2016.12.13

한 보안 분석가의 스피어 피싱 추적담

Ryan Francis | CSO
위협 분석가 마크 랠리버트(Marc Laliberte)의 이메일 받은 편지함은 수시로 가득 차며, 그 중 일부는 스팸 필터를 통과한다. 워치가드(WatchGuard)에서 근무하는 그는 마침내 악당을 추적해보기로 결심했다.

스피어 피싱(Spear Phishing)은 일종의 피싱 공격으로 범인이 특정 개인 또는 그룹에 맞추어 공격을 수정하는 방식으로 이뤄진다. 공격자는 피해자에 대한 정보를 수집한 후 표적을 숨길 가능성이 높은 공격을 구상한다. 공격은 그 재무 직원의 관리자가 긴급한 전신 송금을 요청하는 것처럼 보이는 이메일 등으로 도착한다.

적절한 보안 인식교육 덕분에 이 기업의 재무 직원은 해당 이메일이 공식적인 명령 체계와 재무 프로토콜을 무시했다는 사실을 인식하고는 적절한 직원에게 알렸다.

대부분의 경우에 기업들은 빵 조각을 따라 범인을 추적할 자원이 없다. 하지만 랠리버트는 이번 만큼은 공격자를 추적해보기로 결심했다. 그는 첫 번째 이메일에 답신을 보냈고 공격자는 이에 대해 특정 전화번호로 문자 연락하도록 답신을 보내왔다.




이메일의 소스 주소는 gmail.com의 무작위 7자리 숫자처럼 보였다. 공격자는 메시지를 워치가드 계정에서 보낸 것처럼 꾸미지 않았다. 대신에 공격자는 표적을 속이기 위해 메시지의 "발신인" 헤더에 의존했다. 대부분의 이메일 클라이언트는 "발신인" 헤더를 이용해 메시지를 보낸 사람을 표시하며 클라이언트에 전송자의 성과 이름만 표시되는 경우가 많다.

이 피싱 이메일에서 "발신인" 헤더는 워치가드 관리자의 성과 이름을 표시했으며, 해당 관리자가 보낸 메시지가 아니라는 사실을 모르는 직원들은 속을 수도 있었다.

랠리버트는 약간의 조사를 통해 공격자가 제공한 전화번호가 레벨 3 커뮤니케이션 (Level 3 Communication)을 통해 플로리다의 잭슨빌(Jacksonville, Fla.)에 해당하는 지역 번호를 가진 일반 전화로 등록되어 있다는 사실을 알아냈다. 그는 공격자가 아마도 실제로 잭슨빌에 거주하는 것은 아니며 전환 서비스를 이용해 이 번호로 문자 메시지를 보내고 받을 가능성이 높다고 추정했다. 공격자는 일반적으로 인터넷과 전화 서비스의 범용 특성을 이용해 진정한 공격 위치를 숨기곤 하기 때문이다.

랠리버트는 일회용 전화번호를 이용해 공격자에게 문자 메시지를 전송했다. 하루가 지나고 공격자가 다시 답신을 보내왔다. 다음 주에 도착하는 워치가드 파이어박스(Firebox)의 운송료를 지불하기 위해 긴급 송금이 필요하다는 내용이었다. 그는 송금이 가능하다고 말하면서 공격자에게 추가적인 사항을 질문했다.

공격자는 뉴욕에 있다는 사람에게 2만 달러를 전신 송금하도록 요구했다. 약간의 조사를 통해 해당 이름에 관련된 사기 기록이 없음을 확인했다. 공격자는 또 전신 송금을 위한 계좌 및 은행 식별 기호도 전송했다. 은행 계좌 세부사항을 제공하면 거래의 정당성이 추가되지만 당국이 사기 조사에서 결제를 추적할 가능성이 높아지기 때문에 공격자가 위험해진다. 제공된 계좌 세부사항은 공격자가 신속하게 출금할 수 있는 해킹된 계좌에 속한 것으로 분석됐다.

이 시점에서 랠리버트는 공격자가 자발적으로 공유하는 모든 정보를 수집했지만 그의 위치는 여전히 불확실했다. 하지만 공격자는 전신 송금 확인 메시지를 기대하고 있었다. 그는 URL 쇼트너(Shortener)를 이용해 허니팟(Honeypot)의 IP 주소(아래 참조)를 감추고 확인 링크로 위장하여 공격자에게 전송했다.

105.112.32.223 - - [22/Apr/2016:22:25:06 +0000] "GET /verify HTTP/1.1" 404 194 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13E238 Safari/601.1"

공격자가 해당 링크를 방문하자 허니팟 서버로 이동했으며, 거기에서 랠리버트는 그의 소스 IP와 UA(User-Agent) 데이터를 기록했다. 공격자의 소스 IP는 나이지리아 외부의 모바일 통신사 ANL(Airtel Networks Limited)에 등록되어 있었다. 랠리버트는 UA 데이터를 통해 공격자가 iOS 9.3.1로 구동하는 아이폰을 이용해 허니팟에 연결되어 있음을 알 수 있었다. 이를 통해 공격자가 전환 서비스를 이용해 잭슨빌의 전화 번호로 문자 메시지를 수신하고 있었다는 가설이 확인됐다.

하지만 나이지리아의 공격자는 영구적 미국 주소가 필요한 은행 계좌(TD 뱅크)를 사용했다. 때문에 해당 계좌를 해킹했거나 공격자가 미국에 송금된 돈을 찾을 회수할 수 있는 공범(운반책)이 있을 가능성이 있었다. 랠리버트는 TD 뱅크에 연락하여 제공된 계좌에 접근할 수 있는 사람에 대한 조사를 시작할 수 있도록 했다.

이 스피어 피싱 시도는 최근 이런 공격자 문제가 얼마나 심각한지 알 수 있다. 완벽한 스피어 피싱 보호란 존재하지 않는다. DMARC 또는 S/MIME 같은 기술 솔루션을 이용한다 하더라도 피싱 메시지는 직원에게 도달하게 되어 있다.

즉 IT 전문가가 사용자들에게 피싱 공격 시도를 알아채고 보고하는 방법에 대해 교육하는 것이 중요하다. 그럴듯한 표적화된 이메일 신용 사기를 알아채는 방법은 이제 기업 내 모든 이들이 체득해야만 하는 역량으로 부상했다. ciokr@idg.co.kr 



2016.12.13

한 보안 분석가의 스피어 피싱 추적담

Ryan Francis | CSO
위협 분석가 마크 랠리버트(Marc Laliberte)의 이메일 받은 편지함은 수시로 가득 차며, 그 중 일부는 스팸 필터를 통과한다. 워치가드(WatchGuard)에서 근무하는 그는 마침내 악당을 추적해보기로 결심했다.

스피어 피싱(Spear Phishing)은 일종의 피싱 공격으로 범인이 특정 개인 또는 그룹에 맞추어 공격을 수정하는 방식으로 이뤄진다. 공격자는 피해자에 대한 정보를 수집한 후 표적을 숨길 가능성이 높은 공격을 구상한다. 공격은 그 재무 직원의 관리자가 긴급한 전신 송금을 요청하는 것처럼 보이는 이메일 등으로 도착한다.

적절한 보안 인식교육 덕분에 이 기업의 재무 직원은 해당 이메일이 공식적인 명령 체계와 재무 프로토콜을 무시했다는 사실을 인식하고는 적절한 직원에게 알렸다.

대부분의 경우에 기업들은 빵 조각을 따라 범인을 추적할 자원이 없다. 하지만 랠리버트는 이번 만큼은 공격자를 추적해보기로 결심했다. 그는 첫 번째 이메일에 답신을 보냈고 공격자는 이에 대해 특정 전화번호로 문자 연락하도록 답신을 보내왔다.




이메일의 소스 주소는 gmail.com의 무작위 7자리 숫자처럼 보였다. 공격자는 메시지를 워치가드 계정에서 보낸 것처럼 꾸미지 않았다. 대신에 공격자는 표적을 속이기 위해 메시지의 "발신인" 헤더에 의존했다. 대부분의 이메일 클라이언트는 "발신인" 헤더를 이용해 메시지를 보낸 사람을 표시하며 클라이언트에 전송자의 성과 이름만 표시되는 경우가 많다.

이 피싱 이메일에서 "발신인" 헤더는 워치가드 관리자의 성과 이름을 표시했으며, 해당 관리자가 보낸 메시지가 아니라는 사실을 모르는 직원들은 속을 수도 있었다.

랠리버트는 약간의 조사를 통해 공격자가 제공한 전화번호가 레벨 3 커뮤니케이션 (Level 3 Communication)을 통해 플로리다의 잭슨빌(Jacksonville, Fla.)에 해당하는 지역 번호를 가진 일반 전화로 등록되어 있다는 사실을 알아냈다. 그는 공격자가 아마도 실제로 잭슨빌에 거주하는 것은 아니며 전환 서비스를 이용해 이 번호로 문자 메시지를 보내고 받을 가능성이 높다고 추정했다. 공격자는 일반적으로 인터넷과 전화 서비스의 범용 특성을 이용해 진정한 공격 위치를 숨기곤 하기 때문이다.

랠리버트는 일회용 전화번호를 이용해 공격자에게 문자 메시지를 전송했다. 하루가 지나고 공격자가 다시 답신을 보내왔다. 다음 주에 도착하는 워치가드 파이어박스(Firebox)의 운송료를 지불하기 위해 긴급 송금이 필요하다는 내용이었다. 그는 송금이 가능하다고 말하면서 공격자에게 추가적인 사항을 질문했다.

공격자는 뉴욕에 있다는 사람에게 2만 달러를 전신 송금하도록 요구했다. 약간의 조사를 통해 해당 이름에 관련된 사기 기록이 없음을 확인했다. 공격자는 또 전신 송금을 위한 계좌 및 은행 식별 기호도 전송했다. 은행 계좌 세부사항을 제공하면 거래의 정당성이 추가되지만 당국이 사기 조사에서 결제를 추적할 가능성이 높아지기 때문에 공격자가 위험해진다. 제공된 계좌 세부사항은 공격자가 신속하게 출금할 수 있는 해킹된 계좌에 속한 것으로 분석됐다.

이 시점에서 랠리버트는 공격자가 자발적으로 공유하는 모든 정보를 수집했지만 그의 위치는 여전히 불확실했다. 하지만 공격자는 전신 송금 확인 메시지를 기대하고 있었다. 그는 URL 쇼트너(Shortener)를 이용해 허니팟(Honeypot)의 IP 주소(아래 참조)를 감추고 확인 링크로 위장하여 공격자에게 전송했다.

105.112.32.223 - - [22/Apr/2016:22:25:06 +0000] "GET /verify HTTP/1.1" 404 194 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13E238 Safari/601.1"

공격자가 해당 링크를 방문하자 허니팟 서버로 이동했으며, 거기에서 랠리버트는 그의 소스 IP와 UA(User-Agent) 데이터를 기록했다. 공격자의 소스 IP는 나이지리아 외부의 모바일 통신사 ANL(Airtel Networks Limited)에 등록되어 있었다. 랠리버트는 UA 데이터를 통해 공격자가 iOS 9.3.1로 구동하는 아이폰을 이용해 허니팟에 연결되어 있음을 알 수 있었다. 이를 통해 공격자가 전환 서비스를 이용해 잭슨빌의 전화 번호로 문자 메시지를 수신하고 있었다는 가설이 확인됐다.

하지만 나이지리아의 공격자는 영구적 미국 주소가 필요한 은행 계좌(TD 뱅크)를 사용했다. 때문에 해당 계좌를 해킹했거나 공격자가 미국에 송금된 돈을 찾을 회수할 수 있는 공범(운반책)이 있을 가능성이 있었다. 랠리버트는 TD 뱅크에 연락하여 제공된 계좌에 접근할 수 있는 사람에 대한 조사를 시작할 수 있도록 했다.

이 스피어 피싱 시도는 최근 이런 공격자 문제가 얼마나 심각한지 알 수 있다. 완벽한 스피어 피싱 보호란 존재하지 않는다. DMARC 또는 S/MIME 같은 기술 솔루션을 이용한다 하더라도 피싱 메시지는 직원에게 도달하게 되어 있다.

즉 IT 전문가가 사용자들에게 피싱 공격 시도를 알아채고 보고하는 방법에 대해 교육하는 것이 중요하다. 그럴듯한 표적화된 이메일 신용 사기를 알아채는 방법은 이제 기업 내 모든 이들이 체득해야만 하는 역량으로 부상했다. ciokr@idg.co.kr 

X