Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.

Cloud Service를 이용핚 APT(Advanced Persistent Threat) 대응

2011.11.03

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Advanced Threat Researcher, MCSE, MCDBA, MCSA, CISSP

장 영 준 선임 연구원 (zhang95@ahnlab.com)

목차

1

I. APT(Advanced Persistent Threat) 1. APT(Advanced Persistent Threat) 특징

2. APT(Advanced Persistent Threat) 대상

3. APT(Advanced Persistent Threat)의 Targeted Attack

4. APT(Advanced Persistent Threat)의 Remote Control

II. APT(Advanced Persistent Threat) Case Study 1. 2010년 1월 Operation Aurora 침해 사고

2. 2011년 2월 Night Dragon 침해 사고

3. 2011년 3월 EMC/RSA 침해 사고

4. 2011년 8월 Operation Shady RAT 침해 사고

Ⅲ. Cloud Service를 이용한 APT(Advanced Persistent Threat) Defense Strategy

1. APT(Advance Persistent Threat) Timeline

2. Proactive Defense for APT(Advance Persistent Threat)

3. Cloud Service for Proactive Defense

APT(ADVANCED PERSISTENT THREAT)

1

2

1. APT(Advanced Persistent Threat) 특징

3

APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격

APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표

2. APT(Advanced Persistent Threat) 대상

4

정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상

피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발

• 정부 기관 기밀 문서 탈취

• 군사 기밀 문서 탈취 정부 기관

• 사이버 테러리즘 활동

• 사회 기간 산업 시스템 동작 불능

사회 기간

산업 시설

• 첨단 기술 자산 탈취

• 원천 기술 관련 기밀 탈취 정보 통신 기업

• 기업 지적 자산 탈취

• 기업 영업 비밀 탈취 제조 업종 기업

• 사회 금융 시스템의 동작 불능

• 기업 금융 자산 정보 탈취 금융 업종 기업

3. APT(Advanced Persistent Threat)의 Targeted Attack

5

[Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기]

APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계

공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발

Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의

취약점을 악용하는 악성코드나 악성코드를 다운로드하는 웹 페이지 링크 전송

4. APT(Advanced Persistent Threat)의 Remote Control

6

Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드

악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증

공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복

[Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기]

APT(ADVANCED PERSISTENT THREAT) CASE STUDY

2

7

1. 2010년 1월 Operation Aurora 침해 사고

8

2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개

해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상

공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취

공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용

[Operation Aurora 침해 사고 흐름도]

1) Targeted Attack으로 웹 사이트 링크 전

달

2) 링크 클릭으로 I.E Zero Day 취약점 동작 악성코드 다운로드 & 감염

3) C&C 서버에서 원격 제어

4) 내부 주요 시스템들 해킹 후 데이터 탈취

내부 임직원

2. 2011년 2월 Night Dragon 침해 사고

9

2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개

해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상

공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취

기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염

[Night Dragon 침해 사고 흐름도]

최소 1년 이상 기업 내부망 잠복

1) 외부 시스템 해킹 후 C&C 서버 설치 악성코드 업로드

2) 내부 임직원 대상 Targeted Attack 수행

악성코드 감염

3) 악성코드에 감염된 내부 임직원 시스템으로

내부망 침입

4) 다른 해킹 툴 다운로드 후 내부망 주요 시스템들 해킹

5) 이메일 데이터와 기밀 문건들 외부 유출

3. 2011년 3월 EMC/RSA 침해 사고

10

2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개

공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취

공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정

Targeted Attack으로 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용

이메일에는 취약핚 SWF 파일이 포함된 “2011 Recruitment plan.xls” 파일 전송

[EMC/RSA 침해 사고 흐름도]

•내부 직원 대상

•취약한 XLS 파일

Targeted Attack

•Poison Ivy 감염

•외부 원격 제어

악성코드 •관리자 권한 확보

•주요 시스템 해킹

내부망 해킹

•기밀 데이터 추출

•압축 및 암호화

기밀 데이터 •RAR로 분할 압축

•FTP로 외부 전송

탈취

4. 2011년 8월 Operation Shady RAT 침해 사고

11

2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개

해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생

공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취

Targeted Attack으로 웹 페이지 링크 전송 등 다양핚 일반 Application의 취약점을 악용

[Operation Shady RAT 침해 사고 발생 조직 분류]

미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22

건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6

전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13

방위 산업 업체 - 13

부동산, 회계, 농업, 보험 관련 업체 - 6

국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13

CLOUD SERVICE를 이용한 APT(ADVANCED PERSISTENT THREAT)

DEFENSE STRATEGY

3

12

13

1. APT(Advanced Persistent Threat) Timeline

1) 유포지 획득 : 제 3의 시스템 해킹 후 악성코드 업로드

2) 악성코드 유입/감염 : Social Engineering을 이용핚 Targeted Attack

3) 공격자와 연결 : Reverse Connection으로 C&C 서버로 연결

4) 공격 명령 : C&C 서버를 통해 원격 제어 및 공격 명령 지시

14

2. Proactive Defense for APT(Advance Persistent Threat)

APT 공격에 대응하기 위해서는 핚, 두 가지 대응 방안으로는 대응이 어려움

여러 대응 방안들이 상호 유기적으로 결합된 Defense in Depth 체계가 구축 되어야 함

3. Cloud Service for Proactive Defense

15

보안 파트너 (정부/해외)

중소기업

V3 MSS SiteGuard

V3 IS 8.0 SiteGuard

APC 4.0 SiteGuard

Security Center

TrusGuard

대기업

게임/금융

AOS Hackshield

종합 위협 분석 시스템

Network 위협 정보 악성 코드 악성 URL

CERT ASEC

모니터링 / 대응

Smart Defense

SiteGuard Heuristic

보안 관제 센터

보안 관리 인프라

V3 Engine TrusGuard Signature

개인사용자

V3 365 SiteGuard

Mobile Security

데이터센터/ 서비스 제공자

SiteGuard Database

Smart Defense Database

감사합니다 세상에서 가장 안전핚 이름

Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved. http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo