Embed Size (px)
Citation preview
2017년 3분기
글로벌 보안 위협 동향 보고서
3
목차
. 4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
. 6
. 8
서문 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
하이라이트 및 주요 정보
출처 및 척도 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
인프라 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
글로벌 보안 위협 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
익스플로잇 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
멀웨어 동향
봇넷 동향 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
. 23탐색적 분석 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
결론 및 권장 사항 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
목차
4
서문
3분기는 가족 여행과 새학기로 떠들썩하게 보내기 마련입니다. 2017년 3분기도 벌써 몇 개월 전부터 그런 분위기가 느껴지기 시작했지만, 보안 업계에는 매우 다른 종류의 떠들썩함이 찾아왔습니다. 신용 조사 기관 Equifax가 엄청난 규모의 데이터 침해 사고를 보고했는데, 그 사건으로 소비자 약 1억 4,500만 명의 개인 정보가 노출되었습니다.
그 수치 자체만으로는 그다지 새로울 것이 없지만 그 이후에 이어진 대중과 의회의 반응은 유례를 찾아보기 어려울 정도로 격렬했습니다. 이 사건과 관련된 의회 청문회에서 어떤 상원의원은 "충격적"이라고 말하며, "업계 차원의 대대적인 개혁이 필요하다"라고 주장했습니다. 앞으로 어떤 식으로 얼마나 어떤 개혁이 진행될지는 알 수 없지만, 저희가 이 보고서에서 매 분기 강조했던 기본적 문제에 Equifax가 걸려들었다는 것만큼은 확실합니다. 사실, 범인이 Equifax에 침투하는 데 사용했던 애플리케이션 익스플로잇은 지난 분기 보고서에서 고유 감지 기록 6,000건 이상에서 가장 많은 비중을 차지하기도 했습니다. 게다가 이번 분기에도 1위를 차지했습니다.
Equifax(또는 그 누구든)를 비난하고 이들에게 면박을 주기보다는 한가지 사실만 말씀드리겠습니다. 경계를 풀면 아무리 우수한 보안 프로그램이라도 평범한 위협에 당하게 될 것입니다. 이 보고서의 정보를 통해 여러분의 기업을 그런 운명에서 구해내시기 바랍니다.
서문
숫자로 보는 2017년 3분기
익스플로잇
nn고유 익스플로잇 감지 5,973건
nn기업당 익스플로잇 평균 153건 nn기업의 79%에서 심각한 공격 발견
nn35%가 Apache.Struts 익스플로잇 보고
멀웨어
nn고유 변종 14,904개
nn멀웨어군 종류 2,646개
nn보고된 모바일 멀웨어 25%
nn감지된 랜섬웨어 22%
봇넷
nn고유 봇넷 감지 245건
nn기업당 일일 봇넷 통신 518건
nn기업당 활성 봇넷 1.9개
nn기업의 3%에서 봇넷 10개 이상 발견
5
2017년 3분기 하이라이트 및 주요 정보
2017년 3분기 하이라이트 및 주요 정보
무척이나 당당하게. Apache Struts 프레임워크를 공격하는 익스플로잇 3개가 상위 10위에 올랐고 또
다른 익스플로잇은 이번 분기에 크게 세력을 확장했습니다. 이는 범죄자들이 취약성이 널리 확산될
조짐이 보이면 어떻게 몰려드는지 알 수 있는 예시입니다.
성장통. 단순히 80년대 TV 쇼나 관절 통증이 아닙니다. 기관이 성장하면서 인프라 사용량과 위협 추세가
증가하고 다양화하는 성향을 보입니다. 대단히 놀라운 일은 아니지만 일률적 보안 솔루션은 없다는 것
을 보여주는 또 다른 증거입니다. 보안 프로그램이 지금의 조직에 잘 맞는지 확인하고 함께 성장시키십
시오.
배보다 배꼽. 중규모 기업에서 봇넷 감염률이 치솟았습니다. 이번 분기에 국한되는 추세는 아닐 듯합니다.
범죄자의 입장에서 보면 중규모 기업이 "본전을 뽑기 좋은" 먹잇감이어서 일 수도 있습니다. 공격면이
넓고 데이터도 방대하지만 대기업에 비하면 보안 리소스가 부족하기 때문입니다.
제로데이를 바라보는 새로운 시각. 이번 분기 보고서에서는 우리 전문 연구진이 찾아낸 제로데이 취약성
을 새롭게 추가했습니다. 올해는 현재까지 185개의 제로데이를 발견하였고 2006년 이후로는 503개를
발견했습니다. 취약성을 수정할 패치가 릴리스된 후인 3분기에는 8개를 발견했습니다.
SCADA 산재. Apache Struts에 대한 대량의 공격 외에도 은밀히 움직이는 위협도 살펴봅니다.
예를 들어, 여러분의 회사가 산업 관리 시스템을 사용한다면 SCADA 시스템에 대한 상위 익스플로잇
감지를 산포도로 만들었습니다.
잠금 필수. Locky 랜섬웨어는 상반기에 잠시 숨을 죽이고 있다가 이번 분기에 3개의 새로운 캠페인으로
급격히 확산되었습니다. 약 기업의 10%가 보고하였습니다. 숫자만으로는 그다지 많아 보이지 않지만
당사 데이터에 포함된 수만 개의 기관을 집약한 비율인 것을 생각하면 엄청난 규모입니다. 3분기에는
모두 합쳐서 22%가 랜섬웨어 종류를 감지하였습니다.
공격 투하. 상위 멀웨어군에 가장 일반적인 기능은 파일을 다운로드/업로드한 다음, 감염된 시스템에
멀웨어를 심는 것입니다. 이 기술은 동적 패키징으로 감싸서 오래된 방어를 뚫고 악성 페이로드를
침투시키도록 돕습니다.
P2F 앱. 지난 번에 P2P와 프록시 앱을 사용하는 기업이 그렇지 않은 기업에 비해 7~9배에 달하는 위협을
보고했다는 것을 보여드렸습니다. 이번에는 한 발 더 나아가서 이런 앱을 사용하는 기관이 가장 두려워해
야 할 멀웨어와 봇넷 유형을 살펴보았습니다.
출처 및 척도
7
출처 및 척도
이 보고서에서 밝히는 여러 가지 정보는 상용 서비스 시설에 포티넷이 구축한 방대한 네트워크 기기/센서 제품군에서 얻어서 포티가드 랩(FortiGuard Labs)에서 취합한 내용입니다. 여기에는 2017년 7월 1일부터 9월 30일까지 세계 각지에서 활발하게 움직이는 상용 서비스 시설에서 관찰된 수십억 개의 위협 이벤트와 사건사고 등이 포함됩니다. 독립적 조사 결과에 따르면1, 포티넷의 보안 장치 점유율이 가장 크기 때문에 업계에서 가장 대규모로 위협 데이터 샘플 추출이 가능합니다.
익스플로잇 이 보고서에서 설명하는 애플리케이션 익스플로잇은 주로 네트워크 IPS를 통해 수집하였습니다. 이 데이터세트에서 취약한 시스템을 파악하기 위한 공격자 정찰(reconnaissance) 활동과 그러한 취약점을 악용하려는 시도를 살펴볼 수 있습니다.
멀웨어 이 보고서에서 설명하는 멀웨어 샘플은 경계 기기, 샌드박스 또는 엔드포인트 등에서 수집하였습니다. 이 데이터세트는 대체로 공격을 대상 시스템에 성공적으로 설치하는 단계가 아닌, 공격의 무기화나 전달 단계를 나타냅니다.
봇넷 이 보고서에서 설명한 봇넷 활동은 네트워크 기기를 통해 수집하였습니다. 이 데이터세트는 침입을 받은 내부 시스템과 악성 외부 호스트 사이를 오가는 C2(Command & Control, C&C) 트래픽을 의미합니다.
규모전반적인 빈도 또는 비율의 척도입니다. 위협 이벤트로 관찰된 총 횟수 또는 백분율을 나타냅니다.
출현율여러 그룹에 걸친 분포도 또는 침투성입니다. 위협 이벤트를 적어도 한 번 이상 발견하여 신고한 조직의 백분율2을 나타냅니다.
강도일간 규모 또는 빈도를 말합니다. 조직 한 곳에서 한 가지 위협 이벤트가 관찰되는 일일 평균 횟수를 말합니다.
출처 및 척도
데이터는 모두 익명 처리하며 샘플에 표시된 단체에는 신원을 식별할 수 있는 정보를 전혀 포함하지 않습니다.여러분도 익히 상상할 수 있겠지만, 이러한 정보는 다양한 관점에서 사이버 위협 동향을 살펴볼 수 있는 훌륭한 시각을 제공합니다. 이 보고서는 위협 동향의 세 가지 중심적이고 상호 보완적인 측면(애플리케이션 익스플로잇, 멀웨어, 봇넷)에 초점을 맞춥니다.
1 출처: IDC 전 세계 보안 어플라이언스 추적기, 2017년 4월(연간 단위 출고량 기준)
2 당사는 위협 활동을 신고한 조직에서만 출현율을 측정할 수 있기 때문입니다. 어떤 봇넷의 출현율이 50%에 달하더라도 전 세계 기업 절반에 영향을 미친 것으로 해석할 수 없습니다.
봇넷을 감지했다고 보고한 기업 중 절반이 해당 봇넷을 목격했다는 의미합니다. 일반적으로 분모는 수만 개의 기업으로 구성됩니다.
당사에서는 이와 같은 다양한 위협 동향의 측면 외에 데이터의 의미를 설명하고 해석하는 데 세 가지 척도를 사용합니다. 이 보고서에서 규모, 출현율 및 강도라는 용어를 자주 접하게 될 것입니다. 이러한 용어는 항상 본문에서 제시한 정의를 준수하여 사용합니다.
이 보고서에 포함된 수치에는 수많은 위협이 포함되어 있습니다. 몇 가지 위협에 대해서는 간략한 설명을 제공하지만, 분명 독자 여러분은 더 자세한 정보를 원할 것입니다. 이 보고서를 읽으면서 필요할 경우 포티가드 랩(FortiGuard Labs) 백과 사전을 참조하십시오.
인프라 동향
9
인프라 동향
어느 정보 사이버 위협을 공부해보신 분이라면 누구나 알겠지만 애플리케이션 익스플로잇, 멀웨어 벡터, 봇넷 감염 등은 표적으로 삼는 기관 전체에 퍼져 있는 공격면을 그대로 반영합니다. 이러한 위협을 가하는 상대방은 암호화, 애플리케이션 사용량, 클라우드 도입 등의 동향을 매우 자세히 들여다봅니다. 당연히 방어하는 우리도 똑같이 해야 합니다. 그 점을 염두에 두고 그림 1의 2017년 3분기 인프라 동향을 봐주시기 바랍니다.
그림 1은 약 일주일 정도 실행되는 자체 위협 평가 프로그램에서 얻은 결과이며, 다양한 인구 통계학적 특성을 지닌 기관이 포함되어 있습니다. 그 사실은 표에 보이는 숫자에도 명확히 나타나 있습니다. 그렇기는 하지만 이 데이터는 여전히 “전형적인” 조직의 형태나 시간이 흐르면서 변화하는 인프라 동향의 양상 등에 대해 어느 정도 감을 잡을 수는 있습니다. 지난 분기에는 업종별로 "전형"이 얼마나 다른지 보여드렸습니다. 나중에 이 섹션에서 기업 규모를 기준으로 똑같은 결과를 보여드릴 것입니다. 하지만 너무 앞서가지 마십시오.
(표시된 것은 중간값임) Q3 2016 Q4 2016 Q1 2017 Q2 2017 Q3 2017
일일 대역폭 7.3G 8.5G 8.5G 6.4G 8.9G52.4% 50.8% 54.9% 57.3% 55.4%HTTPS 비율
총 앱 수 211 211 195 187 19535 36 33 28 3223 27 29 25 2621 20 16 14 1517 17 14 13 144 4 4 4 44 5 4 4 43 3 2 2 2
SaaS 앱IaaS 앱 스트리밍 앱 소셜 앱 RAS 앱프록시 앱 게이밍 앱 P2P 앱 2 1 1 1 1일일 웹사이트 방문 수 571 595 502 411 404
그림 1. 분기별 인프라 동향. 표시된 값은 조직별 중간값입니다.
그림 1 위쪽을 보면 HTTP 트래픽 대비 HTTPS 비율은 지난 분기보다 다소 하락했지만 전반적인 상승 추세는 유지되고 있습니다. 인터넷 개인 정보 보호 수준이 개선되었다는 것을 알 수 있지만 암호화 통신으로 위장한 위협을 가려내기는 어려울 수 있습니다. 이전 보고서에서도 그런 환경이 드물지 않다는 것을 보여드렸습니다. 많은 기업이 대다수 트래픽을 암호화하지만 어떤 기업은 거의 암호화하지 않습니다.
기업당 사용하는 애플리케이션 개수 중간값은 대부분 부문에서 일정 수준을 유지하거나 다소 하락하는 추세를 보이는 듯합니다. 그 이유는 여러 가지가 있습니다. 평가 프로그램에서 기업의 인구 통계적 특성이 변화하고 있거나, 앱이 몸집을 줄이고 서로 통합하거나, P2P 소프트웨어처럼 예전부터 위험도가 높았던 앱에 더욱 엄격한 정책을 적용했기 때문일 수도 있습니다.
인프라 동향
10
그림 2는 기관 내 직원 수를 기준으로 3개 그룹의 인프라 통계를 비교합니다. 상자 그림을 해석하는 자세한 방법은 이 글을 읽어 보십시오. 하지만 간단한 해석 방법을 말씀드리자면, 색이 칠해진 상자 중간에 있는 검은색 선이 중간값입니다. 이 통계를 그림 1의 전체 통계와 비교하시면 됩니다. 통계를 보시면 이런 생각이 드실 수도 있습니다. "대기업이 앱을 더 많이 사용하고 웹에서 더 많은 활동을 하는데, 그게 어쨌다는 거지?" 맞는 이야기입니다. 특별할 것이 없는 통계이지만 사용하는 것이 많을수록 보호해야 할 대상도 늘어난다는 것을 떠올리게 합니다. 네트워크가 방대하고 복잡해지면서 이는 성장하는 기관의 아킬레스 건이 되는 경우가 많습니다.이런 고충이 늘어가는 기업에서 일하고 계신 분을 위해 공격면을 감시할 수 있는 방법을 알려드리겠습니다. 어느 기업이든 규모와 관계없이 애플리케이션은 업무상 필요한 것으로만 제한하는 것이 좋습니다.
그림 2. 기업 규모 기준 인프라 사용량 통계 비교
그중에서도 사용 권한이 있는 사람과 사용 방법/지침을 제한한다면 갑작스럽게 통제 불능에 빠지지는 않을 것입니다. 사용량과 사용자가 증가하면서 온프레미스나 클라우드를 불문하고 이런 애플리케이션을 모니터링하는 것이 더욱 중요해졌습니다.
그림 2에서 몇 가지 짚고 넘어가야 할 것이 있습니다. "클수록 더 많이"라는 흐름에 저항하고 있기 때문입니다. 첫째, HTTPS 비율입니다. 규모가 작은 기업이 대기업보다 평균적으로 트래픽 암호화에 더 신경을 많이 쓰고 있습니다. 레거시 기술에 얽매이지 않고 새로운 애플리케이션을 더욱 자유롭게 도입하는 등, 규모가 작은 기업이 암호화에 유리한 이유는 여러 가지가 있을 수 있습니다. 둘째, 클라우드 애플리케이션, 그중에서도 IaaS입니다. 중간 규모 기업이 온프레미스 어플라이언스에 비해 클라우드 환경의 유리한 비용과 확장성을 추구하고 있기 때문인 듯합니다. 반면, 대기업은 사용해야 할 하드웨어에 적극적으로 투자하는 경우가 많고 가능하면 애플리케이션과 데이터를 사내에 유지하려는 성향이 있습니다.
인프라 동향
1−99100−999
1k+일일 대역폭
1−99100−999
1k+
0.00 0.25 0.50 0.75 1.00
HTTPS 비율
1−99100−999
1k+
0 100 200 300 400
일일 총 앱 수
1−99100−999
1k+
0 20 40 60
1 10 100 1k 10k 100k
Saas 앱
1−99100−999
1k+
0 10 20 30 40 50
IaaS 앱
1−99100−999
1k+
0 2 4 6 8
RAS 앱
1−99100−999
1k+
0.0 2.5 5.0 7.5 10.0
프록시 앱
1−99100−999
1k+
0 1 2 3
P2P 앱
1−99100−999
1k+
0 10 20 30
소셜 앱
1−99100−999
1k+
0 10 20 30 40 50
스트리밍 앱
1−99100−999
1k+
0.0 2.5 5.0 7.5
게이밍 앱
1−99100−999
1k+
1 10 100 1k 10k
일일 웹사이트 방문 수
글로벌 보안 위협 동향 보고서
12
글로벌 보안 위협 동향 보고서
익스플로잇 동향
익스플로잇 동향을 통해 적이 어떤 시도를 하는지 살펴보고, 취약한 시스템을 찾아낼 수 있습니다. 이번 분기에 기록된 수십 억 건의 감지 사례에 속한다고 해서 공격이 성공했다거나 표적이 된 취약성이 환경에 존재한다는 것을 의미하지는 않습니다. 익스플로잇 활동은 노이즈가 심한 경향이 있기 때문에 이 섹션에서는 중요하고 심각도가 높은 감지 건으로만 분석을 제한했습니다.
Aug Sep F
그림 3. 분기 애플리케이션 익스플로잇 활동
보안 위협 동향 보고서
간단히 보는 통계
nn고유 익스플로잇 감지 5,973건
nn기업당 익스플로잇 감지 153건
nn기업의 79%에서 심각한 공격 발견
nn기업의 35%에서 Apache.Struts에 대한 상위 익스플로잇 보고
0
1b
2b
3b
4b
Jul
일일
볼륨 DoS
Exploit
3분기의 익스플로잇 양은 상당히 안정적으로, 분기가 끝나가면서 몇 번 눈에 띄는 급등 현상을 보였습니다. 9월에 급등한 경위를 조사하면서 그림 3과 같이 DoS 활동과 다른 익스플로잇을 구분했습니다. 보다시피 DoS 활동이 갑자기 급등을 일으킨 주범입니다. 대부분은 심각도가 낮은 감지였습니다. 이로써 이후의 차트에서 백그라운드 노이즈를 걸러내기로 한 것이 잘한 결정이었음을 다시 한 번 확인할 수 있었습니다.
그림 4는 2017년 3분기에 가장 활발한 활동을 보였던 익스플로잇과 양을 기준으로 가장 많이 표적이 되었던 취약성(CVE)을 나타냅니다. 그중 대부분은 매 분기 반복되는 위협이고, 여기에 대해서는 앞서 충분히 다루었습니다. 간략히 살펴본 결과, 일반적으로 명령/코드 실행, 코드 주입, DoS, 버퍼 오버플로 또는 강제 침입 유형에 속했습니다.
어떤 취약성을 가장 자주 노리는지 알면 무엇을 먼저 패치할지 우선 순위를 정하는 데 도움이 됩니다. 그림 4를 참고하면 "이런 경고를 본 적이 있었던가?," "우리 스캔에서 이런 취약성이 감지되는가?"와 같은 날카로운 질문을 던지는 데 도움이 되실 것입니다.
현재 가장 대표적인 패치 우선 순위는 CVE-2017-5638와 해당 감지 서명 Apache.Struts.Jakarta Multipart.Parser.Code.Execution입니다(그림 4의 상위 감지). 이상하게 친숙한 느낌이 든다면 이 보고서의 도입부를 읽었거나 최근 뉴스를 관심 있게 보셨을 것입니다. 이 익스플로잇은 Apache Struts 프레임워크의 결함을 표적으로 삼습니다. 범죄자들은 이 취약성을 이용해 신용 평가사 Equifax에서 약 1억 4,500만 개의 기록을 가로챘습니다.
Aug Sep
13
다행히도 여러분은 행동에 나설 힘을 얻는 데 Equifax처럼 큰 사고가 나기를 기다릴 필요는 없습니다. 예를 들어, 3월 17일 주간 위협 보고서를 읽어보셨습니까? 이 중대한 취약성이 릴리스 후 그 주에 가장 많이 감지된 공격 순위에 올랐습니다.
아니면 글로벌 보안 위협 동향 보고서에서 2분기 연속으로 가장 많이 출현하는 익스플로잇으로 다룬 것에 주목하셨을 수도 있습니다. 요컨대 이런 데이터를 알면 재난을 알아보고 피할 수 있다는 것입니다. 그러니 활용하십시오!
4. 출현율 기준 상위 익스플로잇 감지 및 볼륨 기준 상위 CVE.
보안 위협 동향 보고서
Easy.Hosting.Control.Panel.FTP.Account.Security.Bypass (7.0%)PhpMoAdmin.moadmin.php.Unauthenticated.Remote.Code.Execution (7.5%)ASUS.Router.infosvr.UDP.Broadcast.Command.Execution (7.6%)WebNMS.Framework.Directory.Traversal (7.6%)SIP.Message.VIA.Header.Handling.DoS (8.0%)WIFICAM.P2P.GoAhead.Multiple.Remote.Code.Execution (8.0%)AWStats.Configdir.Command.Execution (8.1%)Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass (8.6%)AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation (9.2%)Apache.Commons.Collection.InvokerTransformer.Code.Execution (9.4%)Joomla.Core.Session.Remote.Code.Execution (14.3%)OpenSSL.Heartbleed.Attack (16.3%)MVPower.DVR.Shell.Unauthenticated.Command.Execution (18.6%)Apache.Struts.REST.Plugin.Remote.Code.Execution (18.9%)Bash.Function.Definitions.Remote.Code.Execution (23.3%)MS.Windows.HTTP.sys.Request.Handling.Remote.Code.Execution (24.2%)Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution (26.0%)HTTP.URI.SQL.Injection (26.9%)PHP.CGI.Argument.Injection (31.4%)Apache.Struts.Jakarta.Multipart.Parser.Code.Execution (34.8%)출현율 기준 상위 20개 익스플로잇
CVE−2012−2311 (3m)CVE−2006−2212 (3.2m)CVE−2014−0160 (3.6m)CVE−2017−0144 (5.1m)CVE−2005−1348 (5.3m)CVE−2011−3491 (5.8m)CVE−2009−2526 (8.1m)CVE−2010−3332 (8.3m)CVE−2017−5638 (11m)CVE−2010−0231 (16m)CVE−2006−5614 (17m)CVE−2014−9583 (18m)CVE−2008−5180 (21m)CVE−2009−2335 (22m)CVE−2014−6277 (41m)CVE−2012−2122 (42m)CVE−2014−0224 (133m)CVE−2017−0171 (418m)CVE−2017−0147 (439m)CVE−2011−1473 (653m)볼륨 기준 상위 20개 CVE
익스플로잇 감지 서명 CVE (해당할 경우)
FlashChat.Arbitrary.File.Upload N/A; Unpatched
Apache.Tomcat.Remote.Exploit.Account.Scanner N/A; Unpatched
WordPress.WP.EasyChart.Unrestricted.File.Upload CVE-2014-9308
MS.IE.CAttrArray.Object.Handling.Code.Execution CVE-2015-2452
그림 5. 2017년 3분기 출현율이 가장 크게 증가한 익스플로잇
14
"그 유명한" Apache 익스플로잇 외에도 인기 Struts 프레임워크를 노리는 다른 익스플로잇 2개가 그림 4에서 상위를 차지했고 Apache Tomcat을 표적으로 하는 익스플로잇이 그림 5에서 급격히 세력을 불린 명단에 올랐습니다. 이 결과에 그다지 놀랄 필요는 없습니다. Apache는 웹상에서 가장 인기 있는 서버 플랫폼입니다. 그림 4에서 내렸던 진단에 그림 5를 더해보십시오.
Apache Struts 프레임워크가 이번 분기 익스플로잇 활동의 테마로 자리 잡은 듯한데, 다른 주제로 넘어가기 전에 좀 더 페이지를 할애해 자세히 다루어보겠습니다. 그림 6은 그림 4의 Apache Struts 익스플로잇 3개를 하루 변동량(밝은 회색선)과 추세(진한색)로 나타낸 것입니다. Equifax의 보안 침해 사건 이후 두드러지게 증가세를 보인 것으로 보아 범죄자들은 피 냄새를 맡으면 상어처럼 달려드는 특성이 있다는 것을 알 수 있습니다.
그림 6. 2017년 3분기 출현율 및 볼륨 기준 APACHE STRUTS를 공격한 상위 익스플로잇
보안 위협 동향 보고서
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution
Apache.Struts.Jakarta.Multipart.Parser.Code.Execution
Apache.Struts.REST.Plugin.Remote.Code.Execution
Equi
fax
Anno
unce
d
Apache.Struts.2.DefaultActionMapper.Remote.Command.Execution
Apache.Struts.Jakarta.Multipart.Parser.Code.Execution
Apache.Struts.REST.Plugin.Remote.Code.Execution
Org Count Volume
Jul Aug Sep Oct Jul Aug Sep Oct
1k
10k
100k
15
SCADA SYSTEM을 노리는 익스플로잇
최근 있었던 Apache Struts에 대한 공격처럼, 이 보고서에서는 눈에 띄는 위협을 집중적으로 다루는 편입니다. 하지만 많은 중요한 위협이 물밑에서 움직이거나 표적으로 삼은 기관 넘어서까지 중대한 영향을 미치기도 합니다. 예를 들어 그림 7의 익스플로잇들은 다양한 유형의 감독 제어 및 데이터 액세스(SCADA) 시스템을 표적으로 삼습니다. 그중 하나만이 출현율 축에서 1/1,000 임계값을 넘었고 응답 기업의 1% 이상에서 관찰된 익스플로잇은 없었습니다. 마찬가지로 볼륨을 기준으로 보았을 때도 많다고는 할 수 없습니다. 이런 익스플로잇은 발견했을 때 무시해도 안전할까요? 여러분 기관이 SCADA 시스템을 사용하지 않는다면 괜찮을지도 모릅니다. 그러나 SCADA 시스템을 사용한다면 그림 6을 패치 우선순위를 정하는 데 중요한 확장팩이라고 생각하십시오. 기업 네트워크 침입과 시스템 중단도 나쁘지만, SCADA 환경의 보안이 침해되면 많은 사람이 의지하고 있는 물리적 인프라가 위험에 처하게 됩니다.
감지 이름은 상당히 직관적으로 붙였습니다. 그림 7을 가장 잘 활용하려면 여러분의 기관에서 사용하는 제품을 찾으시는 것이 좋습니다. 익스플로잇에 관한 자세한 정보는 Threat Encyclopedia 및/또는 제조사 웹사이트를 참조하십시오.
SCADA 환경을 보안하는 방법에 관한 일반적 정보는 당사 블로그의 “SCADA Security 101” 게시글을 참조하십시오. 그 외에도 North American Electric Reliability Corporation (NERC), Electricity Information Sharing and Analysis Center (E-ISAC), 및 Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)에서 각종 산업 제어 시스템 보안을 책임지는 기업에게 좋은 자료를 제공합니다.
그림 7. 2017년 3분기 출현율(X) 및 볼륨(Y) 기준 SCADA 익스플로잇 그래프
보안 위협 동향 보고서
7−Technologies.IGSS.SCADA.System.Directory.Traversal
Advantech.Studio.ISSymbol.ActiveX.Control.BufferOverflow
Advantech.WebAccess.NodeName.Handling.Stack.Buffer.Overflow
Cogent.DataHub.HTTP.Request.Information.Disclosure
ICCP.COTP.Connect.Req.Unauthorized.Client
ICCP.COTP.Disconnect.Protocol.Error
ICCP.Unauthorized.COTP.Connection
InduSoft.Web.Studio.Directory.Traversal
Modbus.TCP.Function.Code.Scan
Modbus.TCP.Invalid.Packet.Length
Progea.Movicon.HTTP.Request.Handling.Buffer.Overflow
Rockwell.Automation.EtherNet.IP.CIP.Commands.DoS
Schneider.Electric.VAMPSET.Memory.Corruption
Schneider.Quantum.Module.Backdoor.Access
SearchBlox.File.Exfiltration
Siemens.Automation.License.Manager.DoS
Siemens.SIMATIC.WinCC.Flexible.Runtime.Stack.Buffer.Overflow
10
100
1k
10k
100k
1m
10m
1 in10k
1 in1k
1 in100
16
미니 포커스: 제로데이 리서치
미니 포커스: 제로데이 리서치
포티넷에서는 전문 연구자와 분석 전문가로 구성된 전담팀이
매일 다양한 타사 제품과 소프트웨어 애플리케이션을 조사하고
약점과 익스플로잇 가능한 취약성을 찾습니다. 오른쪽 간단히
보는 통계에서 알 수 있듯이, 상당히 많은 수를 찾아냈습니다.
그림 8. 2017년 3분기 FORTIGUARD LABS에서 발표한 제로데이 취약성
간단히 보는 통계 2017년 3분기 발표된 제로데이 8개
2017년 3분기 발견된 제로데이 63개2017년 현재까지 발견된 제로데이 185개
2006년 이후 발견된 제로데이 503개포티넷은 책임 있는 공개를 준수하기 때문에 제로데이를 발견하면
일반에 발표하기 전에 벤더사에 고지합니다.
그에 따라 벤더들은 패치를 만들 시간을 벌 수 있습니다. 일부 취약성은 매우 복잡해서 패치를 개발하는 작업은 몇 개월 이상 걸릴
수도 있습니다. 하지만 걱정 마십시오. 당사 FortiGuard Labs 팀에서는 아직 일반에 공개되지 않은 취약성까지 막아낼 수 있는 제로
데이 IPS 시그니처를 동시에 개발합니다. 당사 IPS 서비스를 사용하는 고객이라면 “.0day” 확장자로 끝나는 서명을 수시로 확인하
실 수 있습니다. 즉, 이 취약성이 아직 패치되지 않은 상태이기 때문에 평소처럼 시그니처를 통해 제품을 식별하지 않겠다는 것을
의미합니다.
아래는 2017년 3분기에 FortiGuard Labs이 발표한 제로데이 취약성 목록입니다. 당사의 위험 수준은 표준 CVSS 점수를 따랐습니다.
취약성에 관한 자세한 정보는 포티넷 제로데이 웹링크(https://fortiguard .com/zeroday)를 참조하십시오.
그림 8에는 AV 소프트웨어에 영향을 미치는 취약성이 3개 포함되어 있습니다. 일반적으로 범인은 AV 소프트웨어를 피해서
은신하려고 하지만, 통제권을 얻기 위해 소프트웨어 자체의 약점을 익스플로잇하려 들기도 합니다. 예를 들어, 올해 초에 발견되었던
DoubleAgent 공격이 있습니다. 이 점에 비추어 AV 소프트웨어가 멀웨어로부터 보호해주기는 하지만 표적이 될 수도 있음을 명심하
십시오. 이 기술이 관리하는 패칭은 높은 시스템 권한에서 실행되기 때문에 여기에 대해서도 경계를 늦추지 마십시오.
감지 감지 제품 취약점 위험
7월 발표
FG-VD-17-107 멀티 바이트 문자 필터링 크로스 사이트 스크립팅 취약성II
Joomla CVE-2017-7985 높음
FG-VD-17-108 코어 라인 피드 문자 크로스 사이트 스크립팅 취약성 II
Joomla CVE-2017-7985 높음
FG-VD-17-109 코어 라인 피드 문자 크로스 사이트 스크립팅 취약성 II
Joomla CVE-2017-7985 높음
7월 발표
FG-VD-17-142 임베디드 개방형 폰트 파일 처리 메모리 손상
Microsoft CVE-2017-8691 높음
FG-VD-16-062 AV 업데이트 비활성화로 AVG 자동 보호 우회
AVG N/A 중간
FG-VD-17-018 Bitdefender AVC3 드라이버 로컬 권한 상승
Bitdefender N/A 높음
7월 발표
FG-VD-17-019 Bitdefender 커널 드라이브 자동 보호 우회
Bitdefender N/A 중간
FG-VD-16-043 Cisco 웹 보안 어플라이언스 크로스 사이트 스크립팅 취약성
Cisco N/A 중간
17
멀웨어 동향
멀웨어 동향은 악의적인 의도와 능력을 반영하기 때문에 이를 조사하는 것은 도움이 됩니다. 익스플로잇과 마찬가지로, 우리 센서에 감지된 멀웨어는 실제 감염이 아니라 코드를 무기화하고 표적과 시스템에 공격을 시도했다는 것을 나타냅니다. 감지는 다양한 장치에서 네트워크, 애플리케이션, 호스트 레벨 수준에서 일어납니다.
Aug
그림 9. 분기별 멀웨어 감지량.
보안 위협 동향 보고서
간단히 보는 통계
nn고유 변종 14,904개
nn멀웨어군 종류 2,646개
nn25%가 모바일 멀웨어 보고
nn22%가 랜섬웨어 감지
nn15개 멀웨어군이 1/10개 이상 기업에 확산
0Jul Sep Oct
일일
볼륨
멀웨어 배포자들도 휴가는 갑니다. 이는 그림 9를 보면 알 수 있습니다. 여름에 오랫동안 잠잠하다가 8월 말에 산발적으로 활동을 보이고, 9월 중순이 되면 활발히 움직이기 시작합니다. 그 많던 멀웨어들은 다 어디로 갔을까요? 멀디브에라도 간 것일까요?
그림 10은 3분기에 당사 센서에 감지된 모든 고유 멀웨어군(2,600+)을 나타냅니다. X축은 출현율이고 Y축은 볼륨입니다. 점 크기는 강도를 나타냅니다(클수록 높은 강도). 각 축은 로그 단위입니다. 그러므로 격자선 사이의 차이가 보기보다 크다는 데 유의하시기 바랍니다. 1/10개 기업 이상에서 감지되고 볼륨이 100,000을 넘어가는 멀웨어에는 레이블을 붙였습니다. 여기에서는 고차원적인 멀웨어군 순으로 표시해서 전반적인 추세를 강조했습니다. 하지만 좀 더 다양한 수준의 정보는 주간 위협보고서와 보안 블로그를 참조하십시오.
익스플로잇과 마찬가지로 그림 10의 대부분 멀웨어도 이전 보고서에서 여러 번 등장했습니다. 오른쪽 위 사분면에 있는 멀웨어들은 다운로드, 업로드, 파일이나 다른 멀웨어를 감염된 시스템에 침투시키는 기능을 하는 것이 가장 일반적입니다. Agent와 Nemucod 멀웨어군은 이러한 동작을 보여주는 매우 적절한 예시입니다. 멀웨어는 부지런히 원격 액세스 연결을 설정하고, 사용자 입력을 포착하고, 시스템 정보를 수집하고 팩을 배포합니다(예: W32/Backdoor 및 W32/ PECompact). 흥미롭게도 당사 아카이브에 따르면, 3분기에는 최초로 모바일 멀웨어군(Android) 4개가 레이블을 얻었습니다. 관심 있게 지켜볼 만한 내용입니다. 모두 합쳐서 기업 4개 중 1개가 모바일 멀웨어를 감지했습니다.
Aug
18
그림 10. 출현율(X), 볼륨(Y), 강도(점 크기)에 따라 나타낸 모든 2017년 3분기 멀웨어.
이번에 10개 기업 중 1개의 벽을 넘은 새로운 멀웨어는 JS/ GlobeImposter 랜섬웨어군입니다. 당사 센서가 지난 7월 말에 이 랜섬웨어군의 변종을 감지하기 시작했고 그 후 얼마 지나지 않아 연구팀이 분석을 게시했습니다. GlobeImposter는 획기적인 랜섬웨어는 아니지만 빠르게 증가하고 확산하는 성격이므로 주목할 만합니다. 3분기의 다른 이동이 큰 멀웨어는 그림 11에서 확인할 수 있습니다.
그림 11에서는 W32/DelpBanc (다양한 동작을 보이는 트로잔 감지), HTML/ScrInject(원격 액세스 트로잔), VBS/Locky(랜섬웨어)가 특히 눈에 띕니다. W32/DelpBanc은 볼륨 면에서 6계단이나 올라왔고 출현율로는 4계단 상승했습니다. 4분기에는 잠시 숨 고르기에 들어가기를 바래봅시다.
말이 나온 김에, 악명 높은 Locky 랜섬웨어가 2017년 대부분을 숨 고르기에 보낸 듯합니다. 하지만 이번 분기에는 새로운 기술까지 선보이며 더욱 화려하게 복귀했고 10개 기관 중 약 1개에서 보고되었습니다. 8월 초에는 Diablo6 캠페인이 Necurs 봇넷에 힘입어 스팸 메시지를 가득 싣고 첨부 파일을 통해 확산되었습니다.일주일 만에 Locky는 dubbed Lukitus라는 다른 캠페인을 시작했습니다. 당사 센서에 따르면 Diablo6보다 7배나 규모가 큽니다. 이 두 캠페인은 첨부 파일을 열면 Locky 랜섬웨어를 다운로드해서 실행하고, 피해자의 컴퓨터에서 되돌릴 수 없는 암호화 과정이 시작됩니다. 일부 새로운 악성 도메인이 확산을 더욱 부채질했고 몇 가지 Windows 레지스트리 해킹도 지속을 도왔습니다.
보안 위협 동향 보고서
Adware/Agent Android/Agent
Android/Generic
Android/Wateh
HTML/ScrInject
JS/Agent
JS/GlobeImposter
JS/Kryptik
JS/Nemucod
Malware_fam
PHP/WebShell
Riskware/Asparnet
Riskware/Autoins_K!Android
Riskware/NetFilter
Traven
VBS/AgentVBS/Kriptik
VBS/Locky
W32/Agent
W32/BackDoor
W32/BDoor
W32/CoinMiner
W32/DelpBanc
W32/Injector
W32/Katusha
W32/Kryptik
W32/LdPinch
W32/Lovgate!dam
W32/Mamon
W32/PECompact
W32/SDBotW32/Skintrim
W64/Banker
WM/Agent
10
100
1k
10k
100k
1m
10m
1 in10k
1 in1k
1 in100
1 in10
규모
19
9월 세 번째 주는 또 다른 Locky 변종이 등장했습니다. 이번에는 기존의 신화에서 딴 이름을 포기했습니다. Ykcol 캠페인 (Locky 철자를 거꾸로 한 이름)은 이전의 두 변종과 기본 기능은 동일하지만 비트코인 가치 상승을 반영하여 랜섬 가격을 1 BTC에서 0.5 BTC로 내리는 배려를 보였습니다.
그림 11. 2017년 3분기에 큰 움직임을 보인 봇넷. 화살표는 2분기에서 3분기로 이동
이것으로 3분기 멀웨어 요약은 마치지만 계속 지켜봐 주시기 바랍니다. 탐색적 분석 섹션에서 다시 이 주제를 꺼내서 위험한 애플리케이션 사용이 네트워크에서 멀웨어와 봇넷 출현율, 볼륨에 어떤 영향을 미치는지 조사해보았습니다.
보안 위협 동향 보고서
Adware/Sprovider!Android
Android/ClickerAndroid/Simpo
HTML/Phising
HTML/ScrInject
Java/TrojanDownloader
JS/Runfile
LNK/TrojanDownloader
Riskware/Dnotua!Android
Riskware/RemoteAdmin_Ammyy
Riskware/WinVNC
VBS/LockyW32/DelpBanc
W32/PUP_x
W32/SkintrimW32/WOW
W64/Agent
W64/Egguard
WM/KryptikWM/Nemucod
10
100
1k
10k
100k
1m
10m
1 in10k
1 in1k
1 in100
1 in10
규모
20
봇넷 동향
일반적으로 익스플로잇과 멀웨어 동향은 공격에서 침입이 발생하기 전에 모습을 보여주지만 봇넷은 침입이 발생한 이후의 시각을 보여줍니다. 봇넷에 감염되면 시스템은 대개 원격 악성 호스트와 통신합니다. 기업 환경에서 이런 트래픽이 나타나면 무언가 잘못되었다는 뜻입니다. "실수에서 배울 수 있다"는 관점에서는 이런 데이터 세트가 유용합니다.
Aug
그림 12. 분기별 봇넷 감지 볼륨.
보안 위협 동향 보고서
간단히 보는 통계
nn기업당 일일 봇넷 통신 518건
nn고유 봇넷 감지 245건
nn기업당 감염일 수 3.5일
nn기업당 활성 봇넷 1.9개
nn기업의 3%에서 봇넷 10개 이상 발견
그림 12에서 보다시피 7월 중순부터 8월까지의 침체로 인해 3분기에는 전반적인 봇넷 활동이 하락했습니다. 2분기에 점차 하락하던 추세가 이어지면서 지금까지 다소 뒷걸음질치고 있습니다. 봇넷에 승리를 선언하기까지는 갈 길이 멀지만 이 정도만 해도 감사하게 생각할 일입니다.
3분기에 가장 활발한 활동을 보였던 봇넷을 기준으로 보면 그림 13은 놀라울 정도로 2분기와 유사합니다. Gh0st, Pushdo, Andromeda, Necurs, Conficker는 가장 많이 출현하였고 순서조차 바뀌지 않았습니다. Zeroaccess, H-worm, IMDDOS까지 포함시키면 지난 2개 분기 동안 가장 볼륨이 컸던 봇넷이 모두 모이게 됩니다.
분기별 결과가 유사한 것으로 보아, 당사 데이터 세트에 보고하는 기업들 대부분이 지속적으로 봇넷에 감염된다는 결론에 다다를 수도 있습니다. 즉, 같은 기업이 같은 봇넷에 감염되어서 같은 결과를 보고 있다는 의미입니다. 그러나 그림 14는 그 결과와 상반되는 모습을 보여줍니다. 예를 들어, Gh0st와 Pushdo는 매주 상당히 많은 기관에 새롭게 침투하고 있기 때문입니다.
0Jul Sep Oct
일일
볼륨
Aug
21
그림 14. 주당 새로 봇넷을 보고한 기업 평균
보안 위협 동향 보고서
그렇기는 하지만 데이터를 조금 더 조사한 결과, 흥미로운 사실을 알게 되었습니다. 7월에 Gh0st 봇넷 감염을 보고했던 기관의 75%가 8월에도 감염을 보고하였고, 다시 그중 70%가
AAEH
Adwind
Adylkuzz
Alina Android
Andromeda
Bedep
Bladabindi
Bunitu
Cerber
Chanitor
Cidox
CitadelCKMP
Conficker
Cridex
Crossrider
CryptoWall
DarkComet
Daws
Dorkbot
DridexDyre
Dyzap
Expiro
Fareit
FinFisher
Ganiw
Gh0stGozi
H−worm
Hajime
Hangover
IMDDOS
ISR
JeefoJenxcus
Kelihos
Krad
Lethic
Locky
Loki
Mariposa
Mazben
Mikey
Mirai
Morto
NanoCore
Necurs
NetSyst81
Neurevt
NeutrinoNitol
Nivdort
njRAT
Nymaim
Orbit
PhotoMiner
PoSeidon
POSRAMProxyback
Pushdo
Quant
RamnitSality
Suivante
Tepfer
Teslacrypt
Tinba
Tofsee
Torpig
TorrentLockerVirut
Waledac
XcodeGhost
XorDDOS
Xtreme
Zeroaccess
Zeus
10
100
1k
10k
100k
1m
10m
100m
1 in10k
1 in1k
1 in100
1 in10
14.7
16.3
19.7
22.6
32.8
33.8
38.7
49.8
97.3
141.4
H−worm
Android
Zeroaccess
Dridex
CryptoWall
Andromeda
Ramnit
Ganiw
Pushdo
Gh0st
0 50 100주당 새로 감염된 기관 평균
9월에 감염을 보고했습니다. 그러나 이 3개월 동안 기업들은 대개 각각 4개의 날에 Gh0st를 감지했습니다(중간값 = 4; 평균 = 11). 앞서 알아낸 것과는 다소 상반된 결과입니다.
출현율
그림 13. 출현율(X), 볼륨(Y), 강도(점 크기)에 따라 나타낸 모든 2017년 3분기 봇넷.
22
그림 15. 기업 규모 기준 봇넷 출현율 비교
보안 위협 동향 보고서
이 결과를 보고 "정기적"인 감염과 "지속적"인 감염에 대한 생각에 이르렀습니다. 어떻게 보면 유명 아케이드 게임 "두더지 잡기"와 비슷한 구석이 있습니다. 기업들은 환경에서 봇넷이 나타난 뒤에야 봇넷 감염을 때려잡지만, 문제를 일으키는 근본적인 원인을 근절하지 못합니다. 여기서 Gh0st를 예시로 든 이유는 이번 분기에 가장 출현율과 확산 속도가 높았기 때문입니다. 하지만 이런 기본 원칙은 그림 13과 14의 다른 봇넷에도 틀림없이 적용됩니다.
이제 다소 방향을 바꾸어서, 기관 규모에 따라 봇넷 출현율과 유형이 달라지는지 살펴보기로 했습니다. 그림 15는 인프라 동향 섹션에서 사용한 것과 같은 직원 규모를 사용하고, 각 그룹에서 상위 봇넷을 보고한 기업 비율을 표시했습니다(유색 막대는 해당 지점의 신뢰 구간입니다). Gh0st가 그룹 내에서 가장 일반적이었지만 몇 가지 변종이 나타나기 시작했습니다. 예를 들어 Mariposa 봇넷은 소규모 기업에서는 관찰되지 않았습니다. 대기업에서는 Neurevt 감염을 보고하지 않았습니다.
아마도 가장 흥미로운 점은 중규모 기업에서 대체로 출현율이 높았다는 것입니다. 신뢰 구간이 겹치기는 하지만, 이 규모의 기업이 범죄자들에게 "먹음직스럽게" 보이는지도 모릅니다. 소형 기업은 보호 수준은 낮지만 (가치 있는) 데이터가 적을 가능성이 큽니다.대기업은 분명 데이터는 있지만 이를 보호할 리소스도 많습니다. 일반적으로 중간 규모 기업은 관심을 끌 만큼 디지털 풋프린트가 크고 표적으로 삼을 만한 귀중한 데이터도 많지만 대기업에 비하면 보안 리소스가 부족합니다.
이런 결과가 불변의 규칙을 나타낼 가능성은 적지만(규모를 불문하고 어느 기업이든 봇넷에 감염될 수 있습니다), 직원 규모와 같이 인구 통계적 요소를 기준으로 했을 때 기관이 특정 위협 유형에 다소 취약하다는 것을 나타냅니다. 이전 보고서에서도 업종과 지역별에 따라 유사한 차이(공통점)을 발견되었습니다.
탐색적 분석
24
탐색적 분석
지난 번에는 네트워크에서 잠재적으로 위험한 애플리케이션과 위협 간의 관계를 탐색했습니다. P2P와 프록시 앱을 많이 사용하는 기업이 그렇지 않은 기업보다 봇넷과 멀웨어 감염이 7~9배나 많았다는 것이 주된 결론이었습니다. 이 관계는 매우 흥미롭고 중요하기 때문에 한 번 더 탐색해볼 만한 가치가 있습니다. 이번 분기에는 지난 번 탐색에 이어서 어떤 유형의 멀웨어와 봇넷이 이런 위험한 앱과 관계가 있는지 심층적으로 알아보겠습니다.
Orgs with P2P/Proxy Apps Orgs without P2P/Proxy Apps
그림 16. P2P/프록시 앱 사용 기업과 미사용 기업 간 위협 출현율(X) 및 볼륨(Y) 비교.
탐색적 분석
그림 16는 P2P와 프록시 앱을 사용하는 기업(빨간색 점)과
그렇지 않은 기업(파란색 점)을 대상으로 멀웨어 및 봇넷의
볼륨과 출현율을 비교한 것입니다. 화살표가 있는 흐릿한 선은 두 그룹 간의 볼륨 및 출현율 차이나 이동을 나타냅니다. 예를 들어 P2P/프록시를 사용하지 않은 집단(그래프 중간 아래의
파란색 Gh0st)에 비해 사용자 집단(오른쪽 끝의 빨간색 점)에서 Gh0st의 출현율이 훨씬 높았습니다. 선이 없다고 가정하면, P2P/프록시를 사용하지 않는 그룹은 그 멀웨어나 봇넷에 감염되지 않는다는 것을 나타냅니다. 예를 들어, Zeroaccess가 있습니다. 주로 P2P에서 확산되는 멀웨어이기 때문에 파란색 점은 없습니다.
Agent
Andromeda
Banload
Byanga
Cidox
Conficker
CryptCrytes
DiamondFoxV2
DYRE
FakeAlertFareitVB
Foreign
Generic
GenKryptik
Gh0st
H−worm
Injector
Kryptik
Locky
Mariposa
Moat
Necurs
Nemucod
njRAT
Popupper
Pushdo
Ramnit
Ransom
RedirectorRst
Sality
ScrInject
TrojanDownloaderVJworm
WebShell
Zeroaccess
Agent
Asprox
Cidox
ConfickerCridex
GenKryptikGh0st
Injector
Kryptik
Moat
Nemucod
10
100
1k
10k
100k
1 in100
1 in10
그림 16은 "P2P와 프록시 앱을 기관에서 사용하기 시작한다면 어떤 유형의 위협에 얼마나 자주 노출될 것인가?"라는 질문에 대한 답과 같습니다. 그 점에서 이 그래프는 상당히 생각할 내용이 많습니다. 파란색보다 빨간색 점이 얼마나 많은지 보이십니까(지금까지 보지 못했던 새로운 위협이 보이실 것입니다)?
파란색과 빨간색에 모두 존재하는 위협 중에서 빨간색은 대개 오른쪽 위로 현저히 옮겨 갑니다(예전보다 더욱 많은 것이 보이실 것입니다). 이런 대가를 치를 만큼 가치가 있는지 의문이 생기지 않으십니까? 네, 맞습니다. 그만큼 가치가 있는지도 모릅니다. 이 결정은 의사 결정자가 결정할 문제입니다. 저희는 정보에 입각한 결정을 내리도록 도와드리고 싶었을 뿐입니다.
P2P/프록시 앱 사용 기관 P2P/프록시 앱 비사용 기관
결론 및 권장 사항
26
결론 및 권장 사항이번 분기에도 저희에게 귀중한 시간을 내주셔서 감사합니다. 글로벌 위협 동향에 대해 유용한 시각을 얻고 관련된 실제 업무에 적용해보시기를 바랍니다. 앞서 공유했던 모든 통계를 요약하는 의미로, 2017년 3분기에 관찰한 내용을 바탕으로 데이터 중심적인 권고를 드리겠습니다. 보고서나 다른 질문이 있으시면 언제든지 당사에 문의해주십시오.
01공격 전 정찰(익스플로잇)에 무기화(멀웨어), 침투 후 명령 및 제어(봇넷)에 이르기까지 다양한 위협을 살펴보았습니다. 이것은 방어 전략을 그러한 체인을 따라 고르게 분포시켜야 한다는 사실을 상기시키는 것과 같습니다. 기존 보안 태세를 점검하고 각 단계의 역량을 평가하시는 것이 좋습니다.
022분기의 WannaCry나 3분기의 Apache Struts는 예전부터 존재했지만몇 번이고 패치되지 않은 취약성을 노립니다. 중요한 패치 릴리스에 주의를 기울이고 공격 전 정찰 징후나 익스플로잇 동향에 대한 정보를 모니터링하십시오. 그림4와 5의 목록이 도움이 되기를 바랍니다.
03야생에 등장한 새로운 위협과 취약성에 경계를 늦추지 말아야 할 뿐만 아니라, 자신의 환경에서 일어나는 일에도 눈을 떼지 마십시오. 오늘날 보안 업계에서 네트워크 및 장치 위생은 가장 간과되는 요소입니다. 지속적으로 불필요한 서비스를 제거하고, 취약성을 근절하고, 질서를 유지하는 것은 보안에서 재미 있고 매력적인 부분은 아니지만 매우 중요합니다.
04여러분의 기관에 SCADA나 다른 유형의 산업 관리 프로그램이 있다면 가장 먼저 관련된 경영 및 운영 위험을 철저히 평가하고, 그에 맞는 적절한 전략을 정의해야 합니다. 여기에는 대부분 영역, 전달자, 경계, 보안 수준을 정의하는 활동이 포함됩니다. 이는 SCADA와 SCADA 외의 시스템 사이의 통신을 제한하는 데 중요합니다. 추가로 SCADA 보안에 대한 기본 설명을 “SCADA Security 101” 블로그 게시글에서 확인할 수 있습니다. 또한, 산업 보안 서비스에 대해 익혀보는 것도 좋습니다.
결론 및 권장 사항
05시간이 흐를수록 멀웨어의 확산 및 회피 능력이 발전한다는 것은 모두들 익히 알고 있습니다. 그러나 수많은 고차원 다운로더와 드로퍼가 그래프 상위에 위치하는 모습을 보면, 단일 지점 시그니처 기반 AV로는 부족하다는 것을 다시 한 번 깨달을 수 있습니다. 알려진 위협과 알려지지 않은 위협을 다양한 계층에서 감지하는 멀웨어 방어 기능을 모든 환경에 적용하십시오.
27
06Locky 랜섬웨어가 이번 분기에 다시 부활했지만 저희가 드릴 기본적 조언은 같습니다. Locky와 같은 랜섬웨어에 대한 가장 좋은 방어는 웹 필터링 기술을 배포하고, 스팸 방지 기술과 악성 이메일 첨부 문서를 감지해서 제거하는 기능이 포함된 효과적인 이메일 보안 도구를 사용하는 것입니다. 무엇보다도 감염에 대비해서 중요한 데이터를 네트워크가 연결되지 않은 곳에 최신 백업으로 유지하는 것이 중요합니다.
073분기에는 4개 기업 중 1개가 모바일 멀웨어를 보고했습니다. 안타깝게도 이런 모바일 기기는 기존 시스템만큼의 제어, 가시성, 보호 기능을 갖추지 못한 경우가 많기 때문에 문제가 됩니다. 효과적인 모바일 보안 전략은 이러한 현실을 간과해서는 안 됩니다. 모바일 애플리케이션 제어와 멀웨어 보호 기능을 네트워크에 내장하여 언제 어떤 장치든 보호해야 합니다.
08분석 결과에 따르면, 많은 기관이 반복적이고 주기적인 봇넷 감염에 시달립니다. 수천 개의 엔드포인트에서 두더지 잡기를 하는 대신 스마트 도구와 좋은 정보를 조합해서 네트워크에 있는 중요 지점에서 발생하는 봇넷 통신을 감지하고 근절하는 능력을 키우는 것이 좋습니다.
09중간 규모 기업은 그 규모에 비해 감당하기 어려운 보안 문제를 경험합니다.기본 원칙에 충실히 하여 이 문제를 해소하십시오. 승인 장치와 미승인 장치 목록을 작성하고, 사용자 권한(특히 관리자)을 제한하고, 환경에서는 업무에 필요한 애플리케이션만 사용하고, 애플리케이션과 시스템을 최신으로 유지하면서 완벽히 패치하는 등이 있습니다. 물론, 대기업도 이런 권고를 따르는 것이 좋습니다.
결론 및 권장 사항
10P2P나 프록시 앱과 같이 미심쩍은 업무용 앱을 많이 사용하는 기업은 멀웨어/봇넷 감염이 많이 발견되었습니다. 기존 정책을 검토하고 소프트웨어인벤토리를 업데이트하고 불량한 애플리케이션을 찾아내야 하는 좋은이유입니다.
Copyright © 2017 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® 및 FortiGuard® 및 기타 상표는 Fortinet, Inc.의 등록상표입니다. 본문에 기재된 기타 Fortinet 관련 상품명/상호 등 또한 Fortinet의 등록 및/또는 관습법상 등재 상표일 수 있습니다. 다른 모든 제품 또는 회사명은 각각 해당되는 소유주의 등록상표일 수 있습니다. 본문에 기재된 성능 및 기타 지표는 이상적인 실험 조건 하에서 수행한 사내 연구소 테스트 결과로 획득한 것이며, 실제 성능 및 기타 결과는 다양하게 나타날 수 있습니다. 네트워크 변수, 서로 다른 네트워크 환경 및 기타 조건 등이 성능 결과에 영향을 미칠 수 있습니다. 본문에 기재된 어떠한 내용도 Fortinet에서 법적인 효력이 있는 약속을 한다는 의미가 아니며, Fortinet은 명시적이든 묵시적이든 모든 보장에 대한 책임을 부인하는 바입니다. 다만 Fortinet에서 법적 구속력이 있는 서면 계약을 체결하여 Fortinet 법무 자문위원(General Counsel)이 서명하고, 계약서에 기재된 제품이 분명하게 명시된 특정 성능 지표대로 성능을 발휘할 것이라고 구매자에게 분명히 보장한 경우는 예외입니다. 이러한 경우, 그와 같이 법적 구속력이 있는 서면 계약서에 분명히 기재된 특정 성능 지표만이 Fortinet에 법적 효력을 발휘합니다. 의미를 확실히 해두기 위하여, 그와 같은 보장은 Fortinet의 사내 연구소 테스트를 실시한 조건과 동일한 이상적인 조건하에서의 성능에만 국한됩니다. Fortinet은 명시적이든 묵시적이든 본문에서 거론한 각종 약속, 대변 및 보장 등에 대한 책임을 전면 부인하는 바입니다. Fortinet에는 본 발행물을 사전 통보 없이 언제든 변경, 수정, 전송 또는 기타 형태로 개정할 권한이 있으며 본 발행물은 최신 버전을 적용하는 것을 원칙으로 합니다. Fortinet은 명시적이든 묵시적이든 본문에서 거론한 각종 약속, 대변 및 보장 등에 대한 책임을 전면 부인하는 바입니다. Fortinet에는 본 발행물을 사전 통보 없이 언제든 변경, 수정, 전송 또는 기타 형태로 개정할 권한이 있으며 본 발행물은 최신 버전을 적용하는 것을 원칙으로 합니다.
2017년 11월
본사Fortinet Inc.899 Kifer RoadSunnyvale, CA 94086United StatesTel: +1.408.235.7700www.fortinet.com/sales
포티넷 코리아서울특별시 강남구 영동대로 325 (대치동, 해암빌딩 15층)전화 : 080-559-8989 메일 : [email protected] 홈페이지 : www.fortinet.com/kr페이스북 : www.facebook.com/fortinetkorea
