선제방어 및 차단이 가능한 - CYBERSECURITY SUMMIT

선제방어 및 차단이 가능한 차세대 APT 솔루션

김범수 Palo Alto Networks

2017년 7대 사이버 공격 전망

랜섬웨어 침해현황 > 대표 경로 ü Phishing Email의 첨부파일 ü 포털사이트의 팝업광고 사용 감염

랜섬웨어 침해현황 > 글로벌

발췌: http://www.cyberthreatalliance.org/cryptowall-report.pdf

ü  Cyptowall 4.0 경우 7,194,840건을 감염 시도가 있었고 36,118건을 피해자 발생 ü  18million (한화 약200억)의 피해 발생 후 Locky와 Cerber 변종으로 전환

랜섬웨어 침해현황 > Cryptowall

발췌: http://autofocus.paloaltonetworks.com

랜섬웨어 침해현황 > Locky


랜섬웨어 침해현황 > Cerber


랜섬웨어 침해현황 > CryptXXX


APT , 도전과제

도전과제1 > APT 탐지 범위?

회사내 유입되는 모든 트래픽 HTTP / SMTP / POP3 / IMAP / FTP / SMB (파일전송 앱)

SSL Forward/Inbound (암호화 트래픽) 1~65,535 port (Non standard port)

사내 존재하는 모든 단말을 대상

도전과제2 > APT 대응 범위?

Detection & Protection 의심되는 Unknown malware는 자동으로 탐지 후 차단

할수 있어야 한다. 랜섬웨어 파일, C2접속, 멀웨어URL

APT 선제방어 전략


OVER THE NETWORK Infection vectors like web and email

SAAS-BASED APPLICATIONS File-sharing applications

DIRECTLY TO THE ENDPOINT Off-premise or targeted attack

Attack vectors


공격의 유입 경로를 최소화 시킴

1 알려진 위협에 대한 차단 실행

2 알려지지 않은 위협에 대한 인지와 차단 실행

3

알려지지 않은 위협을 인지 하여 알려진 위협으로 인지 및 차단 실행 과정을 자동으로 반복 수행

이러한 사이클을 통해 새로운 차단 시그니처가 지속적으로 생성 되어 선제 방어 수행


네트워크 전반에 흐르는 트래픽에 대한 가시성 확보 와 Unknown traffic 을차단 1 애플리케이션별 정책 과 사용자 기반 정책 적용 2 악성 코드와 실행 파일등 위험요소 첨부 파일을 차단 3

4 사용자 PC 와 서버등의 Endpoint 영역 보안 정책 적용

공격의 유입 경로를 최소화!

네트워크의 가시성을 확보 하여 공격의 유입 경로를 최소화


알려진 위협에 대한 차단

알려진 위협을 차단!

알려진 익스플로잇, 멜웨어, C&C 통신 차단 1 악성코드 배포 사이트와 피싱 사이트 로의 접근 차단 2 SaaS 기반 애플리케이션에 대한 알려진 맬웨어 스캐닝 3

4 엔드포인트 영역에서 알려진 멜웨어와 익스플로잇 차단


알려지지 않은 위협 차단

알려지지 않은 위협을 탐지와 차단!

파일과 URL 기반 알려지지 않은 위협에 대한 분석 과 탐지 1 알려지지 않은 위협에 대한 탐지를 통해 조직 전반에 걸친 프로텍션 업데이트 수행 2 알려지지 않은 위협에 대한 탐지 수행 후 차단 시그니쳐 제공을 통해 선제 차단 수행 3

4 엔드포인트 영역에서도 알려지지 않은 맬웨어와 익스프로잇 차단


차세대 방화벽(NGFW)

(WildFireAutoFocus)

Traps

랜섬웨어 attack life cycle 전부분 대상 Prevention 전략.

App-ID

URL

IPS

Spyware

AV

WildFire

고위험 애플리케이션!차단!

알려진 멀웨어!사이트 차단!

위협(Exploit) 차단!

알려지지않은 (0-Day) !멀웨어 차단!

멀웨어 차단!자동다운로드 차단!(Drive by Download)!

감염 유도 감염 백도어 접근 및 설치

은닉채널생성

탐색, 탈취파괴

스파이웨어, C&C !트래픽 차단!

비표준 포트를 사용하는 !C&C 트래픽 차단!

Block malware, fast-flux domains!

새로운 C&C 트래픽 차단

애플리케이션 인식, !시그니처 매칭, !행동기반분석 !등 다양한 기술을 !동원하여 !유기적인 보안을 !구현하는 것이 중요!

APT 선제방어 전략 클라우드�기반의�Threat�DB�

§ 네트워크와�Endpoint에서의�모든�Threat�정보를�DB화�

§ 상관관계�분석/정규화를�통한�효율적인�제어�

§ 클라우드�기반의�실시간�Threat�DB�배포�

차세대�방화벽�

§ APP-ID,�User-ID,�Contents�§ 알려진�공격의�차단�§ 알려지지�않은�공격은�Cloud를�통해서�행동기반탐지�및�차단�

§ 가상화�및�Mobile�환경�

§ 모든�프로세서와�파일들의�이상징후�판단�

§ 단말�기반의�각종�행위를�통제�§ 클라우드와�실시간�연동�

차세대�Endpoint�보안�

APT 선제방어 아키텍처


차세대 보안 플랫폼

WF-500 어플라이언스 (프라이빗 클라우드)

WildFireTM

(퍼블릭 클라우드)

AV Signatures

DNS Signatures

Malware URL

Filtering Anti-C&C Signatures

9,000+ 고객 (분기별1,000증가) 55+ 외부 협력

파일

웹서버 (HTTP/HTTPS)

메일서버 (SMTP/IMAP

/POP)

파일 서버 (FTP)

사용자

TP URL

WF Known

Unknown

파일

방어 패턴 EXE,DLL ZIP, PDF,

Office documents Java, Android APK Adobe Flash files,

Email Link 파일

방어 패턴(AV,DNS,URL)

(옵션) 멀웨어 파일 방어 패턴

APT선제방어 아키텍처


No Hash/File name

NAME VARIANTS

Virus/Win32.rungbu.a 331,289

Trojan/Win32.vilsel.udt 307,693

Virus/Win32.dloadr.a 270,209

Trojan/Win32.vilsel.ex 228,236

Email-Worm/Win32.mydoom.guci 226,707

NAME VARIANTS

Virus/Win32.sillydl.e 213,462

Virus/Win32.sality.acctr 167,269

Virus/Win32.sality.acekk 164,343

Virus/Win32.sality.accwy 158,113

Virus/Win32.autoit.a 153,108

Signature Base


} WF AV & DNS IN 5 MINUTES

} URL IN 30 MINUTES

} TP AV & DNS DAILY

} TP C2/IPS WEEKLY

인텔리전스 패턴 배포 속도


120+ NEW AV SIGNATURES EVERY 5 MINUTES




150+ NEW DNS SIGNATURES EVERY 5 MINUTES

APT 선제방어 전략 > Delivery

Delivery

Exploitation

Command & Control

Installation

X X

X

DNS Sig.

AppID DefPort

URL Filtering

DNS REQ: fickidatse.com

TCP SYN: Port 8080

HTTP GET: fickidatse.com

APT 선제방어 전략 > Exploitation

Delivery

Exploitation

Command & Control

Installation

X X

X

X X

X

DNS Sig.

AppID DefPort

URL Filtering

AV Sig.

IPS Sig.

AV Sig.

HTTP Resp: java.jar

HTTP Resp: #exploit#

HTTP Resp: #meterpreter#

APT 선제방어 전략 > Command & Control

Delivery

Exploitation

Command & Control

Installation

X X

X

X X

X

X

DNS Sig.

AppID DefPort

URL Filtering

AV Sig.

IPS Sig.

AV Sig.

AppID unknown

TCP Payload: #unknown#

X X

APT 선제방어 전략 > Installation

Delivery

Exploitation

Command & Control

Installation

X X

X

X X

X

X

DNS Sig.

AppID DefPort

URL Filtering

AV Sig.

IPS Sig.

AV Sig.

WildFire Analysis

AppID unknown

X

HTTPS Resp: correos-es.exe

APT 선제방어 전략 > APT Prevention

Delivery

Exploitation

Command & Control

Installation

X X

X

X X

X

X

DNS Sig.

AppID DefPort

URL Filtering

AV Sig.

IPS Sig.

AV Sig.

WildFire Analysis

AppID unknown

X

APT 진단 사례

APT 진단사례

q  SLR(Security Lifecycle Review) 이란? §  팔로알토네트웍스 플랫폼 데모를 통하여 “애플리케이션 가시성과 보안 리스크”를 무료로 분석해주는 서비스.

§  TAP또는 In-line모드로 서비스 영향과 네트워크 구성변경 없이 모든 보안기능을 적용한 상태에서 분석 후 보고서를 제공.

q  대상기업 §  랜섬웨어가 발생하였거나 의심되는 기업. §  사용 애플리케이션과 멀웨어 및 취약성 분석을 원하시는 기업 §  기존 보안 제품으로는 제어가 어렵게 느껴지는 기업.

q  방어기능 §  알려진 공격 차단 (Anti-Virus, IPS, Anti-Spyware) §  알려지지않은 공격 차단 (Wildfire, APT 분석) §  악성 URL 차단 (Phishing/Malware Cat.) §  C&C DNS Sinkhole §  위험한 국가, 위험한 파일타입 제어 §  자동 차단 리스트(dynamic block list) 사용

APT 진단사례

q  Anti-Virus : Malware 파일 전송 차단

q  IPS : 취약점 및 공격행위 차단

q  Anti-Spyware : C&C와 통신 및 DNS 조회 차단

APT 진단사례

q  WildFire : 샌드박스 분석 및 차단

APT 진단사례

q  멀웨어/피싱 카테고리 차단과 더불어 DDNS/해킹/위험 카테고리 확인 페이지 설정

URL Filter 프로파일 - 맬웨어 유포 URL 차단 - C&C 서버 URL 차단

APT 진단사례

q  외부 차단 리스트 연동

APT 진단사례

q  랜섬웨어 진단 결과 : 랜섬웨어 C&C통신 탐지 및 감염 호스트 확인.

Cryptowall Exploit Kit Source address Destination address

ANGLER Exploit Kit Detection(7건)

191.96.66.117 10.xxx.xxx.x21

78.24.221.102 10.xxx.xxx.x32

191.96.66.112 10.xxx.xxx.x24

86.107.42.148 10.xxx.xxx.x53

86.107.42.148 10.xxx.xxx.x22

86.107.42.138 10.xxx.xxx.x24

86.107.42.138 10.xxx.xxx.x81

RIG Exploit Kit Detection(6건)

10.xxx.xxx.x46 46.30.46.146

10.xxx.xxx.x79 46.30.43.173

10.xxx.xxx108 46.30.42.129

C&C URL :467,526건 차단 Exploit Kit :13건 차단

감사합니다.

Documents

선제방어 및 차단이 가능한 - CYBERSECURITY SUMMIT