2017.05.29

사이버 위협을 알리는 10가지 징후

Ryan Francis | CSO
사이버 위협 추적은 사냥과 비슷하다. 인내심, 일관성, 예리한 시각이 필요하며, 제대로 한다면 아주 신나고 보람찬 일이 될 것이다. 위협 활동자들은 모든 것을 동원해 네트워크 안에서 유령이 되고자 하기 때문에 디지털 가디언(Digital Guardian)의 사이버 보안 이사 팀 반도스는 보안 전문가가 ‘유령 잡는 사람(Ghostbuster)’이 돼야 한다고 말했다. 찾기 어려운 표적을 추적하고 포획하기 위해 위협 사냥꾼은 적절한 기술과 도구를 갖춰야 한다. 우선 사이버 위협 지식을 쌓고 중요한 로깅 데이터를 중앙으로 모은다.



다음은 반도스가 설명한 위협을 알리는 일반적인 10가지 징후다.

낮고 느린 연결
사냥을 시작하기에는 프록시 로그가 안성맞춤이며 무엇인가 잘못되었음을 알 수 있는 표식들이 여실히 드러난다. 22번 포트의 트래픽이 프록시 서버나, 심지어 방화벽을 통과하고 있는가? 물론, 이런 평문 프로토콜을 제한할 수 있는 좋은 연습이 되지만 무너뜨릴 수 없다면 데이터에서 서서히 빠져나가는 패턴을 찾아보자.

같은 수의 유입/유출 바이트
네트워크 연결에서 유입 및 유출 바이트가 매일 같은 패턴을 보이는가? 몇 년 전에는 좀 더 성행했었지만 요즈음의 악성코드도 여전히 이 신호 기법을 이용해 주인에게 침투에 성공했다는 신호를 보낸다. 동일한 양의 바이트가 자주 증가했다가 감소한다면 의심스러운 활동의 조짐일 수 있으니 모니터링하자.

의심스러운 사이트
엔드포인트 기기로 방문하는 모든 동적 DNS 사이트 목록을 확인하고 조직 전체 중에서 튀는 부분을 구체적으로 찾아보자. 2만 개 중 3개 기기만 1개의 특정 사이트를 방문했다 해도 명령 및 제어 인프라에 문제가 생겼을 수 있다. 다른 설명도 있을 수 있지만 추가로 조사할 만한 가치가 있다.

로그온 시도 실패
확실하게 들릴 수 있지만 복수의 계정을 이용한 연속적인 접속 시도 실패가 발견되면 큰 문제가 있음을 암시할 수 있다. 계정당 1회의 시도 실패에 집중하면 이전에 해당 환경에서 폐기한 비밀번호로 로그인을 시도하는 위협 활동자를 찾을 수도 있다.

명시적인 크리덴셜(Credential)
“명시적인 크리덴셜을 이용해 로그온을 시도했습니다”라는 문구를 읽게 된다면, 이벤트 로그의 프로필을 작성하고 정상 활동을 화이트리스트 처리하자. 이 로그는 사용자가 대체 크리덴셜을 이용해 시스템에 연결하거나 프로그램을 로컬로 실행할 때 발생한다. ‘횡방향 움직임(Lateral Movement)’이라고 말한 사람이 있는가? 위협 활동자는 옆으로 움직이길 좋아한다!

권한 변경
권한 증가는 승진이나 인사이동이 있을 때 발생하는 경우가 많다. 이때의 로그는 그러한 활동을 식별하는 데 도움이 될 수 있다. IT관리자의 정당한 활동은 대개 자체적으로 약간의 노이즈를 발생시키기 때문에 프로필을 작성해 두는 것이 좋다.

비밀번호 폐기 프로그램의 조짐
백신 프로그램 제공자가 비밀번호 폐기 프로그램으로 표시한 것을 조사하자. 예를 들어, 맥아피의 비밀번호 폐기 감지 툴은 HTool-GSECDump이다. 위협 활동자들이 하나의 비밀번호 폐기 프로그램을 운용하다가 백신이 이를 발견하고 제거한 후 공격자가 감지되지 않은 다른 폐기 프로그램 실행에 성공하는 경우가 많다. 따라서 그들이 초기의 목표를 달성했더라도 증가 가치를 놓치게 된다.

보편적인 백도어(Backdoor)
적을 파악하여 그들의 전략, 기법, 절차에 대한 프로필을 작성할 수 있어야 한다. 그들이 가장 보편적으로 이용하는 툴과 활용할 수 있는 백도어의 유형을 알 수 있다. 보편적인 고급 위협 백도어로는 플러그X(PlugX), 9002 RAT, 넷트래블러(Nettraveler), 데루스비(Derusbi), 윈티(Winnti), 퍼피(Pirpi) 등이 있다. 백신 로그에서 이런 이름들이 발견되면 어떤 일이 벌어지고 있음을 알 수 있다.

드롭퍼(Dropper) 프로그램
감지된 것 중 이름에 ‘dropper’가 포함된 것을 확인하자. 드롭퍼 프로그램은 ‘안전한’ 경우에만 다운로드를 개시하여 백도어 또는 바이러스를 다운로드/설치한다. 드롭퍼가 감지되면 감지된 OS의 깊은 곳에 다른 무엇인가가 있을 가능성이 있다.

사용자 정의 감지
일부 백신 솔루션은 매우 효과적인 위협 사냥을 위해 사용자 정의 감지를 생성할 수 있는 기능이 있다. 예를 들어, 사용자의 APPDATA 디렉터리에서 바이너리(Binary) 실행을 기록하는 경보를 생성하면 해당 디렉터리에서 프로그램이 실행될 때마다 로그를 생성하여 콘솔로 전송한다. 이런 바이너리를 분석하여 특성을 발견하면 악마를 찾을 수 있다. ciokr@idg.co.kr

 



2017.05.29

사이버 위협을 알리는 10가지 징후

Ryan Francis | CSO
사이버 위협 추적은 사냥과 비슷하다. 인내심, 일관성, 예리한 시각이 필요하며, 제대로 한다면 아주 신나고 보람찬 일이 될 것이다. 위협 활동자들은 모든 것을 동원해 네트워크 안에서 유령이 되고자 하기 때문에 디지털 가디언(Digital Guardian)의 사이버 보안 이사 팀 반도스는 보안 전문가가 ‘유령 잡는 사람(Ghostbuster)’이 돼야 한다고 말했다. 찾기 어려운 표적을 추적하고 포획하기 위해 위협 사냥꾼은 적절한 기술과 도구를 갖춰야 한다. 우선 사이버 위협 지식을 쌓고 중요한 로깅 데이터를 중앙으로 모은다.



다음은 반도스가 설명한 위협을 알리는 일반적인 10가지 징후다.

낮고 느린 연결
사냥을 시작하기에는 프록시 로그가 안성맞춤이며 무엇인가 잘못되었음을 알 수 있는 표식들이 여실히 드러난다. 22번 포트의 트래픽이 프록시 서버나, 심지어 방화벽을 통과하고 있는가? 물론, 이런 평문 프로토콜을 제한할 수 있는 좋은 연습이 되지만 무너뜨릴 수 없다면 데이터에서 서서히 빠져나가는 패턴을 찾아보자.

같은 수의 유입/유출 바이트
네트워크 연결에서 유입 및 유출 바이트가 매일 같은 패턴을 보이는가? 몇 년 전에는 좀 더 성행했었지만 요즈음의 악성코드도 여전히 이 신호 기법을 이용해 주인에게 침투에 성공했다는 신호를 보낸다. 동일한 양의 바이트가 자주 증가했다가 감소한다면 의심스러운 활동의 조짐일 수 있으니 모니터링하자.

의심스러운 사이트
엔드포인트 기기로 방문하는 모든 동적 DNS 사이트 목록을 확인하고 조직 전체 중에서 튀는 부분을 구체적으로 찾아보자. 2만 개 중 3개 기기만 1개의 특정 사이트를 방문했다 해도 명령 및 제어 인프라에 문제가 생겼을 수 있다. 다른 설명도 있을 수 있지만 추가로 조사할 만한 가치가 있다.

로그온 시도 실패
확실하게 들릴 수 있지만 복수의 계정을 이용한 연속적인 접속 시도 실패가 발견되면 큰 문제가 있음을 암시할 수 있다. 계정당 1회의 시도 실패에 집중하면 이전에 해당 환경에서 폐기한 비밀번호로 로그인을 시도하는 위협 활동자를 찾을 수도 있다.

명시적인 크리덴셜(Credential)
“명시적인 크리덴셜을 이용해 로그온을 시도했습니다”라는 문구를 읽게 된다면, 이벤트 로그의 프로필을 작성하고 정상 활동을 화이트리스트 처리하자. 이 로그는 사용자가 대체 크리덴셜을 이용해 시스템에 연결하거나 프로그램을 로컬로 실행할 때 발생한다. ‘횡방향 움직임(Lateral Movement)’이라고 말한 사람이 있는가? 위협 활동자는 옆으로 움직이길 좋아한다!

권한 변경
권한 증가는 승진이나 인사이동이 있을 때 발생하는 경우가 많다. 이때의 로그는 그러한 활동을 식별하는 데 도움이 될 수 있다. IT관리자의 정당한 활동은 대개 자체적으로 약간의 노이즈를 발생시키기 때문에 프로필을 작성해 두는 것이 좋다.

비밀번호 폐기 프로그램의 조짐
백신 프로그램 제공자가 비밀번호 폐기 프로그램으로 표시한 것을 조사하자. 예를 들어, 맥아피의 비밀번호 폐기 감지 툴은 HTool-GSECDump이다. 위협 활동자들이 하나의 비밀번호 폐기 프로그램을 운용하다가 백신이 이를 발견하고 제거한 후 공격자가 감지되지 않은 다른 폐기 프로그램 실행에 성공하는 경우가 많다. 따라서 그들이 초기의 목표를 달성했더라도 증가 가치를 놓치게 된다.

보편적인 백도어(Backdoor)
적을 파악하여 그들의 전략, 기법, 절차에 대한 프로필을 작성할 수 있어야 한다. 그들이 가장 보편적으로 이용하는 툴과 활용할 수 있는 백도어의 유형을 알 수 있다. 보편적인 고급 위협 백도어로는 플러그X(PlugX), 9002 RAT, 넷트래블러(Nettraveler), 데루스비(Derusbi), 윈티(Winnti), 퍼피(Pirpi) 등이 있다. 백신 로그에서 이런 이름들이 발견되면 어떤 일이 벌어지고 있음을 알 수 있다.

드롭퍼(Dropper) 프로그램
감지된 것 중 이름에 ‘dropper’가 포함된 것을 확인하자. 드롭퍼 프로그램은 ‘안전한’ 경우에만 다운로드를 개시하여 백도어 또는 바이러스를 다운로드/설치한다. 드롭퍼가 감지되면 감지된 OS의 깊은 곳에 다른 무엇인가가 있을 가능성이 있다.

사용자 정의 감지
일부 백신 솔루션은 매우 효과적인 위협 사냥을 위해 사용자 정의 감지를 생성할 수 있는 기능이 있다. 예를 들어, 사용자의 APPDATA 디렉터리에서 바이너리(Binary) 실행을 기록하는 경보를 생성하면 해당 디렉터리에서 프로그램이 실행될 때마다 로그를 생성하여 콘솔로 전송한다. 이런 바이너리를 분석하여 특성을 발견하면 악마를 찾을 수 있다. ciokr@idg.co.kr

 

X