30

피해자가 인터넷 서핑을 하다가 또는 이메일에 있는 링크를 잘못 클릭함으로써 Phishing이 되어 malicious dropper site로 리다이렉트가 이루어진다.

이후 피해자는 dropper를 다운로드하게 되고 피해자의 피씨에서 언패킹되고 실행하게 된다.

dropper는 새로운 사이트와 연락할 수 있게 되고 update된 사이트에 CnC 명령어를 보낸다.

피해자의 자세한 정보를 CnC사이트에 업로드되고, CnC 사이트에서는 암호화된 악성코드를 보낸다.

악성코드는 dropper를 통해 복호화되고 인스톨이 이루어진다.

잠긴 악성코드는 또 다른CnC 사이트로 연락하고 암호, 데이터와 같은 것을 암호화된 페이로드로 보낸다.

------------------------------------------------------------------------------------------------------------

기업 내부망에 대한 공격이 증가하고 있다.

그 중 가장 많은 악성코드 종류는 랜섬웨어이다.

------------------------------------------------------------------------------------------------------------

엔드포인트 계층

사용자, 서버 행위 분석 (윈도우이벤트, 호스트 IDS, 백신)

사용자 인증 로그

사용자 추적성 확보 (Active Directory, SSO, 출입증)

위협 정보 로그(선택)

최신 위협 동향 수집 및 적용 ( IOC(Indicator of compromise), C2, 해시값)

------------------------------------------------------------------------------------------------------------

출처: Threat hunting을 이용한 능동적인 보안 강화 (4분기 침해사고 정보공유 세미나 서진원(eBay Inc.)

1. 가상통화 거래소 해킹

18년도 2분기까지는 거래소 해킹이 성공한 경우가 많았지만 3분기에서는 다양한 공격시도만 있을 뿐 실제로 성공한 사례는 없다.

피싱, 스미싱, 보이스피싱등 다양한 방법으로 거래소와 고객정보 계좌를 탈취하려는 시도가 있었다.

2. 크립토재킹

크립토재킹이란 가상통화(Cryptocurrency)와 탈취(hijacking)의 합성어로 해커들이 사용자의 pc자원을 이용하여 가상통화를 채굴하는 공격기법이다.

해커들이 몰래 사용자 pc나 서버에 채굴용 악성코드를 설치하고 해당 기기의 자원을 사용하여 수익을 만들어낸다. 웹사이트를 해킹해 자바스크립트 악성

코드를 삽입해 자원에 접근해 감염시키는 형태도 있다.

크립토재킹은 모네로 암호화폐를 노리는 경우가 많은데, 그 이유는 링서명이라는 기술로 익명성을 보장해 추적이 어렵기 때문이다.

마이크로소프트 공급망을 공격한 것이 하나의 사례로 볼 수 있다.

크립토재킹은 2017년 대비 10배가 증가한 공격으로 지속적인 관심이 필요하다.

3. 랜섬웨어

2017년에는 워너크라이가 있었다면 2018년에는 갠드크랩 랜섬웨어가 있다.

2018년 7월 NSA 툴에 탑재된 이터널블루 취약점을 활용하는 변종이 있었고, 북한 폰트파일로 위장한 적도 있었으며

9월에는 공정거래위원회를 사칭하는 방식이 발견되었다. 갠드크랩은 빠른 속도로 변종이 발견되고 있고 특정한 제작자가 존재하는게 아닌 누구나 제작에

참여해 유포할 수 있어 서비스형 랜섬웨어라고 불린다. 수익을 창출하면 판매자와 구매자가 일정한 비율로 나눠가지게 된다.

최근 악성코드 탐지에 머신러닝 기술이 활용되기 시작하면서 랜섬웨어는 이를 대응하기 위한 안티머신러닝 기능을 탑재하고 있다.

가상통화 거래가 활발해지면서 랜섬웨어유포는 더욱 많아지게 되었고 이에 따라 지속적인 관심이 필요하다.

4. 취약점 동향

오픈소스 사용이 활발해짐에 따라 오픈소스 응용프로그램들이 취약점 발생의 중심지가 되고 있다.

5. 이슈 포커스

보안에서 인공지능을 도입하기 위해 가장 큰 문제는 오탐과 관련된 문제이다. 또한, 전문인력부족, 수집 데이터 부족, 개인정보보안우려, 기술적용상의 어려

움이 뒤이어 문제점으로 거론되었다.

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

전문가 칼럼

크립토재킹 공격기법 및 머신러닝을 통한 탐지 방안

크립토재킹은 가상통화와 하이재킹의 합성어로 피해자들의 시스템이 가상통화 Miner가 되어 해커들을 위한 블록체인을 업데이트하고 가상통화를

채굴하여 해커의 지갑에 입금하게 된다.

최근 크립토재킹 공격은 과거와 다르게 마이너 악성코드를 사용하는 것이 아니라 특정 웹사이트를 해킹하여, 해당 웹사이트에 자바스크립트로 이루어진

마이너 코드를 삽입하는 방식을 사용한다.

다른 공격기법에 비해 해킹 난이도가 낮은 편에 속하기 때문에 이를 이용한 공격이 급격히 증가하고 있다.

홈페이지에 크립토재킹 악성 스크립트가 삽입되면, 해당 홈페이지를 방문한 사람의 CPU 점유율이 상승하게 된다.

해당 웹사이트를 단시간 접속하면 문제가 없지만 장시간 접속할 경우 시스템에 문제가 일어날 수 있다.

사례

멀버타이징을 통한 악성 스크립트 주입

블루스택 녹스와 같은 핸드폰 시뮬레이션 소프트웨어의 광고에 스크립트를 삽입하여 크립토재킹을 발생시켰다

wifi 해킹을 통한 네트워크 망내 가상통화 채굴(A.K.A 커피마이너)

매장 내에서 wifi를 노트북에 연결한 것을 커피마이너라고 하고 이를 이용해 가상통화 채굴에 악용된 사례가 있다

정리:

ARP 스푸핑 -> MITM 공격을 통한 패킷 탈취 및 조작 -> wifi 네트워크안에 있는 기기들에 악성 스크립트 데이터 전송 -> 가상통화 채굴

스트리밍 서비스와 같은 3rd 파티에 스크립트 삽입

2018년 1월 youtube의 광고에 악성 스크립트를 삽입되었다.

대응방안

1. 방화벽에 새로운 룰 입력

채굴용 스크립트 코드들을 방어하기 위해 패턴화하여 방화벽 룰을 만든다. 고정 IP를 사용하고 있기 때문에 해당 IP를 차단한다.

만약 해커들이 상업용 플랫폼을 사용하지 않고 일부 자체코드나 주기적으로 탐지 우회기법을 사용할 경우 한계가 있다.

2. 브라우저 단계에서 제한

일부 브라우저에서 크립토재킹을 차단하는 플러그인이 존재한다. 이를 이용하여 크립토재킹 공격을 막는다.

위 2가지의 방법은 결국 내부 사용자가 공격할 수 있는 방법이 존재하여 한계가 있으며 엔드포인트를 관리하여야 한다.

출처) https://www.boho.or.kr/data/reportView.do?bulletin_writing_sequence=27723 / 사이버 위협 동향 보고서(2018년 3분기)

KISA사이트나 KISA에서 운영중인 KISA 인터넷 보호나라&KrCERT에는 보안관련된 많은 보고서와 최신 이슈를 파악할 수 있다.

시간이 날 때 마다 보고서를 읽고 최신 동향을 파악하고 지식을 습득하며 공부를 해보려고 한다.

아직 중간고사가 끝나지 않아 이후에 CPPG를 준비와 병행하여 하나하나 분석해보려고 한다.

분석할 보고서들은 다음과 같다.

이 보고서 분석을 시작하는 이유는 앞으로 있을 면접에 대비하여 취업을 성공하려는 목적과

취업이후에도 논리적인 보고서 작성을 하고 동향을 계속 파악함에 있다.

얼마나 자주 올릴지는 모르겠지만 꾸준히 읽어 나가며 하나의 취미로 즐기려고 한다.