이러스 토탈 백신 탐지 결과
Sniper APTX 탐지 결과
Injector 진단
상세분석 진단 : CryptoLocker
카테고리 : Trojan
9
사이버 인질극 랜섬웨어 분석 [랜섬웨어 대응 방안]
2015년 사이버 침해사고 현황
정확한 판단 세분화된 공격 탐지
랜섬웨어 대응
변종 코드 대처
국내 유포중인 유사 CryptoLocker
파일 변화에서
랜섬웨어 유형 탐지
Anti-VM, Time Sleep, Time Trigger
공격, 분석시스템 비정상화 공격 등
무력화
10
사이버 인질극 랜섬웨어 분석 [랜섬웨어 대응 방안]
2015년 사이버 침해사고 현황
정확한 판단
변종 코드 대처
랜섬웨어 대응
세분화된 공격 탐지
-국내 주요 문서 파일
분석 기능
-군/정부 관련
타겟팅 키워드 검사
-암호화 가능한
다양한 종류의 파일 진단 수행
세분화된 타겟팅 공격 탐지가 가능한 다양한 경우의 수 고려
11
사이버 인질극 랜섬웨어 분석 [랜섬웨어 대응 방안]
2015년 사이버 침해사고 현황
이탈리아 해킹팀, 판도라의 상자
12
2015년 7월 이탈리아 해킹팀 자료 유출 다수의 0-day 취약점 지속적인 공개
해당 취약점은 flash를 이용한 local 취약점 웹을 통한 악성코드 유포에 사용
이탈리아 해킹팀 자료 유출로 MS 긴급패치 배포
2015년 사이버 침해사고 현황
Renderer Process - 허가된 자원,함수 이외의 접근 불가 - Broker Process를 통해서만 자원 접근 가능 - 자원 접근 작업은 공유 메모리 버퍼를 통해 전달
Shared Memory - Referer Process와 Broker Process간 통신을 위한 버퍼공간
Broker Process -자원에 대한 접근은 오직 Broker Process만 통해서 가능 -정책에 따라 자원 접근 작업을 Permit 또는 Deny 하기도 한다.
13
이탈리아 해킹팀, 판도라의 상자 [Adobe SandBox 우회]
2015년 사이버 침해사고 현황
글로벌 사이버 범죄 조직을 밝힌다. (국내외 공격조직 분석 발표)
kimsuky
Zeus
Winnti
Ramnit
Energetic Bear
Emissary Panda
Magic Kitten
Numbered Panda
Deadeye Jackal
Icefog
Sykipot
Nigeria Spear-phishing
• Kimsuky – 北해킹그룹,한수원 공격의혹 • Energetic Bear – 정치적 활동,러시아 결탁 • Emissary Panda – 미국에 있는 외국 대사관 타겟, 방위산업과 항공우주,통신분야 공격
• Sykipot – 국내 특정기업및 기관 타겟,중국 해커그룹,스피어피싱
• Ramnit –피해국가는 인도, 인도네시아, 베트남, 방글라데시, 미국, 필리핀 등, 금융 정보, 비밀번호, 쿠키, 개인 파일을 수집
• Winnti – 중국기반, 전 세계 온라인게임 업체 타겟 • Zeus – 다양한 범죄조직이 이를 이용해 은행이나, IT운영 마비 • Icefog – 국내 방위 산업체 타겟, 대한민국,일본 타겟 14
2015년 사이버 침해사고 현황
글로벌 사이버 범죄 조직을 밝힌다. (국내외 공격조직 분석 발표)
그룹 A
• 200여대 이상의 Victim 서버 보유 • 2015년 2월말 잠시 소강 상태였으나, 유포방식과 새로운 유형의 Banker로 활동
• 유포 악성코드 : Banker,DDoS • 한국과 중국,미국 서버를 이용하였으나, 최근 한국서버만을 이용
그룹 C • 2015년 1월부터 3월까지 유포사이트나 악성코드 변화 없음 • 한국 서버 사용 • 유포 악성코드 : Banker
그룹 E
• 50여대 이상의 Victim 서버 보유 • 한국/미국 서버 사용 • 서버 구축 단계로 방문자 통계를 통해 취약점 및 악성코드 유포 예상
그룹 C 유포 악성코드 → Banker:원본 악성코드를 랜덤문자열 디렉토리에 복사하고 추가 파일 다운로드를 시도함(현재 불가), 다운로드 시 hosts 파일 변경 할 것으로 예상
그룹 E 유포 악성코드 → Banker, 본격적으로 악성코드 유포하지 않음
2015년 국내 활동 조직
15
2015년 사이버 침해사고 현황
16
DIY - Agent 생성
监听端口: 리스닝포트 连接上限: 연결제한 Agent 설정 上线地址: 접속주소 端口: 접속 포트 上线标识: 연결 메시지. 增加服务端体积: Agent 파일 사이즈 조절 MD5 수정 기능. 修改一次: 1회 수정 循环修改文件MD5: 주기적 수정
DIY - Agent 연결 상황
공격자의 Master에는 유포후 실행된 Agent리스트를 실시간으로 확인가능 -감염시킨 PC 정보 -IP 정보 -Agent 정보
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
국내 유포 악성코드 → Banker(메모리 변조, 공인 인증서 압축 후 FTP로 탈취,Sleep 이용한 분석 방해 행위 추가) → Banker(행위: DNS 자체 서버로 구성 후 피싱 사이트로 Redirect 됨) → AES DDOS(VERSONEX:시스템정보+Mr.black” 가 포함된 패킷을전송하며 C&C 통신 시작, Flooding 공격 예상) → Banker(행위: potplayer.dll 생성/ DNS 설정 변경 (127.0.0.1)하여 피싱 서버 로 리다이렉트) → Banker(potplayer.dll + syswow32.dll 생성하여 피싱 행위, IE실행 시마다 syswow32.dll을 로드하여 피싱 서버 유도 특이사항: TabProcGrowth = 0으로 설정 (IE에서 실행되는 tab과 frame들이 하나의 프로세스에서 실행되도록 하여 정보탈취를 용이하게 하기 위한 것으로 판단) → Banker(syswow32.dll 생성하여 피싱 행위, IE실행 시마다 syswow32.dll을 로드하여 피싱 서버 유도 특이사항: TabProcGrowth = 0으로 설정 (IE에서 실행되는 tab과 frame들이하나의 프로세스에서 실행되도록 하여 정보탈취를 용이하게 하기위한 것으로 판단) → Banker:Python27.dll 파일을 이용하는 Banker,Vlmshlp.dll , syswow32.dll 파일 두개를 생성하여 이용하는 Banker,핀터레스트를 이용하는 Banker, 호스트파일 변조형 Banker
공인인증서 탈취 C&C 전송 DNS 설정 변경 후 악성코드에 의한 자체 DNS 서버 사용
Internet Explorer 시작페이지 변경
감염시스템 Count 전송
감염시스템 MAC 유출
17
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
공격자들은 Exploit Kit을 이용하여 다수의 웹사이트에 취약점을 삽입하고 패턴화된 난독화 스크립트를 삽입한다.
Rig Exploit
Kit
• PHP로 난독화 되어 있어 코드 분석이 어려움
• 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인
CK VIP Exploit Kit
• 2012년부터 최근까지 활발하게 악성코드 유포에 사용되는 Exploit Kit
• Java,Flash,IE 취약점을 이용하여 악성코드 유포
19
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
Gongda Android
Exploit Kit
• PHP로 난독화 되어 있어 코드 분석이 어려움
• 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인
기존 Gongda Exploit에 APK 다운로드 Script 추가
사용자 환경이 PC일 경우와 Moblie일 경우를 구분
실제 악성앱 유포 사이트 9시간동안 9340건 다운로드 카운팅
20
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
21
“Master Key” 취약점 CVE-2013-4787(Android security bug 8219321)
정상 악성
Put Method는 Hashmap Table 구성시 동일한 키(파일명)를 가지고 있을 경우 Overwrite
Certification 우회
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
“Master Key” 취약점 CVE-2013-4787(Android security bug 8219321)
개인정보 유출
비밀번호 유출
실제 유포되어 피해가 발생한 뱅킹 위장 악성코드
22
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
“Master Key” 취약점 CVE-2013-4787(Android security bug 8219321)
보안카드 정보 유출
23
글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]
2015년 사이버 침해사고 현황
예방과 대응방안
Next Generation 보안
•어플리케이션/시스템 버전 관리 -OS 보안 자동 업데이트 관리 -어플리케이션 보안 자동 업데이트 관리 -불필요한 어플리케이션 삭제 -보안 프로그램 자동 업데이트 관리 -서비스 관리자의 주기적인 시스템 점검
•정기적인 정보보안 교육 실시 - 사내에서 업무와 무관한 사이트 접속 자제 - 확인되지 않은 메일의 첨부파일 열람 금지 - USB, Flash메모리 등 개인 메모리 장치 사내 사용 금지 - 업무용과 개인용 사용구간을 정확히 분리 운영 -이상 징후 발견시 즉각적인 신고 - 수료/미수료, Pass/Fail 방식의 적극적인 교육 실시
즉각적인 보안업데이트만으로 해킹 공격의 99% 방어
24
25
최근 매년 새로이 발견되는 Exploit Kit 건수 – 20~30여건 최근 매년 새로이 발견되는 취약점 건수 – 8000~9000여건
취약점 대비 대응 패턴 비율 30~40%
- 네트워크장비, 서버에 대한 지속적인 보안 강화로 직접적인 공격의 어려움 - 시그니쳐 기반의 장비에 대한 공격 우회 기술 발전 - 여전히 취약한 클라이언트 보안 - 해킹 그룹의 대규모화, 세력화
- 다양해진 개인용 스마트 기기의 폭발적 증가 - 국내 IT 환경 특성상 과도한 개인정보 저장 - 서비스 공격에서 -> 정보 유출로 공격 방향 전환 - 고도화된 편의 시스템, 관리 시스템으로 다양한 어플리케이션 활용
예방과 대응방안
Next Generation 보안
예방과 대응방안
27
정보의 수집 -> 정보의 처리
1. 사이트 정책 최적화
3. 빅데이터 처리, 차세대 보안 기술 확보
2. 보안 솔루션 -> 보안 컨텐츠
Next Generation 보안
대응 규모의 한계
• 사이트별 보안 대응 시스템의 한계
• 국내외 해킹 공격에 대한 대응 필요
사이트 내부 보안 시스템 + 중앙 집중적 해킹 대응시스템 연계 필요 -> 예상 가능한 공격에 대한 선제 대응 필요 (국내외 해킹동향 자료 필요)
예방과 대응방안
BOT을 이용한 공격 양상
다양한 Local 취약점(MS-Office,Adobe,HWP,Windows,Linux등)을 사용한 공격
알려지지 않은 신규 취약점, 유포지, 경유지, 악성코드 대응 필요
IPS 탐지 영역 APT 탐지 영역
28
Next Generation 보안
로컬 기반 취약점 대응
필요
• IPS는 패킷기반 분석시스템으로 로컬기반 취약점 대응에 한계
• APT 전용 대응 시스템 필요
로컬 기반 취약점은 동적 분석 기법 필요 다양한 어플리케이션에 대한 지원 필요 국내 환경에 맞는 분석 시스템
예방과 대응방안
29
알려지지 않은 공격 대응
• Signature 기반의 보안장비의 한계로 새로운 유형의 공격에 대한 대응이 어려움
• APT 공격은 행위분석을 통해 새로운 유형의 공격도 탐지가 가능
탐지 패턴의 상관분석, 전문사의 수동 분석 등 추가적인 분석을 통해서만 확인 가능
Bot,악성코드에 대한 대응은 Anti-Virus(백신)에 의존 관리의 어려움, 전체 사이트 관리에 부적합, 시그니쳐 기반 백신의 한계
Bot 대응 필요 • IPS에서는 BOT은 클라이언트 설치 후 발생하는 트래픽 탐지만 가능
• BOT의 통신 트래픽 차단이 아닌 시스템에 Bot의 설치 자체를 방어해야…
Next Generation 보안
동적 분석 방식의 탐지 기술 개발
신규 취약점 악성코드 연구
탐지 회피 기술 무력화
공격 트랜드 파악
최신 공격 패턴 업데이트
네트워크 솔루션에 적용될 컨텐츠를 벤더에서 직접 연구하여 솔루션 성능 향상 도모
해킹 트랜드 파악 주요 기관/기업 모니터링
패턴 기반 탐지 한계 동적 행위를 기준으로 악성 판단 기술 개발
최신 트랜드의 취약점,악성코드 패턴 지속적 업데이트
여러 탐지 회피 기술 무력화 (난독화스크립트, 리다이렉트, Anti-VM, 버전호환성문제등)
30
예방과 대응방안
Next Generation 보안
동적 분석 방식의 탐지 기술 개발
신규 취약점 악성코드 연구
탐지 회피 기술 무력화
공격 트랜드 파악
최신 공격 패턴 업데이트
취약점 도움말 CVE DB Exploit DB
31
예방과 대응방안
Next Generation 보안
동적 분석 방식의 탐지 기술 개발
탐지 회피 기술 무력화
최신 공격 패턴 업데이트
공격 트랜드 파악
신규 취약점 /악성코드 연구
홈페이지 위변조 탐지 악성코드 유포지 DB 사용자 업로드 데이터 분석
32
예방과 대응방안
Next Generation 보안
탐지 회피 기술 무력화
최신 공격 패턴 업데이트
신규 취약점 /악성코드 연구
동적 분석 방식의 탐지 기술 개발
공격 트랜드 파악
웹쉘 삽입 탐지
국가 기관 ISP
보안벤더
국가
기업
공공
개인 웹 악성코드 삽입 탐지
33
예방과 대응방안
Next Generation 보안
동적 분석 방식의 탐지 기술 개발
탐지 회피 기술 무력화
신규 취약점 /악성코드 연구
최신 공격 패턴 업데이트
공격 트랜드 파악
34
예방과 대응방안
Next Generation 보안
동적 분석 방식의 탐지 기술 개발
신규 취약점 /악성코드 연구
탐지 회피 기술 무력화
공격 트랜드 파악
최신 공격 패턴 업데이트
난독화 스크립트
버전 호환성 문제
Anti-VM
• 동적 행위 분석 기법으로 난독화된 스크립트의 복호화 과정 없이 분석 가능
• VM환경 판단 근거 제거(레지스트리, Device, 파일시스템 구조, 네트워크 등)
• 사용자 선택 가능한 다양한 VM 환경 구축 (XP,7,x86,x64,IE8,IE9,ie10,Adobe1.6, Adobe1.7,MS-Office 2007,2010, HWP2007,2010등)
35
예방과 대응방안
Next Generation 보안
Top Related