SINCE 1999 ~ 2015 WINS REPORT - concert.or.krconcert.or.kr/suf2015/pdf/B-2-2.pdf · 목차 1. 2015년 사이버 침해사고 현황 이탈리아 해킹팀, 판도라의 상자 2 사이버

SINCE 1999 ~ 2015

WINS REPORT

최근 해킹 실체와 2016년 차세대 보안 강화 전략 공개

2015 .11 .30 By WSEC

㈜ 윈스 악성코드분석파트장 김진욱

목차

1. 2015년 사이버 침해사고 현황

이탈리아 해킹팀, 판도라의 상자

2

사이버 인질극 랜섬웨어 분석

0. 스마트폰 금융 해킹 시연

글로벌 사이버 범죄 조직을 밝힌다. (국내외 공격조직 분석 발표)

2. Next Generation 보안

예방과 대응 방안


2015년 사이버 침해사고 현황

2015년 11월 13일 5.135.75.112 IP를 가진 서버에서 Cryptowall 랜섬웨어 유포 정황을 확인

alexainvest.info 도메인으로 접속한 감염 PC 사용자는 5.135.75.112 IP를 가진 웹 서버에 접속 후에 악성 코드 감염 행위를 진행함을 확인


5.135.75.0/24 대역의 IP를 가진 웹 서버에서 Cryptowall 랜섬웨어의 유포 정황이 다수 확인

감염 시, 3곳의 정해진 위치에 악성 코드를 복사하며, 시작 프로그램 등록을 진행

[악의적인 행위 지속 (암호화 진행되지 않았을 때)을 위한 시작프로그램 등록]



5

취약점 통합 운영의 표준모델 정립

악성코드

CVE-2015-0311 Adobe Flash MS 14-056 취약점 IE Angler Exploit Kit

공격 조직

유럽권 국가 기존 해외 랜섬웨어와 유사 다수의 C&C가 네델란드,독일,불가리아 등에 위치

크립토락커 악성코드 사용자 문서,이미지,중요 파일 암호화 금전 요구

[클리앙 랜섬웨어 유포 사고 분석]



6




• 해당 크립토락커는 사용자 시스템에 연결되어 있는 공유폴더로 지정된 폴더까지 탐색하여 파일들을 암호화 시킨다. ** 공유폴더를 통해 해당 악성코드는 전파되지 않음

7




정확한 판단

변종 코드 대처

세분화된 공격 탐지

랜섬웨어 대응

공격형태를 파악하여 최종적인 진단 필요 (진단 카테고리의 세분화)

다수의 변종 코드를 진단 (시그니쳐 기반의 한계)

타겟팅 공격시 특정 파일,특정 사용자에게 국한된 공격을 진단 가능

8

[랜섬웨어 대응 방안]




랜섬웨어 대응

정확한 판단

공격 주체 기준 진단 결과

정확한 공격 영향 파악 불가

피해 대상 기준 진단 결과

세분화된 공격 영향 파악

바이러스 토탈 백신 탐지 결과

Sniper APTX 탐지 결과

Injector 진단

상세분석 진단 : CryptoLocker

카테고리 : Trojan

9

사이버 인질극 랜섬웨어 분석 [랜섬웨어 대응 방안]


정확한 판단 세분화된 공격 탐지

랜섬웨어 대응


국내 유포중인 유사 CryptoLocker

파일 변화에서

랜섬웨어 유형 탐지

Anti-VM, Time Sleep, Time Trigger

공격, 분석시스템 비정상화 공격 등

무력화

10



정확한 판단


랜섬웨어 대응


-국내 주요 문서 파일

분석 기능

-군/정부 관련

타겟팅 키워드 검사

-암호화 가능한

다양한 종류의 파일 진단 수행

세분화된 타겟팅 공격 탐지가 가능한 다양한 경우의 수 고려

11



이탈리아 해킹팀, 판도라의 상자

12

2015년 7월 이탈리아 해킹팀 자료 유출 다수의 0-day 취약점 지속적인 공개

해당 취약점은 flash를 이용한 local 취약점 웹을 통한 악성코드 유포에 사용

이탈리아 해킹팀 자료 유출로 MS 긴급패치 배포


Renderer Process - 허가된 자원,함수 이외의 접근 불가 - Broker Process를 통해서만 자원 접근 가능 - 자원 접근 작업은 공유 메모리 버퍼를 통해 전달

Shared Memory - Referer Process와 Broker Process간 통신을 위한 버퍼공간

Broker Process -자원에 대한 접근은 오직 Broker Process만 통해서 가능 -정책에 따라 자원 접근 작업을 Permit 또는 Deny 하기도 한다.

13

이탈리아 해킹팀, 판도라의 상자 [Adobe SandBox 우회]



kimsuky

Zeus

Winnti

Ramnit

Energetic Bear

Emissary Panda

Magic Kitten

Numbered Panda

Deadeye Jackal

Icefog

Sykipot

Nigeria Spear-phishing

• Kimsuky – 北해킹그룹,한수원 공격의혹 • Energetic Bear – 정치적 활동,러시아 결탁 • Emissary Panda – 미국에 있는 외국 대사관 타겟, 방위산업과 항공우주,통신분야 공격

• Sykipot – 국내 특정기업및 기관 타겟,중국 해커그룹,스피어피싱

• Ramnit –피해국가는 인도, 인도네시아, 베트남, 방글라데시, 미국, 필리핀 등, 금융 정보, 비밀번호, 쿠키, 개인 파일을 수집

• Winnti – 중국기반, 전 세계 온라인게임 업체 타겟 • Zeus – 다양한 범죄조직이 이를 이용해 은행이나, IT운영 마비 • Icefog – 국내 방위 산업체 타겟, 대한민국,일본 타겟 14



그룹 A

• 200여대 이상의 Victim 서버 보유 • 2015년 2월말 잠시 소강 상태였으나, 유포방식과 새로운 유형의 Banker로 활동

• 유포 악성코드 : Banker,DDoS • 한국과 중국,미국 서버를 이용하였으나, 최근 한국서버만을 이용

그룹 C • 2015년 1월부터 3월까지 유포사이트나 악성코드 변화 없음 • 한국 서버 사용 • 유포 악성코드 : Banker

그룹 E

• 50여대 이상의 Victim 서버 보유 • 한국/미국 서버 사용 • 서버 구축 단계로 방문자 통계를 통해 취약점 및 악성코드 유포 예상

그룹 C 유포 악성코드 → Banker:원본 악성코드를 랜덤문자열 디렉토리에 복사하고 추가 파일 다운로드를 시도함(현재 불가), 다운로드 시 hosts 파일 변경 할 것으로 예상

그룹 E 유포 악성코드 → Banker, 본격적으로 악성코드 유포하지 않음

2015년 국내 활동 조직

15


16

DIY - Agent 생성

监听端口: 리스닝포트 连接上限: 연결제한 Agent 설정 上线地址: 접속주소 端口: 접속 포트 上线标识: 연결 메시지. 增加服务端体积: Agent 파일 사이즈 조절 MD5 수정 기능. 修改一次: 1회 수정 循环修改文件MD5: 주기적 수정

DIY - Agent 연결 상황

공격자의 Master에는 유포후 실행된 Agent리스트를 실시간으로 확인가능 -감염시킨 PC 정보 -IP 정보 -Agent 정보

글로벌 사이버 범죄 조직을 밝힌다. [공격 양상 분석]


국내 유포 악성코드 → Banker(메모리 변조, 공인 인증서 압축 후 FTP로 탈취,Sleep 이용한 분석 방해 행위 추가) → Banker(행위: DNS 자체 서버로 구성 후 피싱 사이트로 Redirect 됨) → AES DDOS(VERSONEX:시스템정보+Mr.black” 가 포함된 패킷을전송하며 C&C 통신 시작, Flooding 공격 예상) → Banker(행위: potplayer.dll 생성/ DNS 설정 변경 (127.0.0.1)하여 피싱 서버 로 리다이렉트) → Banker(potplayer.dll + syswow32.dll 생성하여 피싱 행위, IE실행 시마다 syswow32.dll을 로드하여 피싱 서버 유도 특이사항: TabProcGrowth = 0으로 설정 (IE에서 실행되는 tab과 frame들이 하나의 프로세스에서 실행되도록 하여 정보탈취를 용이하게 하기 위한 것으로 판단) → Banker(syswow32.dll 생성하여 피싱 행위, IE실행 시마다 syswow32.dll을 로드하여 피싱 서버 유도 특이사항: TabProcGrowth = 0으로 설정 (IE에서 실행되는 tab과 frame들이하나의 프로세스에서 실행되도록 하여 정보탈취를 용이하게 하기위한 것으로 판단) → Banker:Python27.dll 파일을 이용하는 Banker,Vlmshlp.dll , syswow32.dll 파일 두개를 생성하여 이용하는 Banker,핀터레스트를 이용하는 Banker, 호스트파일 변조형 Banker

공인인증서 탈취 C&C 전송 DNS 설정 변경 후 악성코드에 의한 자체 DNS 서버 사용

Internet Explorer 시작페이지 변경

감염시스템 Count 전송

감염시스템 MAC 유출

17



실제 금융정보 탈취 FTP 서버

탈취된 공인인증서

FTP 계정 hanguo

18



공격자들은 Exploit Kit을 이용하여 다수의 웹사이트에 취약점을 삽입하고 패턴화된 난독화 스크립트를 삽입한다.

Rig Exploit

Kit

• PHP로 난독화 되어 있어 코드 분석이 어려움

• 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인

CK VIP Exploit Kit

• 2012년부터 최근까지 활발하게 악성코드 유포에 사용되는 Exploit Kit

• Java,Flash,IE 취약점을 이용하여 악성코드 유포

19



Gongda Android

Exploit Kit

• PHP로 난독화 되어 있어 코드 분석이 어려움

• 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인

기존 Gongda Exploit에 APK 다운로드 Script 추가

사용자 환경이 PC일 경우와 Moblie일 경우를 구분

실제 악성앱 유포 사이트 9시간동안 9340건 다운로드 카운팅

20



21

“Master Key” 취약점 CVE-2013-4787(Android security bug 8219321)

정상 악성

Put Method는 Hashmap Table 구성시 동일한 키(파일명)를 가지고 있을 경우 Overwrite

Certification 우회




개인정보 유출

비밀번호 유출

실제 유포되어 피해가 발생한 뱅킹 위장 악성코드

22




보안카드 정보 유출

23



예방과 대응방안

Next Generation 보안

•어플리케이션/시스템 버전 관리 -OS 보안 자동 업데이트 관리 -어플리케이션 보안 자동 업데이트 관리 -불필요한 어플리케이션 삭제 -보안 프로그램 자동 업데이트 관리 -서비스 관리자의 주기적인 시스템 점검

•정기적인 정보보안 교육 실시 - 사내에서 업무와 무관한 사이트 접속 자제 - 확인되지 않은 메일의 첨부파일 열람 금지 - USB, Flash메모리 등 개인 메모리 장치 사내 사용 금지 - 업무용과 개인용 사용구간을 정확히 분리 운영 -이상 징후 발견시 즉각적인 신고 - 수료/미수료, Pass/Fail 방식의 적극적인 교육 실시

즉각적인 보안업데이트만으로 해킹 공격의 99% 방어

24

25

최근 매년 새로이 발견되는 Exploit Kit 건수 – 20~30여건 최근 매년 새로이 발견되는 취약점 건수 – 8000~9000여건

취약점 대비 대응 패턴 비율 30~40%

- 네트워크장비, 서버에 대한 지속적인 보안 강화로 직접적인 공격의 어려움 - 시그니쳐 기반의 장비에 대한 공격 우회 기술 발전 - 여전히 취약한 클라이언트 보안 - 해킹 그룹의 대규모화, 세력화

- 다양해진 개인용 스마트 기기의 폭발적 증가 - 국내 IT 환경 특성상 과도한 개인정보 저장 - 서비스 공격에서 -> 정보 유출로 공격 방향 전환 - 고도화된 편의 시스템, 관리 시스템으로 다양한 어플리케이션 활용




26

확장되는 보안관리 포인트

넘쳐나는 보안로그

보안로그 > 처리/분석 능력

보안로그의 재가공



27

정보의 수집 -> 정보의 처리

1. 사이트 정책 최적화

3. 빅데이터 처리, 차세대 보안 기술 확보

2. 보안 솔루션 -> 보안 컨텐츠


대응 규모의 한계

• 사이트별 보안 대응 시스템의 한계

• 국내외 해킹 공격에 대한 대응 필요

사이트 내부 보안 시스템 + 중앙 집중적 해킹 대응시스템 연계 필요 -> 예상 가능한 공격에 대한 선제 대응 필요 (국내외 해킹동향 자료 필요)


BOT을 이용한 공격 양상

다양한 Local 취약점(MS-Office,Adobe,HWP,Windows,Linux등)을 사용한 공격

알려지지 않은 신규 취약점, 유포지, 경유지, 악성코드 대응 필요

IPS 탐지 영역 APT 탐지 영역

28


로컬 기반 취약점 대응

필요

• IPS는 패킷기반 분석시스템으로 로컬기반 취약점 대응에 한계

• APT 전용 대응 시스템 필요

로컬 기반 취약점은 동적 분석 기법 필요 다양한 어플리케이션에 대한 지원 필요 국내 환경에 맞는 분석 시스템


29

알려지지 않은 공격 대응

• Signature 기반의 보안장비의 한계로 새로운 유형의 공격에 대한 대응이 어려움

• APT 공격은 행위분석을 통해 새로운 유형의 공격도 탐지가 가능

탐지 패턴의 상관분석, 전문사의 수동 분석 등 추가적인 분석을 통해서만 확인 가능

Bot,악성코드에 대한 대응은 Anti-Virus(백신)에 의존 관리의 어려움, 전체 사이트 관리에 부적합, 시그니쳐 기반 백신의 한계

Bot 대응 필요 • IPS에서는 BOT은 클라이언트 설치 후 발생하는 트래픽 탐지만 가능

• BOT의 통신 트래픽 차단이 아닌 시스템에 Bot의 설치 자체를 방어해야…


동적 분석 방식의 탐지 기술 개발

신규 취약점 악성코드 연구

탐지 회피 기술 무력화

공격 트랜드 파악

최신 공격 패턴 업데이트

네트워크 솔루션에 적용될 컨텐츠를 벤더에서 직접 연구하여 솔루션 성능 향상 도모

해킹 트랜드 파악 주요 기관/기업 모니터링

패턴 기반 탐지 한계 동적 행위를 기준으로 악성 판단 기술 개발

최신 트랜드의 취약점,악성코드 패턴 지속적 업데이트

여러 탐지 회피 기술 무력화 (난독화스크립트, 리다이렉트, Anti-VM, 버전호환성문제등)

30




신규 취약점 악성코드 연구




취약점 도움말 CVE DB Exploit DB

31







신규 취약점 /악성코드 연구

홈페이지 위변조 탐지 악성코드 유포지 DB 사용자 업로드 데이터 분석

32








웹쉘 삽입 탐지

국가 기관 ISP

보안벤더

국가

기업

공공

개인 웹 악성코드 삽입 탐지

33








34








난독화 스크립트

버전 호환성 문제

Anti-VM

• 동적 행위 분석 기법으로 난독화된 스크립트의 복호화 과정 없이 분석 가능

• VM환경 판단 근거 제거(레지스트리, Device, 파일시스템 구조, 네트워크 등)

• 사용자 선택 가능한 다양한 VM 환경 구축 (XP,7,x86,x64,IE8,IE9,ie10,Adobe1.6, Adobe1.7,MS-Office 2007,2010, HWP2007,2010등)

35



감사합니다.

Documents

SINCE 1999 ~ 2015 WINS REPORT - concert.or.krconcert.or.kr/suf2015/pdf/B-2-2.pdf · 목차 1. 2015년 사이버 침해사고 현황 이탈리아 해킹팀, 판도라의 상자 2 사이버