변하지않는보안전략 FireEye 제품을이렇게사용한다fireeyeday.com/event/pdf/T2_2.CyberDefenseLive2018.pdf기반공격탐지를위한상관관계분석엔진 L7 메타데이터정보제공

변하지않는보안전략? FireEye 제품을이렇게사용한다.

홍세진수석컨설턴트

FireEye Korea

5 April, 2018

: 네트워크 APT, 이메일 APT와연동을통해컨텍스트기반탐지와보안가시성확보전략

© 2018 FireEye | Private & Confidential

Security Gap | 고도화된사이버위협과탐지/대응의어려움

2

보안패러다임의변화, 지속적인 IT 환경의변화에따른고도화된 APT 위협증가

On Premise

중요한데이터 및비즈니스자산을보호하기위해다양한구간에대한보호전략필요

IoT

Mobile

Big Data&AI

Social

스마트오피스기반원격근무환경으로변화

Cloud

서비스는클라우드기반으로넘어가고있는추세

Mixed Environment(BYOD)


Security Gap | 지능적인 APT 시나리오공격에대한가시성확보필요성

3

제로데이공격, 랜섬웨어그리고다양한전달/우회기법을이용하는멀티벡터기반고도화된 APT 공격증가

초기침투2정찰1 거점확보3 권한상승4 내부정찰5

내부확산6연결유지7

목적달성8

대응기준

• SMB 포트를이용한악성코드업로드• 원격으로파일전송• 휴지통폴더이용

• AT 원격스케쥴러서비스• PsExec사용• Windows WMI 원격쉘실행

• DNS Zone 트랜스퍼• 사용자디렉터리목록화• 원격사용자/공유폴더확인

• Mimikatz바이너리전송• Mimikatz사용흔적• Windows Credential Editor 바이너리전송

• 악성코드다운로드 C&C

• ADMIN$ 또는 C$에서일반적이지않은파일의전송

외부영역 내부영역

• 정보수집및프로파일링• 네트워크, 애플케이션정보수집• 원격접속식별

• 스피어피싱이메일• 멀티플로우익스플로잇


Security Gap | 지능적인 APT 시나리오공격에대한대응한계

4

54% 기업은 1번이상해킹피해로데이터유출또는내부시스템피해경험

더나은보안가시성확보와효율적인대응방안필요

Source : The majority of successful attacks are now fileless. - The Ponemon Institute

공격자공격대상자

권한상승및 내부확산(Lateral Movement)

디렉토리서버

데이터베이스

Exploit/악성코드C&C Callback 시도

시스템명령어(PxExec, WMIC),

SMB 취약점 공격

데이터유출

방화벽 IPS/IDS UTM DLP

이메일게이트웨이

SIEM

암호화된공격및암호화된데이터유출

멀웨어사용안함

백신

이메일트래픽아님

데이터소스가부족한경우

5

공격의시작!

웹(Web)을이용한공격FireEyeNetwork Security


웹기반공격대응 | APT 위협탐지극대화를위한컨텍스트기반탐지/차단

6

익스플로잇(Exploit)과악성코드배포를위해다양한우회기법과멀티플로우기반공격

정상웹페이지

공격대상자

암호화된악성파일다운로드 2

감염된사용자PC 통제를위해준비된C&C서버와통신을통한정보침해행위

3

익스플로잇단계정상페이지접속

1

랜딩페이지

익스플로잇페이지

악성코드배포서버

콜백(C&C)서버

멀티플로우(Multi Flow) 기반익스플로잇실행및악성코드배포과정

해킹(익스플로잇삽입)

공격대상선정후 APT 시나리오기반공격



7


내부확산연결유지

내부정찰권한상승정찰 초기침투 거점확보 목적달성1 2 3 4 5

67

5

대응기준

• SMB 포트를이용한악성코드업로드• 원격으로파일전송• 휴지통폴더이용

• AT 원격스케쥴러서비스• PsExec사용• Windows WMI 원격쉘실행

• DNS Zone 트랜스퍼• 사용자디렉터리목록화• 원격사용자/공유폴더확인

• Mimikatz바이너리전송• Mimikatz사용흔적• Windows Credential Editor 바이너리전송

• 악성코드다운로드 C&C

• ADMIN$ 또는 C$에서일반적이지않은파일의전송발생

외부영역 내부영역

• 정보수집및프로파일링• 네트워크, 애플케이션정보수집• 원격접속식별

• 스피어피싱이메일• 멀티플로우익스플로잇 SmartVision 엔진

상관관계분석MVX동적분석



8


IPS+ Riskware

MVX

{API}Orchestration

Integration

Unknown

Known• FUME(FireEye Unified Multiflow) 엔진

• 멀티플로우탐지기능과파일탐지기능의효과적인벨런싱을통해최근 Exploit KIT과

같은멀티공격기법에대해상호연관(correlation) 기법을통해탐지엔진

• 탐지성능개선된 IPS/IDS 모듈제공• OS, Application 취약점에대한알려진공격위협탐지, MVX 엔진검증

• 기본제공기능으로, 추가적인 IPS 라이선스구입필요없음

• 최대 5,000 개의사용자 IPS 룰지원

• Mac OSX 및Windows 등멀티 OS 환경지원

초기침투및거점확보

자체기술력MVX 동적분석기술 - Multi Layered, Multi-Vector, Multi-Flow 공격대응엔진



9

SmartVision엔진 - Full Attack Life Cycle 기반지능형 APT 공격대응위한고급상관관계분석엔진

권한상승및내부확산과정이후

SmartVision엔진상관관계분석 – Attack Life Cycle 기준대응을위한 NX 새로운영역으로진화

SmartVision엔진Correlation Engine

NSM/NIDS (Foxd/Suricata)

• L4/L7 Metadata

• Alerts

File extraction

Correlation Rules from DTI

Alerts

Suricata rules/configfrom DTI

MVX

• YARA• AV engine • Similarity• Dynamic

analysis

ICE engine (ML)

L4/L7 Metadata

• Data ex-fil events• (future: Beaconing

events)

BOTT Context

(권한상승및내부확산단계대응을위한120개 이상상관관계룰제공)

• 상관관계분석엔진• 120+ 이상의탐지엔진을통한감염이후에네트워크상에서발생되는

행위들을탐지.

• NX를통해서관문트래픽뿐만아니라 IDC와내부트래픽모니터링

• 고도화된상관관계분석엔진과 Analytic엔진

• SMB와 SMB 2 프로토콜을이용해서전송되는실행파일에대한분석및탐지제공

• 머신러닝기반의데이터유출탐지제공



10




• Remote Task Schedule via AT Service

• Remote Service Launch via SVCCTL(Service Control Manager) SMB

• Windows WMI Remote Shell Launch

… 생략 …

• SMB Connection To C$ Hidden Share

• SMB EXE File Write To C$ share

• DLL upload SMB

• Remote PSEXECSVC Binary Transfer SMB

… 생략 …

120+ 이상의네트워크기반의상관관계룰



11


• WMI 원격쉘실행탐지

• SMB2 통해 Admin 계정으로실행파일(EXE) 전송

• SMB2 통해 Admin$로 DLL 파일업로드

• SMB2 통해 PSEXEC 명령어전송활동

랜섬웨어조차…



12




SmartVision엔진 : Pass the Hash 공격탐지결과 (Mimikatz Activity Detected)



13




SmartVision엔진 : SMB 및스케줄(AT) 관련이벤트탐지결과



14




메타데이터및컨텍스트기반이벤트정보



15


공격대상자

공격자

내부망

서버팜

정찰

초기침투

거점확보

권한상승

내부정찰

목적달성

권한상승및 내부확산(Lateral Movement) 시도 탐지

디렉토리서버

데이터베이스

확장: NX센서 + MVX Smart Grid

NX단독

MVX Smart Grid

!

NX(센서모드)

센서모드시처리성능2배상승

MVX Smart Grid 아키텍처 : 탐지성능및확장성확보

Exploit/악성코드유입및C&C Callback 시도탐지

시스템명령어(PxExec, WMIC)

사용및 SMB 취약점공격탐지

데이터유출 시도탐지

알려지지않은공격탐지및동적분석

** 서버구간모니터링할경우, SMB트래픽이외불필요한트래픽은 NX 센서에서필터링처리가능

+

POST Exploit 단계



16



MVX Smart Grid 아키텍처 - FireEye NX확장성및탐지성능개선을제공

SmartVision엔진권한상승및내부확산등 APT Attack Life Cycle

기반공격탐지를위한상관관계분석엔진

L7 메타데이터 정보제공SIEM, Helix 등과같은종합분석시스템에20개타입이상의메타데이터정보제공

URL Analysis*인텔리전스 DB 및휴리스틱기반분석기반악성 URL 탐지 (**FAUDE integration 2018년 1H 예정)

MVX Smart Grid(s)

MVX Smart Grid 구성

통합관리시스템

MVX

A 지사

B 지사

C지사

Sensor

Sensor

Sensor

NX 제품(센서모드)

MVXMVX

17

또다른공격의시작!

이메일을이용한타겟형공격FireEyeEmail Security


이메일기반공격대응 | APT 위협탐지극대화를위한컨텍스트기반탐지/차단

18

이메일기반알려진/알려지지않은 APT 위협, 지능형타켓형공격그리고랜섬웨어위협증가

공격자 타켓형공격대상

이메일공격

• 악성첨부파일및악성 URL• 파일다운로드유도 URL

• URL Redirection기법 • URI 난독화기법 • 악성 URL 추출회피기법(URL HTTP 미사용, PDF 문서내링크)

이메일 APT 공격 -타깃맞춤형이메일공격

C&C 콜백

탐지우회기법



19


Attack Life Cycle 기반이메일 APT 공격대응

동적분석단계메일분석/분류(POSTFIX MAIL DELIVER)

• 첨부파일/URL 포함여부확인

• 첨부파일사이즈체크

• 첨부파일정적분석

• Windows 계열• MAC OSX

MVX 동적분석엔진

• URL 블랙리스트비교• 다운로드링크파일분석• URL Re-direction 분석

URL동적분석엔진

MVX

이메일정책단계

• 이메일차단

• 이메일전송

이메일시큐리티



20


본문내에있는다운로드 URL을다운로드후동적분석

• 메일내용및 PDF 파일동적분석

• PDF 문서내 URL동적분석MVX

1 2

3

악성파일첨부이메일유입 첨부문서및 URL 동적분석

첨부문서및 URL 악성여부분석결과



21


NX + EX 솔루션연동후자동화된이벤트결과제공

NX

MVX

EX

MVX

Technology Intelligence Correlation



22



NX 장비탐지이벤트와상관분석결과제공



23





24

네트워크 APT, 이메일 APT솔루션과연동

대응효율성과보안가시성확보차세대엔드포인트 HX

FireEyeEndpoint Security


엔드포인트대응 | 대응효율성및가시성확보를위한차세대엔드포인트 HX

25

Mandiant M Report | 침해를발견하고조치하는데걸리는시간?

96일 32일

탐지소요

대응소요

침해사고발견및대응시간

40%이상

침해사고조사시발생호스트에서악성코드흔적이없는경우



26

로컬링버퍼(LOCAL RING BUFFER) 아키텍처기반 IOC(Indicators of Compromise) Alerts

User

Kernel

FireEye HX 에이전트

실시간탐지

메모리정보수집

격리

네트워크모니터링

파일모니터링

이미지모니터링

레지스터모니터링

로컬링버퍼

Address NotificationRegistry KeyNetwork EventsImage LoadDNS LookupsProcess EventsFile WriteURL MonitorThreat Matches

Registry Keys1) Changes to Registry Persistence

File Writes2) Changes to File System

Network Activity3) DNS lookups

4) IP Connections

5) URL Events

System Memory6) Changes to Live Memory

로컬캐시아키텍처기반데이터수집



27

로컬링버퍼(LOCAL RING BUFFER) 아키텍처기반 IOC(Indicators of Compromise) Alerts

로컬링버퍼수집정보 - Triage Viewer (타임라인정보포함)

이벤트유형별타임라인정보

사용프로세스정보



28

대응복잡성제거및보안가시성개선을통한지능형위협대응체계성숙도개선

위협대응수준

SECURITY OPERATIONS CENTRE (SOC)

CYBER INCIDENT RESPONSE TEAM (CIRT)

CYBER DEFENSE CENTRE (CDC)

대응성숙도

예방및탐지

조사및대응헌팅및예측

효율적인 Attack Life Cycle 기반 APT 공격대응



29

네트워크, 이메일그리고차세대엔드포인트 APT HX 솔루션연동구성사례

IE 취약점

문서취약점

내부확산 악성코드감염

인증정보불법취득 웹쉘

업로드



30

.

Attack Life Cycle 기반엔드포인트 APT 공격대응

탐지

• NX, EX연동을통한탐지 IOC 룰자동생성

• 맨디언트 IOC 룰업데이트제공

• 알려진위협대응 AV엔진

• 이상행위기반 Exploit 차단엔진

(AV엔진, Exploit 엔진, Intel.기반 IOC 룰)

검증및조사

• 자동화된 Triage 정보수집

• 사용자중심타임라인기반검증및조사

(Triage 뷰어)

(Triage Summary, 전수검사(Enterprise Search))

호스트격리및조치

• 원-클릭호스트격리조치

• Live Response를통한추가데이터수집

• 침해호스트심층분석

• 대응 IOC 룰생성및대응전략수립

(호스트격리, Live Response 데이터수집)

1 2 3



31

알려진/알려지지않은Malware, Zero-day Exploit, Advanced Threat 대응및침해사고분석가능

HX 주요아키텍처

PreventionResponse

알려진위협대응

AV엔진

(행위기반)

알려지지않은위협대응

Exploit

Guard

엔드포인트탐지및대응

EDR(IOC, Hunting)



32

알려진위협과멀웨어(Malware) 탐지를위한 Anti-Virus 엔진 - Anti-Malware Scanning

탐지 (알려진위협탐지 AV엔진, 행위기반위협탐지 Exploit 엔진, Intel.기반 IOC 룰)1

멀웨어탐지

• Viruses

• Ransomware

• Potently Unwanted Apps (PUP)

• Trojans

• 그외다수

파일스캐닝

• 실시간정적파일탐지

• 모든실행파일분석

• 알려진위협탐지를위한 AV엔진



33

알려진위협과멀웨어(Malware) 탐지를위한 Anti-Virus 엔진 - Anti-Malware Scanning


• 알려진위협탐지를위한 AV엔진

• MAL: 백신(AV) 엔진탐지결과



34



• 행위기반익스플로잇탐지엔진 – Exploit Guard 엔진

격리 에 의한 악성코드 실행 차단

2 Heap Spray*

1 Adobe Reader

3 Integer Overflow** 4 ROP^ Exploit

5 Shellcode^^

NtCreateFile: push ebpmov ebp,

esp…

6 Payload

Exploit Detection Flow

1. Packaging (PDF) - 0 points

2. Pre-Exploit (Heap Spray) - 5 points

3. Exploit (Integer Overflow) - 15 points

4. Control Flow (ROP) - 20 points

5. Malicious Activity (Shellcode) - 10 points

Final Score 50 points



35



• 행위기반익스플로잇탐지엔진 – Exploit Guard 엔진

• BLK, XPLT: 차단, 익스플로잇행위탐지차단 (iexplore.exe)• 알려지지않은위협대응을위한MVX 엔진기술력기반 Exploit Guard 행위탐지(Signature-less 기반의 Exploit 탐지)



36



• 인텔리전스기반행위탐지룰 – IOC 룰 1)맨디언트, FaaS제공 IOC 2)사용자정의 IOC 생성 3) FireEye APT 연동 IOC(자동생성)

• Madiant Intel : 인텔리전스기반행위탐지 IOC 룰



37



• 인텔리전스기반행위탐지룰 – IOC 룰 1)맨디언트, FaaS제공 IOC 2)사용자정의 IOC 생성 3) FireEye APT 연동 IOC(자동생성)



38


검증및조사 (Triage Summary, 전수검사(Enterprise Search))2

• Triage Summary

Exploit탐지

NX/EX 자동생성 IOC

Powershell및Mimikatz관련 HX IOC

Windows Credentials 관련멀웨어

타임라인

공격기법

프로세스정보

IP및도메인통신정보

레지스트리정보

파일정보



39



• 전수검사(Enterprise Search)

내부에서발견된악성파일MD5 정보로전체시스템전수조사



40




전수검사결과후 “의심호스트심층분석데이터수집”



41




내부호스트에대해레지스트리 “방화벽설정값” 확인



42


호스트격리및조치 (호스트격리, Live Response 데이터수집)3

• 호스트격리

호스트격리



43



• 호스트격리

호스트격리관련상세이벤트정보



44



• Live Response 데이터수집



45



최근 엔드포인트에서발생한휘발성 데이터

침해사고 조사를 위한 데이터 추가 수집

• Live Response 데이터수집



46



• 네트워크시큐리티(NX) 탐지후엔드포인트씨큐리티(HX)에자동생성된 Custom IOC 룰



47

차세대엔드포인트시큐리티기반대응복잡성제거및보안가시성개선을통한지능형위협대응체계구축

검증(“진짜공격여부판단”)

조사분석(“침해사고심층분석범위

확인”)

헌팅(“침해사고흔적확인”)

Exploit Guard 엔진(Exploit Detection & Prevention)

탐지

NX/EX/FX

호스트격리(“사고호스트격리”)

치료(“데이터복구및치료”)

대응

Integration

Threat Analytic Platform

SIEM/Log management

HX API

ADD ONS

FireEye As A Services

iSIGHT인텔리전스

IoC (Indicator of Compromise) AV 엔진Customized or 3rd Party

48

네트워크/이메일/엔드포인트통합운영

사용자중심분석및대응자동화효율적인관리및대응

FireEyeSecurity Platform


통합운영 | 효율적인관리및대응을위한사용자중심분석및대응자동화

49

네트워크/이메일/엔드포인트통합운영 -사용자중심분석및대응자동화효율적인관리및대응

FireEye EX (이메일시큐리티)

스토리지

FireEye NX (네트워크시큐리티)

MVX

MVX Smart Grid

내부사용자

FireEye HX (엔드포인트시큐리티)

Monito

ring

FireEye CM(통합관리)

서버

네트워크/이메일/엔드포인트통합운영탐지이벤트에대해상관관계분석및자동룰생성

차세대엔드포인트대응구간네트워크및이메일대응구간



50





51





52



이메일공격탐지이벤트와상관분석

IPS 엔진공격탐지이벤트와상관분석

엔드포인트공격탐지이벤트와상관분석


Thank You

파이어아이코리아 - FireEye Korea Ltd.

Office:+82-2-2092-6580Fax: +82-2-2092-6585E-mail: [email protected]

Documents

변하지않는보안전략 FireEye 제품을이렇게사용한다fireeyeday.com/event/pdf/T2_2.CyberDefenseLive2018.pdf기반공격탐지를위한상관관계분석엔진 L7 메타데이터정보제공