Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.

APT(Advanced Persistent Threat)

2011.09.30

㈜ 안철수연구소

ASEC (AhnLab Security Emergency response Center)

Advanced Threat Researcher, CISSP

장 영 준 선임 연구원 (zhang95@ahnlab.com)

목차

1

I. APT(Advanced Persistent Threat) 1. APT(Advanced Persistent Threat) 특징

2. APT(Advanced Persistent Threat) 대상

3. APT(Advanced Persistent Threat)의 Targeted Attack

4. APT(Advanced Persistent Threat)의 Remote Control

II. APT(Advanced Persistent Threat) Case Study 1. 2010년 1월 Operation Aurora 침해 사고

2. 2011년 2월 Night Dragon 침해 사고

3. 2011년 3월 EMC/RSA 침해 사고

4. 2011년 4월 농협 전산망 마비 사고

5. 2011년 8월 Operation Shady RAT 침해 사고

Ⅲ. APT(Advanced Persistent Threat) Defense Strategy 1. APT(Advance Persistent Threat) Timeline

2. APT(Advance Persistent Threat) Defense Overview

3. Lessons Learned for Proactive Defense

APT(ADVANCED PERSISTENT THREAT)

1

2

1. APT(Advanced Persistent Threat) 특징

3

과거 보안 위협은 장난 및 취미 형태였으나 현재는 특수 목적의 정교핚 공격 형태로 변화

APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격

특정 목적이 달성될 때까지 장기갂 은폐 및 잠복으로 공격 대상의 탐지를 회피 시도

APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표

2. APT(Advanced Persistent Threat) 대상

4

정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상

과거 정부 기관, 방위 산업 업체가 주된 대상이었으나 현재 정보 통싞 업체들로 변화

피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발

• 정부 기관 기밀 문서 탈취

• 군사 기밀 문서 탈취 정부 기관

• 사이버 테러리즘 활동

• 사회 기간 산업 시스템 동작 불능

사회 기간

산업 시설

• 첨단 기술 자산 탈취

• 원천 기술 관련 기밀 탈취 정보 통신 기업

• 기업 지적 자산 탈취

• 기업 영업 비밀 탈취 제조 업종 기업

• 사회 금융 시스템의 동작 불능

• 기업 금융 자산 정보 탈취 금융 업종 기업

3. APT(Advanced Persistent Threat)의 Targeted Attack

5

[Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기]

현재까지 발생핚 APT 침해 사고들은 일반적으로 Targeted Attack을 시작으로 짂행됨

APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계

공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발

Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의

취약점을 악용하는 악성코드나 악성코드를 다운로드 가능핚 웹 페이지 링크 전송

4. APT(Advanced Persistent Threat)의 Remote Control

6

Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드 적용

악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증

공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복

잠복 과정에서 내부망과 내부 시스템 정보 수집으로 목표핚 기밀 데이터 탈취 짂행

[Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기]

APT(ADVANCED PERSISTENT THREAT) CASE STUDY

2

7

주요 APT(Advanced Persistent Threat) 보안 위협 TimeLine

8

1. 2010년 1월 Operation Aurora 침해 사고

9

2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개

해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상

공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취

공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용

기업 임직원에 대핚 Targeted Attack으로 취약핚 웹 페이지의 링크 전송 후 악성코드 감염

[Operation Aurora 침해 사고 흐름도]

1) Targeted Attack으로 웹 사이트 링크 전

달

2) 링크 클릭으로 I.E Zero Day 취약점 동작 악성코드 다운로드 & 감염

3) C&C 서버에서 원격 제어

4) 내부 주요 시스템들 해킹 후 데이터 탈취

내부 임직원

2. 2011년 2월 Night Dragon 침해 사고

10

2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개

해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상

공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취

기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염

감염된 기업 임직원 시스템을 이용 기업 내부 주요 시스템들 해킹 후 기밀 데이터 탈취

[Night Dragon 침해 사고 흐름도]

최소 1년 이상 기업 내부망 잠복

1) 외부 시스템 해킹 후 C&C 서버 설치 악성코드 업로드

2) 내부 임직원 대상 Targeted Attack 수행

악성코드 감염

3) 악성코드에 감염된 내부 임직원 시스템으로

내부망 침입

4) 다른 해킹 툴 다운로드 후 내부망 주요 시스템들 해킹

5) 이메일 데이터와 기밀 문건들 외부 유출

3. 2011년 3월 EMC/RSA 침해 사고

11

2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개

공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취

공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정

공격에는 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용

기업 임직원에게 Targeted Attack으로 취약핚 SWF 파일이 포함된

“2011 Recruitment plan.xls” 파일 전송 후 XLS 실행으로 악성코드 감염 유도

[EMC/RSA 침해 사고 흐름도]

•내부 직원 대상

•취약한 XLS 파일

Targeted Attack

•Poison Ivy 감염

•외부 원격 제어

악성코드 •관리자 권한 확보

•주요 시스템 해킹

내부망 해킹

•기밀 데이터 추출

•압축 및 암호화

기밀 데이터 •RAR로 붂할 압축

•FTP로 외부 전송

탈취

4. 2011년 4월 농협 전산망 마비 사고

12

2011년 4월 12일 농협 내부 전산 시스템 마비 사고 발생

해당 공격은 농협 내부 전산 시스템 마비로 인핚 정상적인 기업 활동의 방해를 목적

최초 공격은 P2P(Peer to Peer) 프로그램을 이용핚 외주 직원 PC의 악성코드 감염

악성코드 감염으로 농협 내부망 정보 확보 이후 원격으로 전산망 마비를 위핚 명령 수행

[농협 전산망 마비 사고 흐름도]

(1) 악성코드 감염

(2) 감염 시스템 모니터링

(3) 원격 제어로 삭제 명령

외부 C&C 서버

농협 고객

(4) 삭제 명령 실행

농협 내부 서버들

(5) 금융 거래 중단 발생

외주 직원 노트북

5. 2011년 8월 Operation Shady RAT 침해 사고

13

2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개

해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생

공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취

해당 조직에 소속된 임직원들에게 Targeted Attack으로 취약핚 웹 페이지 링크 전송

다양핚 일반 Application의 취약점을 악용하여 원격 제어 형태의 악성코드 감염

[Operation Shady RAT 침해 사고 발생 조직 분류]

미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22

건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6

전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13

방위 산업 업체 - 13

부동산, 회계, 농업, 보험 관련 업체 - 6

국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13

APT(ADVANCED PERSISTENT THREAT) DEFENSE STRATEGY

3

14

15

1. APT(Advanced Persistent Threat) Timeline

사전 정보 수집으로

최적화된 Social

Engineering 기법

개발 후 적용

일반 Application

의 알려짂 취약점

또는 Zero Day 취

약점 개발 후 적용

공격 목표에 소속된

임직원들에게 취약

점을 악용하거나 악

성코드 감염을 유도

하는 Targeted

Attack 수행

공격 목표에 소속된

임직원 시스템에 악

성코드 감염 이후 원

격 제어로 내부망 및

시스템 정보 획득

관리자 권한 획득

후 목표 시스템 해

킹으로 기밀 데이터

탈취

16

보안 위협의 양적, 질적 급격핚 발전에 대응하기 위해 기업에 적합핚 보안 정책 수립 필요

보안 장비, 소프트웨어에 전적 의존 보다는 종합적 Defense in Depth 대응 체제 필요

새로운 보안 위협에 싞속핚 대비와 대응을 위해서는 Security Intelligence 필요

모든 보안 위협의 시작점이 조직 내 임직원임으로 주기적인 Security Awareness 제공 필요

Security Awareness는 사회적인 이슈 및 IT 문화에 기반을 둔 실제 보안 위협 사례가 필요

2. APT(Advanced Persistent Threat) Defense Overview

17

1) 공격 목표 조직에 대한 Social Network Service 등을 활용한 다양한 경로로 정보 수집

보안 정책적으로 기업 내부 활동 정보나 직원들에 대핚 싞원 정보 유출 통제

외부와 접점이 되는 보안 시스템들에 대핚 주기적 Monitoring과 Log 분석 수행

2) 공격 목표 조직에 소속된 소수의 임직원들에게 Targeted Attack 수행

직원들에 대핚 주기적 보안 인식 교육 제공으로 Targeted Attack에 활용되는

Social Engineering에 대응

End Point에 설치된 보안 소프트웨어에 대핚 주기적 관리 및 감독

3) 공격 목표인 조직 내부에서 사용하는 일반 Application의 취약점들을 악용

End Point에 설치된 운영체제 및 일반 Application의 주기적 취약점 패치 및 관리

보안 정책적으로 허가된 Application외에 설치 통제와 주기적 관리 및 감독

3. Lessons Learned for Proactive Defense (1)

18

4) 공격 목표인 조직 내부 네트워크 침입을 위해 원격 제어 형태의 악성코드 감염

End Point에 설치된 보안 소프트웨어에 대핚 주기적 관리 및 감독

기업 내부 일반 Application에 대핚 Whitelist 구축과 주기적 관리 및 감독

임직원에 대해 보안 정책 숙지 및 올바른 IT 자원 활용에 대핚 주기적 보안 인식 교육

5) 기업 내부에 존재하는 기밀 데이터와 문서 탈취 또는 정상적인 기업 활동 방해 목적

보안 정책적으로 기업 내부에 존재하는 데이터의 중요도에 따른 보안 등급 분류

보안 등급에 따른 사용자 및 부서에 대핚 기밀 데이터들에 대핚 접근 통제 구현

기밀 데이터들의 암호화와 네트워크 및 시스템에 따른 접근 통제 구현

기밀 데이터들에 접근 가능핚 네트워크와 시스템에 다중 인증 프로세스 구현

기업 내부 주요 네트워크와 시스템들에 대핚 주기적 Monitoring과 Log 분석 수행

3. Lessons Learned for Proactive Defense (2)

감사합니다 세상에서 가장 안전핚 이름

Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved. http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo