합법적인 관리 및 침투 테스트 툴 더 많이 사용
멀웨어 탐지 툴 무용지물... 평균 체류 시간 5개월인 이유
[보안뉴스 문가용] 보통 생각하는 것과 달리 사이버 공격자들은 첫 침투에 성공한 이후부터는 멀웨어에 크게 의존하지 않는다. 오히려 대중적이고 합법적인 기존 IT 툴들이 더 많이 활용된다. 이는 보안업체인 라이트사이버(LightCyber)에서 조사한 것으로, 멀웨어 찾기에 급급한 대부분 기업들의 보안 전략이 대부분 수정되어야 할 것으로 보인다.
.jpg)
라이트사이버는 60개의 고객 사이트와 연결이 되어 있는 수만 개의 엔드포인트 시스템들을 6개월간 분석해 이번 보고서를 작성했다. “분석 결과, 멀웨어는 주로 최초 침입을 할 때에만 사용이 되더군요.” 수석 제품 책임자인 케이시 크로스(Kasey Cross)의 설명이다.
“침투에 일단 성공하기만 하면 공격자들은 훔친 로그인 정보나, 피해자 시스템에 이미 존재하는 네트워크 툴, 관리자 툴, 원격 데스크톱 관리 툴, 침투 테스트 툴 등을 사용해 네트워크 곳곳을 돌아다닙니다. 노리는 건 네트워크 어딘가에 저장되어 있는 중요한 데이터들이고요.” 따라서 멀웨어 탐지 툴은 거의 100%에 가까운 확률로 해커들의 움직임을 놓친다.
결국 ‘공격을 찾아 나서는’ 방향 설정이 잘못되어 있다는 것으로, “공격자의 평균 체류 시간(dwell time)이 5개월 정도 되는 것으로 분석되었는데, 이 결과 자체가 대부분 기업들의 보안 전략이 근본적으로 잘못되어 있다는 걸 나타낸다.”
“이제 침입자의 존재여부를 확인하려면 활동 내역 자체를 모니터링 해야 합니다. 피해자 시스템에 이미 존재하는 툴들을 사용한다고는 하지만, 활용처마저 동일하지는 않거든요. 보통 그런 툴들이 하는 활동과 전혀 다른 활동이 탐지된다면 공격자의 존재를 의심해봐야 합니다.”
또한 라이트사이버는 표적형 공격을 단계별로 나누어 따로 분석했다. 첫 단계는 정찰 및 최초 침투이며 이를 통한 네트워크에서의 이동과 데이터 유출이 최종 단계였다. 여러 단계 중 노이즈가 가장 큰 부분은 최초의 정찰 및 침투 단계였다고 라이트사이버는 밝히고 있다. “침투할 구멍을 찾는 단계인데, 보통 네트워크 리소스 전체를 매핑하기 위해 포트와 호스트를 스캔합니다. 즉 상대가 어디에 뭘 가지고 있느냐를 파악하는 겁니다.”
그렇게 네트워크 전반에 대한 이해도가 갖춰지면 관리자 툴과 해킹 툴을 함께 사용해 익스플로잇이 가능한 취약점을 찾거나 관리자급의 사용자가 사용하는 로그인 정보를 훔쳐내려는 노력을 지속한다.
라이트사이버는 데이터를 빼돌리기 위해 공격자들이 가장 많이 사용하는 툴들을 공개하기도 했는데, PingInfoView, Nmap, Ping, Mimikatz, Telnet, Private Shell SSH, VMware vSphere Client, TeamViewer, WinVNC 등이었다. “대부분 IT 관리자나 침투 테스터들도 즐겨 사용하는 툴들이라는 게 핵심입니다. 그래서 이게 해커들의 활동인지 우리 보안 담당자가 뭘 실험하고 있는 건지 판단하기가 힘이 들죠.”
한편 해당 보고서의 원문은 여기서 확인이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
멀웨어 탐지 툴 무용지물... 평균 체류 시간 5개월인 이유
[보안뉴스 문가용] 보통 생각하는 것과 달리 사이버 공격자들은 첫 침투에 성공한 이후부터는 멀웨어에 크게 의존하지 않는다. 오히려 대중적이고 합법적인 기존 IT 툴들이 더 많이 활용된다. 이는 보안업체인 라이트사이버(LightCyber)에서 조사한 것으로, 멀웨어 찾기에 급급한 대부분 기업들의 보안 전략이 대부분 수정되어야 할 것으로 보인다.
라이트사이버는 60개의 고객 사이트와 연결이 되어 있는 수만 개의 엔드포인트 시스템들을 6개월간 분석해 이번 보고서를 작성했다. “분석 결과, 멀웨어는 주로 최초 침입을 할 때에만 사용이 되더군요.” 수석 제품 책임자인 케이시 크로스(Kasey Cross)의 설명이다.
“침투에 일단 성공하기만 하면 공격자들은 훔친 로그인 정보나, 피해자 시스템에 이미 존재하는 네트워크 툴, 관리자 툴, 원격 데스크톱 관리 툴, 침투 테스트 툴 등을 사용해 네트워크 곳곳을 돌아다닙니다. 노리는 건 네트워크 어딘가에 저장되어 있는 중요한 데이터들이고요.” 따라서 멀웨어 탐지 툴은 거의 100%에 가까운 확률로 해커들의 움직임을 놓친다.
결국 ‘공격을 찾아 나서는’ 방향 설정이 잘못되어 있다는 것으로, “공격자의 평균 체류 시간(dwell time)이 5개월 정도 되는 것으로 분석되었는데, 이 결과 자체가 대부분 기업들의 보안 전략이 근본적으로 잘못되어 있다는 걸 나타낸다.”
“이제 침입자의 존재여부를 확인하려면 활동 내역 자체를 모니터링 해야 합니다. 피해자 시스템에 이미 존재하는 툴들을 사용한다고는 하지만, 활용처마저 동일하지는 않거든요. 보통 그런 툴들이 하는 활동과 전혀 다른 활동이 탐지된다면 공격자의 존재를 의심해봐야 합니다.”
또한 라이트사이버는 표적형 공격을 단계별로 나누어 따로 분석했다. 첫 단계는 정찰 및 최초 침투이며 이를 통한 네트워크에서의 이동과 데이터 유출이 최종 단계였다. 여러 단계 중 노이즈가 가장 큰 부분은 최초의 정찰 및 침투 단계였다고 라이트사이버는 밝히고 있다. “침투할 구멍을 찾는 단계인데, 보통 네트워크 리소스 전체를 매핑하기 위해 포트와 호스트를 스캔합니다. 즉 상대가 어디에 뭘 가지고 있느냐를 파악하는 겁니다.”
그렇게 네트워크 전반에 대한 이해도가 갖춰지면 관리자 툴과 해킹 툴을 함께 사용해 익스플로잇이 가능한 취약점을 찾거나 관리자급의 사용자가 사용하는 로그인 정보를 훔쳐내려는 노력을 지속한다.
라이트사이버는 데이터를 빼돌리기 위해 공격자들이 가장 많이 사용하는 툴들을 공개하기도 했는데, PingInfoView, Nmap, Ping, Mimikatz, Telnet, Private Shell SSH, VMware vSphere Client, TeamViewer, WinVNC 등이었다. “대부분 IT 관리자나 침투 테스터들도 즐겨 사용하는 툴들이라는 게 핵심입니다. 그래서 이게 해커들의 활동인지 우리 보안 담당자가 뭘 실험하고 있는 건지 판단하기가 힘이 들죠.”
한편 해당 보고서의 원문은 여기서 확인이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
