Hidden Lynx – 전문 청부 해커 그룹

윤광택 이사 CISSP

CSO 포럼: Symantec 1

윤광택 이사, CISSP

들어가기 전에들어가기 전에

CSO 포럼: Symantec 2

Elderwood Gang이란?Elderwood Gang이란?

• 대규모 공격을 3년 이상 진행한 해킹 그룹

• Google이 인정한 Hydraq(Aurora) 공격의 배후로 추정– 반정부 인사의 이메일을 접근하기 위함.

• 다른 해킹 그룹보다 기술수준이 높음– Nitro 그룹: 1 zero day룹 y– Sykipot 그룹: 2 zero days– Stuxnet : 4 zero days– Elderwood 그룹은 8 zero days!

• “Elderwood”란 용어는 공격자가 사용한 공격 코드에서가져옴가져옴

CSO 포럼: Symantec 3

공격 타임라인공격 타임라인

June 2011March 2011 May 30 2012December 2010 May 7 2012June, 2011CVE ‐2011‐2110

March, 2011CVE ‐2011‐0609

May 30, 2012CVE ‐2012‐1889

December, 2010CVE ‐2010‐0249

May 7, 2012CVE ‐2012‐1875

20102010 20112011 20122012

April, 2011CVE ‐2011‐0611

August 15, 2012CVE ‐2012‐1535

April 24, 2012CVE ‐2012‐0779CVE  2011 0611 CVE  2012 1535CVE  2012 0779

CSO 포럼: Symantec 4

표적 공격 진행방법표적 공격 진행방법

2222Initial infection 

vectors

CSO 포럼: Symantec 5

스피어 피싱 – 작동원리스피어 피싱 – 작동원리

공격자는 이메일에첨부파일 또는악성링크를 포함하여이메일 전송

1

이메일 전송

사용자가 첨부 파일을열람하거나악성링크를 클릭하여방문시 악성코드 감염

2백도어 설치

3

http://badstuffhere.com

CSO 포럼: Symantec 6

Hydraq(Aurora) 공격Hydraq(Aurora) 공격

MS IE 취약점 악용

Discovery Public 0‐Day Patch Patch Widely Deployed

MS IE 취약점 악용

일반적인 공격Hydraq

일반적인 공격

HTTP MS IE Memory Corruption Code Exec

Hydraq

7CSO 포럼: Symantec

MS IE Vulnerability(Hydraq 공격) 진행사항MS IE Vulnerability(Hydraq 공격) 진행사항

• 공격 증가 추이

1월 15일:공격코드가 공개되고, Metasploit에 포함됨

1월 21일:마이크로소프트는 CVE2010‐0249 패치 제공

1월 14일: 마이크로소프트는 Security Bulletin  (979352)을 통해CVE2010‐0249 확인

8

워터링 홀 공격 – 작동원리워터링 홀 공격 – 작동원리

20122012년부터년부터급격하게급격하게

IFRAME

1

<html><iframe></html>

<html><iframe></html>

<html><iframe> 급격하게급격하게

증가하기증가하기시작함시작함

웹사이트 공격

2</html><iframe>

</html>

시작함시작함

공격자는 정상웹사이트 해킹 후 iframe을 웹페이지에공격자는 정상웹사이트 해킹 후 iframe을 웹페이지에1

공격단계

공격자는 정상웹사이트 해킹 후 iframe을 웹페이지에11

공격단계

공격자는 정상웹사이 해킹 후 을 웹페이지에삽입시켜 놓음공격자는 정상웹사이 해킹 후 을 웹페이지에삽입시켜 놓음

1

2 사용자는 해당 사이트 방문사용자는 해당 사이트 방문

3 사용자는 iframe에 의해 악성코드가 배포하는 서버로사용자는 iframe에 의해 악성코드가 배포하는 서버로

공격자는 정상웹사이 해킹 후 을 웹페이지에삽입시켜 놓음

11

22 사용자는 해당 사이트 방문

33 사용자는 iframe에 의해 악성코드가 배포하는 서버로3 사용자는 iframe에 의해 악성코드가 배포하는 서버로redirection 됨사용자는 iframe에 의해 악성코드가 배포하는 서버로redirection 됨

33 사용자는 iframe에 의해 악성코드가 배포하는 서버로redirection 됨

공격코드 배포 웹서버3

CSO 포럼: Symantec 9

드라이브 바이 다운로드 vs 워터링 홀 공격드라이브 바이 다운로드 vs. 워터링 홀 공격

• 유사점: Web site를 방문하면 악성코드 감염이 됨• 유사점: Web site를 방문하면 악성코드 감염이 됨

• 차이점: Drive by Download(Trojan 감염)/Watering hole attack(Backdoor감염)Watering hole attack(Backdoor감염)

CSO 포럼: Symantec 10

iddHidden Lynx

CSO 포럼: Symantec 11

Hidden Lynx 그룹은 누구인가?Hidden Lynx 그룹은 누구인가?• 2009년 이전에 조직된 "청부 해커 집단"

• 중국에 거점

• 고도로 커스터마이즈된 툴 및 제로데이익스플로잇 활용익스플로잇 활용

• 일명 VOHO 작전이라는 대규모 "워터링홀" 공격 주도

TOOLSTOOLSTOOLS

• Comment Crew/APT1보다 뛰어난 실력 보유

• 혁신적이고 체계적이며 숙련된 집단

CSO 포럼: Symantec 2

Hidden Lynx의 특징Hidden Lynx의 특징

다양한 대상을

풍부한 리소스를 보유한50명~100명 규모의 조직

다양 대상을표적으로 삼음

까다로운 표적도침투 가능침투 가능

동시다발적 작전 수행

CSO 포럼: Symantec 3

동시다발적 작전 수행

Hidden Lynx의 양면성Hidden Lynx의 양면성

동일한 조직, 다양한 팀…

Team Naid Team MoudoorTeam Naid엘리트 집단, 정확하고 신속한 공격 수행공격 수단: Trojan.Naid공격 범위: 특정 작전 수행(소규모 팀)

Team Moudoor숙련된 인력, 다작형, 무차별적 공격 수행수단: Backdoor.Moudoor(커스터마이즈된 “Gh0st RAT”)공격 범위: 특정 작전 수행(소규모 팀)

표적: 국익 관련 정보예: Bit9 공격, Aurora 작전

(커스터마이즈된 Gh0st RAT )공격 범위: 광범위한 공격(대규모 팀)표적: 금융 기관, 정부 기관, 의료 기관, 교육기관, 법률 기관

CSO 포럼: Symantec 4

동기

MOUDOOR NAID

동기

산업 스파이정부 대상 첩보 산업 스파이

•투자 은행, 자산 관리 회사, 법률회사 대상

정부 대상 첩보

•정부 및 하청업체(특히 방위산업체) 대상 회사 대상

•주식 시장/중개소•기업 인수 합병에 관한 내부자

산업체) 대상•국가와 정부에 중대한 의미를 갖는기밀 정보 입수가 목적

정보•경제적 동기, 기업 내 승진, 영업기밀 입수

CSO 포럼: Symantec 5

표적 - 업종표적 - 업종

수백 개의수백 개의 수십 차례의수십 차례의 직접/간접직접/간접수백 개의표적

수백 개의표적

수십 차례의작전 수행

수십 차례의작전 수행

직접/간접공격

직접/간접공격

CSO 포럼: Symantec 6

가장 빈번하게 표적이 된 상위 10개 국가가장 빈번하게 표적이 된 상위 10개 국가

52.7% 미국

15.5% 대만

9% 중국

4% 홍콩

3% 일본

2.4% 캐나다

2.2% 독일

1.7% 러시아 연방러시아 연방

1.5% 호주

1.5% 한국

CSO 포럼: Symantec 7

툴 전술 절차툴, 전술, 절차

• 커스터마이즈된 트로이 목마워터링홀 수법 O O 초창기부터 사용• 워터링홀 수법(VOHO) - 초창기부터 사용• 스피어 피싱• 협력사 공격

– 협력사에 트로이목마를 이용하여 공격후 다시 최종 공격목표 공격

제로데이 및 알려진 익스플로잇• 제로데이 및 알려진 익스플로잇– 2011년부터 5개의 익스플로잇(3개의 제로데이 익스플로잇 포함) 이용

– 초기에 익스플로잇의 세부 정보 수집(Oracle Java CVE-2013-1493) 초기에 익스플로잇의 세부 정보 수집(O ac e Ja a C 0 3 93)

• 우수한 적응력, 고도의 지능성– Bit9 서명 인증서를 탈취하여 화이트리스팅 기술 우회 이용

• 전문가와 숙련된 집단의 존재를 시사하는 특성을 보임

CSO 포럼: Symantec 8

Bit9 공격Bit9 공격

• VOHO 작전에서 비롯됨

• Bit9은 인증 기반 보안 플랫폼 제공– Bit9 서명이 있으면 모두 인증되고 실행이 허용됨

• 초기 침투– Bit9 서버에서 SQL 인젝션 발생(2012년 7월)

– Backdoor.Hikit를 설치하여 교두보 확보

• Bit9의 코드 서명 인증서가 악용됨– Trojan.Naid를 비롯한 32가지 악성 바이너리의

서명에 사용

– 이후 미국 방위 산업체에 대한 공격에 파일 사용이후 미국 방위 산업체에 대한 공격에 파일 사용

CSO 포럼: Symantec 9

VOHO 작전VOHO 작전

• 10개의 전략적 웹 사이트에 가해진 대규모 워터링홀 공격

• 2단계 공격 - C&C 로그에 4천대 이상의 감염 기록

• 2012년 6월 25일에 시작, 7월 18일에 종료

• 익스플로잇– IE 제로데이(CVE-2012-1889)제 데이( )

– Oracle Java(CVE-2012-1723)

• 제로데이 취약점의 패치가 발표되면 잠시 공격을 중단하여제 데이 취약점의 패치가 발 되면 잠시 공격을 중단하여관심이 집중되지 않도록 함

• 악성 코드– Backdoor.Moudoor 및 Trojan.Naid

CSO 포럼: Symantec 10

VOHO 공격 연표VOHO 공격 연표

06/12/2012(CVE-212-1889) MS Advisory(CVE-2012-1723) Oracle 패치

06/21/2012Moudoor 생성

C&C: 58.64.155.57

06/27/2012Moudoor 생성

C&C: 58.64.155.57

07/10/2012(CVE-2012-1889)

MS 패치

07/14/2012Java 익스플로잇

생성

07/16/2012Moudoor 생성

C&C: 58.64.155.59

20122012년년 66월월 20122012년년 77월월20122012년년 66월월 20122012년년 77월월

06/25/2012 07/13/201206/25/2012Naid 생성

C&C: 180.210.204.227

07/13/2012Naid 생성 + Bit9 서명C&C: 180.210.204.227

2단계단계 2단계07/16/2012 – 07/18/2012

(CVE-2012-1723)악성 Java 애플릿

1단계06/25/2012 – 07/10/2012

(CVE-2012-1889)IE 제로데이

CSO 포럼: Symantec 11

중요 기술적 연결 고리중요 기술적 연결 고리

Hidden Lynx 그룹의 활동을 연계시키는 단서들:

•일관되게 다음 두 가지의 커스터마이즈된 트로이 목마 사용– Backdoor.Moudoor

– Trojan.Naid

•여러 작전에서 동일한 C&C 서버 사용

•공격 대상에 따라 NAID 또는 MOUDOOR를 배포하는 데동일한 감염된 웹 사이트 사용

•반복적으로 동일한 표적 그룹 공격– 특히 금융, 정부/공공 기관, IT/ICT 분야에 집중

CSO 포럼: Symantec 12

결론결론• 2009년부터 활동하면서 다수의 공격 감행

• 확실한 동기를 가지고 있으며 숙련된 리소스를 활용하므로 공격• 확실한 동기를 가지고 있으며 숙련된 리소스를 활용하므로 공격피해가 큼

• 2011년 이후 3가지 제로데이 취약점 이용이후 가지 제 데이 취약점 이용

• 다양한 표적을 대상으로 공격, 따라서“청부 해킹”일 가능성이 높음

• 대부분의 공격에 워터링홀 수법을 구사하지만스피어 피싱 및 협력사 해킹도 사용한 적이 있음

• 주로 지적 재산을 노림• 주로 지적 재산을 노림

• 표적이 된 기업/기관의 모든 협력업체가피해를 입을 수 있음(예: IT/ICT, 금융 및 법률 서비스,생산 공장)

CSO 포럼: Symantec 14

대응방안대응방안

CSO 포럼: Symantec 24

시만텍의 보호 기술시만텍의 보호 기술

• 시만텍 고객은 이 리포트에 언급된 악성 코드변형으로부터 보호받습니다 시만텍 제품은 안티바이러스변형으로부터 보호받습니다. 시만텍 제품은 안티바이러스, 인사이트, 행동 기반 기술(예: SONAR)을 사용하여 이러한위험을 탐지합니다.

• 시만텍 제품(네트워크 보안 위협 차단/IPS 기술 포함)을사용하는 고객은 이 리포트에 언급된 익스플로잇을이용하 격 부터 호받습니다이용하는 모든 공격으로부터 보호받습니다.

• 다음 사이트에서 시만텍 보호 기술에 대해 자세히알아보십시오알아보십시오. http://www.symantec.com/page.jsp?id=star

CSO 포럼: Symantec 13

Symantec Protection Model심층적 보호 모델심층적 보호 모델

Intrusion PreventionNETWORK

Antivirus FILE

Download Insight

REPUTATIONSONARBEHAVIORS

Power EraserREPAIR

악성코드가 네트워크를 통해 전파되지

않도록 차단

시스템에 악성코드가 저장되면 곧바로스캔하고 차단함

파일과 웹사이트의안정성을 지성집단을 사용하여 판단함

프로그램이 시작되면 곧바로 모니터링하고, 악성 유무를

판단 후 차단

탐지 및 제거가 어려운악성코드를 탐지하고

제거함

26CSO 포럼: Symantec

추가 정보추가 정보

블로그http://www.symantec.com/connect/symantec-blogs/sr

Twitterhttp://twitter.com/threatintel

백서백서http://www.symantec.com/security_response/whitepapers.jspp j p

CSO 포럼: Symantec 15

감사합니다!감사합니다!

patrick_youn@symantec.com02 3468 206002‐3468‐2060

Copyright © 2012 Symantec Corporation. All rights reserved. Symantec, Symantec 로고는 미국 및 기타 국가에서 Symantec Corporation 또는 그 자회사의 상표 또는 등록상표입니다. 다른 이름은 해당 회사의 상표일 수 있습니다.

이 문서는 정보 제공을 위해 제공된 것으로 광고를 목적으로 하지 않습니다 이 문서의 정보와 관련된 모든 보증은 법이 허용하는 최대 한도 내에서 명시적/묵시적 보증을이 문서는 정보 제공을 위해 제공된 것으로 광고를 목적으로 하지 않습니다. 이 문서의 정보와 관련된 모든 보증은 법이 허용하는 최대 한도 내에서 명시적/묵시적 보증을제공하지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

CSO 포럼: Symantec 16