- 사이버 공격자들, 레드팀 도구 EDRSilencer를 활용해 악성 행위를 숨기는 중 - EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
내용
- EDRSilencer > 오픈소스로, Windows Filtering Platform(WFP)을 활용해 엔드포인트 탐지 및 대응(EDR) 솔루션들을 무력화시키도록 설계된 공격 도구 ⒜ Github에 공개된 무료 도구로, 레드팀 훈련에 필요한 일부 기능을 제공 ⒝ MDSec의 NightHawk FireBlock 도구 에서 영감을 받아 만들어짐 ⒞ WFP(Windows Filtering Platform)를 사용하여 실행 중인 EDR 프로세스의 아웃바운드 트래픽을 차단하도록 설계 ⒟ Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, Trend Micro의 EDR 제품과 관련된 다양한 프로세스 종료를 지원
> 명령줄 인터페이스를 가지고 있으며, 다음 기능을 제공 ⒜ blockedr : 감지된 모든 EDR 프로세스의 트래픽을 자동으로 차단 ⒝ block : 특정 프로세스의 경로를 지정해 트래픽 차단 ⒞ unblockall : 도구가 생성한 모든 WFP 필터 제거 ⒟ unblock : 필터 ID를 지정해 특정 WFP 필터 제거
- 공격자들이 EDRSilencer를 악용해 공격에 사용중 > EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용 > 실행 중인 EDR 프로세스를 동적으로 식별하고 지속적인 WFP 필터를 생성하여 IPv4 및 IPv6에서 모두 아웃바운드 네트워크 통신을 차단함으로써 보안 소프트웨어가 관리 콘솔로 원격 측정 데이터를 전송하지 못하도록 WFP를 활용
> 공격순서 ⒜ EDR 관련 프로세스 수집 및 목록화 : 실행되고 있는 EDR 제품 관련 프로세스 스캔 후 목록을 작성 ⒝ blockedr(또는 block) 명령으로 탐지된 프로세스 트래픽 차단 ⒞ WFP 필터 구성 : 필터들은 지속적으로 생성 및 설정되기 때문에 시스템 재부팅 이후 유지 ⒟ 해당 프로세스의 아웃바운드 트래픽을 억제
- 대응방안 > 여러 층위의 안전 장치 마련 > 미리 방비하는 능동적인 자세 > 망분리와 심층 방어 > 행동 분석 기반 탐지 기능 강화 > 애플리케이션 화이트리스트 처리 > 지속적인 네트워크 모니터링 > 알려진 침해지표 등을 기반으로 한 위협 헌팅 수행 > 강력한 접근 제어 기술 구축 > 최소 권한의 원칙 적용
기타
- 공격자들은 여러 EDR 무력화 도구를 사용 > AuKill, EDRKillShifter, TrueSightKiller, GhostDriver, Terminator 등 > 취약한 드라이버를 악용해 권한 확대 및 보안 관련 프로세스 종료
- WFP (윈도 필터링 플랫폼, Windows Filtering Platform) > 네트워크 필터링과 보안 애플리케이션을 만드는 데 사용되는 강력한 프레임워크 > 개발자들이 IP 주소, 포트, 프로토콜, 애플리케이션 등 다양한 기준에 따라 네트워크 트래픽을 모니터링, 차단, 수정하는 맞춤형 규칙을 정의할 수 있게 API를 제공 > 방화벽, 백신 소프트웨어 등 다양한 보안 솔루션에서 활용
- 기업체 임직원 계정 해킹 후 모니터링을 통해 대금 변경 메일 등을 발송하며, 일명 나이지리아 스캠으로도 불림
> 2018년 이후 감소 추세를 보이며, 이는 In-Put 대비 낮은 Out-Put 때문임
- 해킹(스피어 피싱 등) > 모니터링 > 메일 발송 확인(기업체 간 정상 거래 메일) > 계좌 변경 등 악성 메일 발송 > 자금 세탁
> 기업체 간 정생 거래 메일 송수신이 확인될 경우 계좌, 거래 대금 등을 변경한 메일을 전송
- 발신자 확인, 출처가 불분명한 파일 다운 금지, 최신 업데이트 적용 등을 통해 예방
2. 2024년 상반기 침해사고 피해지원 주요 사례
- 24년 상반기 매월 약 80건(~5월)의 침해사고가 발생
> 해킹 경유지 21%, 문자 무단 발송 12%, 피싱 12%, 랜섬웨어 12%, 웹 취약점 9%, 기타 33%
구분
설명
해킹 경유지
- 공격자는 취약하게 운영되는 서버를 통해 타 서버를 침투하거나 악성코드를 배포하는데 활용 - 공격자는 최초 침투 후 정상 사용자로 보이는 계정을 생성해 공격 탐지 회피 시도 > 분석 시 경유지로 사용된 서버의 경우 여러 서버 해킹 흔적 및 성공 흔적을 확인할 수 있었음
문자 무단 발송
- 문자 발송이 가능한 취약한 웹 페이지를 통해 해당 서버에 저장된 개인정보를 활용하여 문자 무단 발송 - 문자 발송 시 해당 서버에 저장된 개인정보와 이미 보유한 개인정보를 활용해 불특정 다수에게 전송 - 문자 무단 발송을 위한 자체 악성 페이지를 개발하여 활용 > 1천 건 ~ 5만 건에 이르기까지 다양하게 발송 > 불법 사이트 홍보를 위한 문자가 주를 이룸
피싱
- 취약하게 관리되고 있는 웹 페이지를 통해 자격증명 탈취 후 소스코드에 스크립트를 추가 및 수정하여 팝업 창이 실행되도록 함 - 다른 공격과 달리 주요 정보를 입력하도록 유도하며, 공격자 서버로 데이터가 전송되도록 설계 > 정상적인 서비스와 구분이 어려움 > 주요 정보: 계좌, 개인정보, ID/PW 등
랜섬웨어
- 주요 침투 경로는 이메일, 부주의에 의한 파일 다운로드, 시스템 취약점, 자격증명 유출/탈취 등 - 주로 DB 서버 또는 웹 서버, NAS가 랜섬웨어에 감염 - 윈도우 정상 서비스 BitLocker 기능을 통해 암호화 수행하기도 함 > 복구를 빌미로 금전을 요구
웹 취약점
- 관리자 페이지 노출 및 자격증명 탈취를 통한 웹쉘 업로드, 취약한 웹 에디터 사용, 파일 업로드 검증 프로세스 누락으로 대부분 발생 - 웹 서버에 웹쉘이 업로드 될 경우 커맨드 라인 또는 원격에서 파일 수정 및 생성으로 악성 파일 업로드 가능 > 이후 시스템의 주요 정보를 외부로 유출하거나 삭제 등 악성 행위 수행
- 대부분의 피해 업종은 중소기업으로 보안 인력과 보안 솔루션을 구비하는데 어려움 존재
> 대부분 외부 호스팅 업체에 위탁하거나, 자체 개발 인력을 통해 운영 중
> 따라서, 업체 규모 및 운영 상황에 맞춰 쉽게 대응할 수 있는 방안이 필요
구분
설명
일반적인 대응방안
- 관리자 페이지 접근 제어 강화 - 관리자 계정 관리(비밀번호, 변경 주기 등) - 사용중인 웹 에디터 점검(취약여부) - 의심스러운 메일 열람 금지(악성코드 실행) - SSH, FTP 사용 시 접근제어 설정 강화 - DB 서버 접근제어 설정 강화 - 물리적으로 분리된 저장매체에 주기적 데이터 백업 - 단말기에 저장된 자격증명 점검
오픈소스 활용
- 오픈소스 기반 및 쉽게 설치할 수 있는 솔루션 활용
- Web: ModSecurity를 통한 웹 취약점 대응 > 오픈 소스 기반 > 실시간 웹 애플리케이션 보호 > 포괄적인 트래픽 로깅 > 다양한 웹 서버 지원 > 광범위한 공격 패턴 탐지
- System: Sysmon을 통한 로깅 강화 > MS에서 제공하는 로그 강화 솔루션 > 프로세스 생성 및 종료 모니터링 > 파일 생성 시간 변경 > 파일 생성 및 삭제 모니터링 > 네트워크 연결 모니터링 > 레지스트리 이벤트 모니터링 > DLL 로드 모니터링 > WMI 이벤트 모니터링 > 상세한 이벤트 로깅
- Network: Wazuh를 통한 접근제어 강화 > 로그 데이터 수집 및 분석 > 침입 탐지 시스템(IDS) > 규정 준수 감사 > 취약성 탐지 > 파일 무결성 모니터링(FIM, File Integrity Monitoring)
3. AI 기반의 악성 URL 탐지 방법 및 기술
- PhaaS(Phishing-as-a-Service) 기법 확산으로 인한 피싱, 스미싱 공격자의 대중화
> 피싱을 대행해주는 집단으로 피싱에 필요한 모든 프로세스를 단계별로 세분화해 의뢰자의 요구에 따라 구독기반으로 제공 (Ex. Caffeine)
> 타이포스쿼딩, 특정 타겟 대상, 사용자 흥미/취미 이용 등
- 피싱 URL의 짧은 생명주기로 인해 대응하는데 어려움 존재
> AI 이용 컨텐츠 추출, 이미지 캡쳐 등을 이용한 URL 분석 서비스 Askurl
4. 해킹사고 여부 원클릭으로 확인하는 '해킹진단도구'
- 보안이 취약한 영세, 중소 기업들은 인력 및 예산 부족으로 해킹 피해 인지가 어려움
> KISA, 침해사고 조사기법을 적용해 사전 탐지할 수 있도록 원클릭으로 해킹 여부를 진단하는 도구 개발
> 탐지 룰은 MITRE ATT&CK의 전술과 기법을 활용하여 개발
> 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스 > 해킹진단도구를 통해 서비스 신청 가능
- 기업 스스로 초기에 해킹 여부를 진단 할 수 있도록 함
기능
설명
수집
- 침해사고 증거데이터 자동 수집 > 기업 운영 시스템 內 다양한 증거 데이터를 원클릭으로 수집 > 원격접속기록, 프로그램 설치 및 실행, 계정 생성, 시작 프로그램 등록, 로그 삭제, 백신탐지기록 등
진단
- 수집된 로그 등에 대해 해킹여부 탐지룰 기반 분석, 진단 > 비정상적으로 생성된 사용(관리자) 탐지 > 원격 관리도구 설치 여부 분석 > 윈도우 시스템 이벤트 로그 삭제 여부 > 비정상 IP로 원격관리프로그램(RDP) 접속 여부 분석
결과
- 분석 결과 리포팅 > 사용자가 시스템의 해킹여부를 직관적으로 판단할 수 있도록 3단계(심각: 빨강, 위험: 주황, 정상: 녹색) 결과 제공 > 담당자가 쉽게 이해할 수 있는 점검결과 보고서 제공 > 분석결과에 따라 침해사고 신고 자동 안내
5. 침해사고 조사 및 대응 절차
- 침해사고 대응역량 향상을 위한 제언
구분
설명
상급/지원 조직
채증 도구, 절차/가이드 개발 및 배포, 현장 방문 지원, 중앙집중화 서비스 제공 등
인력/예산
전담인력 확충, 정보보호 장비 예산 할당
관리체계 구축
정보보호에 대한 따른 기술적, 물리적, 관리적 보호 체계 확립
주기적인 보안점검 지원
국정원 실태평가, 국방부 중앙보안감사, 사이버보안 기관평가 사례
조직 자체 대응 방안 수립
조치 담당자(역할-책임), 초기 대응(네트워크 차단, 채증, 신고 조직 등) 절차 수립
6. 최근 사이버공격 트랜드와 예방전략
- AI를 통해 예측할 수 없는 공격 시나리오 구성
> 특정 대상을 타겟팅하여 AI를 통해 짜여진 시나리오대로 다양한 방식으로 공격 수행
> CaaS(Crime-as-a-Service)가 23년 이후의 최신 트렌드로 자리매김
※ CaaS(Crime-as-a-Service): 사이버 범죄 조직이 직접 개발, 판매, 유통, 마케팅까지 하는 종합적 공격 서비스
- 조직 내 침해사고 발생 주요 원인: 가장 큰 비중은 의심스러운 메일, 사이트, 파일 실행
구분
설명
의심스러운 메일
- 피싱 URL이 삽입된 메일을 전송해 계정 정보 입력을 유도 및 탈취 - 메일 제목 확인, 계정 정보 입력 시 계정 정보 변경, 첨부파일 실행 시 랜선 제거 등 조치
의심스러운 사이트
- 취약한 사이트에 악성코드 삽입 후 사용자가 해당 사이트 접근 시 악성코드 감염 - 크롬 또는 엣지 브라우저 사용, 랜섬웨어 감염 시 랜선 제거 등 조치
의심스러운 파일
- 악성코드가 삽입된 파일을 첨부한 메일을 전송 및 사용자 실행 시 악성코드 감염 - 숨김 파일 및 파일 확장자 모두 표시, 파일명/확장자/아이콘이 이상할 경우 실행 금지 등 조치
- AV, EPP, EDR 간단한 설명
> EDR은 앤드포인트에서 다양한 정보를 수집하여 직관적인 가시성을 제공하고, 이를 기반으로 행위분석 및 AI/ML을 활용하여 알려진 및 알려지지 않은 위협을 탐지 및 대응하는 솔루션
구분
설명
AV (Anti-Virus)
- 단순 시그니처 매핑을 통한 악성파일 탐지
EPP (Endpoin Protection Platform)
- 시그니처 매핑 + 단순 프로세스 동작 분석을 통한 악성파일 탐지
EDR (Endpoint Detection&Response)
- 단말 장치의 행위를 종합적으로 분석하여 악성파일을 탐지하고, 단말 장치의 모든 활동 기록을 분석하고 검색함으로써 보안 위협을 식별