맬웨어가 사랑한 마이터 어택 기법 10가지

50만 개 이상의 맬웨어 샘플을 기반으로 한 최근 연구에 따르면, 기업의 인프라에 침투한 사이버 공격자가 최종 목표물을 찾아 내부망을 이동하는 횡적 이동(lateral movement) 기법이 점점 다양해지고 있다. 연구를 진행한 보안업체 피커스(Picus) 연구팀은 보고서에서 “횡적 이동 기법의 확산은 네트워크 내부는 물론 보안 경계에서도 위협 방지 및 탐지를 강화해야 한다는 것을 점을 시사한다”라고 말했다. 
 

수년 전에는 횡적 이동이 주로 APT(Advanced Persistent Threat)과 관련된 것으로 간주됐다. 수준 높은 APT 공격 집단은 첩보기관 및 정부와 자주 어울린다. 주 목표인 사이버 첩보나 사보타주 행위를 달성하기 위해 공격 집단은 오랜 시간을 들여 침투할 네트워크 환경을 파악하고 여러 시스템에 주입물을 설치해 지속성을 확립한다. 필수 서버와 민감한 데이터 저장소까지 파악한 이들은 광범위한 접근권과 권한 상승권을 제공하는 인증정보를 추출하려고 시도한다.

APT는 목표가 정확히 설정된 방식으로 진행된다. 원하는 비밀을 찾아 특정 업계의 특정 기업으로 이동한다. 따라서 위협 모델에 APT가 없는 기업은 네트워크 내부에서 위협을 탐지하는 것보다는 경계에서 차단하는 것에 집중했다. 네트워크 내부 위협을 탐지하려면 위협 사냥과 이벤트 모니터링, 고급 로깅 역량을 갖춘 전문 인력이 필요하기 때문이다.

하지만 이런 상황은 수동 작동 방식의 랜섬웨어 집단이 등장하면서 모두 달라졌다. 이들은 일명 ‘계열사(affiliate)’라는 해커 집단을 활용한다. 네트워크에 수동 방식으로 침입해 내부로 확산하면서 시스템에 대한 접근권을 최대한 많이 획득하는 것이 목적이다(이를 위해 도메인 컨트롤러를 해킹하기도 한다). 그 이후 랜섬웨어를 배포해 피해를 극대화한다. 

고용된 해커들은 API가 사용하는 모든 기법을 차용한다. 가령 제로데이 취약점 악용, 기존 운영체제 유틸리티와 기능을 흔적을 줄이는 데 악용(일명 ‘자급자족’ 전술), IT 관리자나 보안팀이 흔히 사용하는 서드파티 도구 배포 등이다. 랜섬웨어 공격의 성공으로 다른 사이버범죄 집단도 비슷한 기법을 채택하기에 이르렀다. 그 결과, 횡적 이동은 업계와 상관없이 모든 유형과 규모의 기업에 난제가 됐다.

맬웨어에 포함된 마이터 어택 TTP ‘평균 11개’

피커스 연구팀은 상용 및 오픈소스 위협 인텔리전스 서비스, 보안 업체와 연구자, 맬웨어 샌드박스 및 맬웨어 데이터베이스에서 수집한 55만 6,107개의 파일을 분석해 50만 7,912개를 맬웨어로 분류했다. 파일을 마이터 ATT&CK 기법별로 정리한 결과, 평균적으로 각 맬웨어에는 10가지 ATT&CK 기법과 연결된 11개의 TTP가 포함된 것으로 나타났다. 맬웨어 샘플 가운데 1/3은 20개 이상의 TTP를, 10개 중 1개는 30개 이상을 사용했다.

마이터 ATT&CK은 TTP(Tactics, Techniques, and Procedures), 즉 공격의 전술과 기법, 절차로 구성된 지식 기반이다. 사이버보안 전문가가 악성 캠페인, 맬웨어 및 위협 집단에 맞서 방어 우선순위를 지정할 수 있도록 프레임워크를 제공한다. 최근 버전은 135곳의 공격 집단, 718가지의 악성 또는 양용 소프트웨어, 24가지 전술과 193가지 기법, 401가지의 하위기법을 추적한다. 여기서 전술은 공격자가 자신의 목적을 달성하기 위한 방법을 뜻하며, 각 전술을 세부적으로 나눈 것이 기법이다. 기법은 목표를 달성하기 위한 방법을 의미한다. 기법을 더 세부적으로 나눈 것이 하위기법이다.

예를 들어, 횡적 이동 전술에는 원격 서비스 기법이 포함되어 있고 여기에는 RDP(Remote Desktop Protocol), SMB/윈도우 관리 공유, DCOM(Distributed Component Object Model), SSH(Secure Shell), VNC(Virtual Network Computing), WinRM(Windows Remote Management)와 같은 하위기법이 포함된다. 이들 서비스는 모두 다양한 방식으로 악용된다.

피커스 연구팀은 연구 결과에 대해 “맬웨어 개발자의 수준이 매우 높음을 시사한다. 이들은 탐지 회피와 시스템 해킹을 위한 다양한 기법의 연구 개발에 상당한 자원을 투자했을 가능성이 높다”라고 말했다.
 

순위	발견 비율	마이터 ATT&CK 기법	마이터 ATT&CK 전술
1	31%	T1059 명령/스크립트 해석기	실행
2	25%	T1003 OS 인증정보 덤핑	인증정보 접근
3	23%	T1486 데이터 암호화	감염
4	22%	T1055 프로세스 주입	방어 회피/권한 상승
5	20%	T1082 시스템 정보 탐색	탐색
6	18%	T1021 원격 서비스	횡적 이동
7	15%	T1047 윈도우 관리 도구(WMI)	실행
8	12%	T1053 예약된 작업/업무	실행/지속성 확보/권한 상승
9	10%	T1497 가상화/샌드박스 회피	방어 회피
10	8%	T1018 원격 시스템 탐색	탐색

맬웨어에 만연한 ATT&CK 기법 중 다수가 횡적 이동 실행

가장 많은 맬웨어에서 관찰된 ATT&CK 기법은 명령 및 스크립트 해석기 악용이었다(31%). 이 기법이 인기가 높은 이유는 대부분 공격에서 핵심 단계로 볼 수 있는 실행 전술에 속하기 때문이다. 또한 이 기법에 관한 8가지 하위기법은 다양한 명령 및 스크립트 언어 해석기에 쓰이는데, 모든 운영체제에 걸쳐 일반적으로 악용되므로 범주가 매우 넓다. 파워셸(PowerShell), 애플스크립트(AppleScript), 윈도우 커맨드 셸(cmd), 유닉스 셸(bash, sh, zsh 등), 비주얼 베이직(Visual Basic), 파이썬(Python), 자바스크립트(JavaScript), 그리고 네트워크 장치의 커스텀 명령줄 인터페이스(CLI) 등이 포함된다.

이들 해석기 중 일부는 운영체제에 네이티브하게 존재해 공격자가 즐겨 찾는다. 윈도우 및 유닉스(리눅스, 맥OS) 명령줄 셸은 공격자가 거의 항상 악용하는 요소다. 윈도우 OS 관리 용도로 널리 사용되는 스크립트 언어인 파워셸도 마찬가지다. 비주얼 베이직에 포함된 비주얼 베이직 애플리케이션(VBA)의 용도인 엑셀과 워드의 매크로는 오랜 세월 사용된 흔한 맬웨어 배포 수단이다.

명령 및 스크립트 해석기는 마이터 ATT&CK에서 다루는 다른 기법을 달성하는 데도 사용될 수 있다. 예를 들어, 파워셸은 데이터 탐색에 도움이 되는 서비스를 쓰지 못하게 해 시스템 탐색을 억제할 목적으로 이용되는 경우가 많다. 이 밖에도 윈도우 디펜더에 배제 규칙을 추가해 방어책에 지장을 초래하거나 악성 페이로드 다운로드 및 실행, 유효한 계정 악용, 현재 시스템에 대한 정보 수집, 원격 시스템 탐색 등의 목적으로 흔하게 이용된다. 공격자는 파워셸과 커스텀 스크립트를 수동으로 악용할 뿐 아니라 파웨셸 엠파이어(PowerShell Empire), 파워스플로이트(PowerSploit), 니샹(Nishang), 포쉬씨투(PoschC2), 포쉬섹모드(Posh-SecMod)와 같이 사전 제작된 오픈소스 파워셸 기반 공격 프레임워크도 사용한다.

두 번째로 흔한 기법으로 관찰된 것은 OS 인증정보 덤핑이다. 인증정보 접근 전술에 속하며, 분석된 맬웨어 샘플 중 25%가 사용했다. 피커스 연구팀에 따르면, 2021년 가장 흔하게 사용된 10대 기법 중 5위를 차지한 이후부터 인기가 높아졌다. 로컬 인증정보 획득 역시 횡적 이동을 실행하는 핵심 요소다. 공격자가 미미카츠(Mimikatz), 지섹덤프(gsecdump), 프록덤프(ProcDump)와 같은 인증정보 덤핑 도구를 해킹된 시스템에 배포하는 모습은 흔히 볼 수 있다.

피커스 연구팀은 “위협 행위자가 수확한 인증정보는 보통 특별취급 자료에 접근할 때, 네트워크 내 다른 호스트로 횡적 이동을 수행할 때, 새로운 계정을 성성했다가 포렌식 분석을 저지하기 위해 제거할 때, 다른 인증정보를 수확하기 위해 정책 및 비밀번호 패턴을 알아낼 때 사용된다”라고 설명했다.

OS 인증정보 덤핑 기법은 윈도우에서 LSASS(Local Security Authority Subsystem Service), SAM(Security Account Manager) 데이터베이스, 액티브 디렉토리 도메인 데이터베이스(NTDS), LSA(Local Security Authority)의 프로세스 메모리에 저장된 인증정보와 로컬에서 캐시된 도메인 인증정보, 윈도우 도메인 컨트롤러의 애플리케이션 인터페이스를 DC싱크(DCSync)라는 기법을 사용해 추출하는 것이다. 리눅스에서 계정 추출의 대표적인 표적은 프록(Proc) 파일시스템, /etc/passwd 파일, /etc/shadow 파일, PAM(Pluggable Authentication Modules), NSS(Name Service Switch) 또는 커버로스(Kerberos)다.

피커스 연구진은 “인증정보 덤핑의 증가는 전통적인 경계 보안이 더 이상 사이버공격 방어에 충분하지 않다는 사실을 역설한다. 기업은 전통적인 경계 보안 대신 해킹 전 공격과 해킹 후 공격에 대비해 사이버 회복탄력성을 강화해야 한다”라고 강조했다.

23%의 맬웨어에서 확인된 세 번째 기법은 감염을 위한 데이터 암호화였다. 이는 최근 몇 년 동안 폭발적으로 늘어난 랜섬웨어의 주요 특징이므로 예상치 못한 결과는 아니다. 네 번째는 22%에서 관찰된 프로세스 주입으로, 악성 파일이나 모듈 또는 코드를 실행 중인 프로세스에 주입하는 12가지의 하위기법이 포함된다. 프로세스 주입은 방어 회피 전술과 권한 상승 전술을 실행한다.

2021년 조사에서 9위였던 시스템 정보 탐색 기법은 2022년 조사에서 5위로 뛰었다. 규모가 매우 큰 탐색 전술이지만 내부 확산 공격에도 사용된다. 단순히 운영체제에 대한 데이터뿐 아니라, 네트워크와 그 구성, 환경 내에서 사용되는 하드웨어 및 소프트웨어 애플리케이션에 대한 데이터를 수집하기 때문이다. 맬웨어 샘플 20%에서 관찰됐으며, 클라우드 서비스에서 제공하는 API를 통해 클라우드 가상화 환경에서도 악용할 수 있다.

그다음으로 원격 서비스가 새롭게 10위권에 진입했다. 18%의 맬웨어에서 관찰된 원격 서비스 기법은 횡적 이동 전술에 속한다. 다양한 프로토콜을 통해 공격자가 인터넷뿐 아니라 로컬 네트워크에서 다른 시스템에 접근할 수 있게 해주기 때문이다.

7위는 2022년 10위권에 새로 진입한 WMI(Windows Management Instrumentation) 기법으로, 실행 전술에 속한다. 파워셸이 만들어지기 훨씬 전인 윈도우 NT 때부터 윈도우에 내장된 관리 기능이며, 자체 명령줄이 있다. WMI는 로컬 시스템과 원격 시스템에서 명령 실행 목적으로 사용될 수 있는 강력한 도구다. 공격자는 WMI를 명령 실행, 방어 회피, 탐색, 인증정보 수확, 횡적 이동 등 다양한 목적에 악용한다. 예를 들어, 콘티 랜섬웨어는 원격 호스트에 WMI 및 rundll32를 사용하여 코발트 스트라이크(Cobalt Strike) 비콘을 배포한 것으로 알려졌다.

여덟 번째로 흔한 기법은 다양한 운영체제에서 예약된 작업/업무 메커니즘을 악용하는 것이다. 실행/지속/권한 상승 전술에 속하지만, 예약된 작업을 원격 코드 실행 목적으로도 사용한다. 하위기법에는 유닉스 At 명령, 리눅스 크론(cron) 유틸리티, 윈도우 예약된 작업 메커니즘, systemd 타이머, 컨테이너 오케스트레이션 업무 등이 포함된다.

9위는 9%에서 관찰된 가상화 및 샌드박스 회피 기법으로, 방어 회피 전술을 실행한다. 맬웨어 작성자는 자신의 맬웨어가 가상머신과 샌드박스 내부에서 실행되고 있는지 탐지하기 위한 메커니즘을 프로그램에 넣는다. 이런 시스템은 대개 연구원이나 허니팟 시스템이 맬웨어 분석 목적으로 사용하기 때문이다.

마지막은 10위권에 새로 진입한 원격 시스템 탐색이다. 횡적 이동을 실행하는 탐색 전술에 속하며, 주로 악용할 수 있는 추가 시스템이나 네트워크를 탐색하는 목적으로 사용된다.

피커스 연구진은 “사용자가 본인의 환경에서 다른 호스트, 네트워크, 서비스를 탐색할 수 있는 네트워크용 네이티브 명령과 도구가 여러 운영체제에 포함되어 있다. 위협 행위자는 내장 유틸리티를 원격 시스템 및 서비스 탐색에 악용한다. 악성 조작으로 표시될 가능성도 낮고 정당하게 보이기 때문”이라고 말했다.

공격자는 내장 시스템 도구뿐 아니라 서드파티 유틸리티도 악용한다. 예를 들면, 넷바이오스용 NBT스캔(NBTscan for NetBIOS), 애드파인드(AdFind), 블러드하운드(BloodHound), 샤프하운드(SharpHound), 액티브 디렉토리용 애저하운드(AzureHound), 소프트퍼펙트 네트워크 스캐너(SoftPerfect Network Scanner), 라돈고(LadonGo)가 대표적이다.

피커스의 분석은 이미 수집된 맬웨어 샘플을 대상으로 실시됐다. 즉, 일반 대면 애플리케이션 악용이나 피싱과 같은 초기 접근 전술에 속하는 기법에 대해서는 맹점이 있다. 이런 기법은 공격에서 널리 사용되지만 오프라인 맬웨어 샘플을 분석하는 것으로는 제대로 수량화할 수 없다.

탐지 회피 전술에 대처하는 베스트 프랙티스

피커스 연구팀은 탐지 회피 시도를 탐지하고 방지할 수 있도록 보안 통제장치를 정기적으로 테스트하고 최적화할 것을 권장했다. 내장된 도구와 정당한 서드파티 도구 및 서비스에 대한 공격자의 의존도가 높아지고 있는 가운데, 이를 탐지하려면 정적인 해킹 지표보다는 정상 행동에서 벗어난 것을 기준으로 악성 행위를 식별하는 행동 탐지 기법을 적극적으로 활용해야 한다.

또한 횡적 이동에 대응하기 위해서는 네트워크에 존재하는 공격 경로를 분석하고 어떤 공격자가 간극을 메우기 위한 완화책을 활용하고 우선시하는지 알아내야 한다. 마이터 ATT&CK 프레임워크를 운용하면 위협 행위자의 공격 전술과 기업이 우선시해야 할 방어 노력을 이해하는 데 도움이 된다.
editor@itworld.co.kr