악성코드 기반 공격 강화, 악성코드 삽입해 공급망 공격으로 정교하게 진화
피싱, 단순 피싱 페이지 사용에서 벗어나 리버스 프록시 기술 적용 등 2차 인증 우회로 발전
OSINT·다크웹·해킹포럼 등 사이버 범죄 시장, 새로운 공격 통로 및 유형으로 부상
방화벽·VPN·메일서버 등, 인터넷 접점 솔루션 취약점 증가 및 제로데이 취약점 우려
[보안뉴스= 한승연 리니어리티 대표] 최근 EDR(Endpoint Detection And Response) 등을 이용해 엔드포인트 보안을 강화하는 기업이 늘어나면서, 악성코드 위주였던 공격 환경에도 큰 변화가 예상된다. 공격자들은 악성코드 공격을 지속하는 한편, 피싱 등 새로운 유형으로 공격을 확대할 것으로 예상된다.
▲해킹포럼의 EDR 우회 기술 관련 토론글[자료=리니어리티]
# 악성코드 기반 공격
국가지원 해킹조직, 랜섬웨어, 정보 유출, 암호화폐 채굴 등 최근 발생하는 보안사고의 이면에는 대부분 악성코드가 있다. 악성코드 공격은 2000년대 중반 이후 현재까지 계속되어 기술의 성숙도가 높은 반면, 엔드포인트 보호 기술은 아직 걸음마 단계이기 때문에 악성코드 관련 공격은 당분간 지속될 것으로 보인다.
1. 악성코드는 더욱 정교하게 발전
EDR의 세상에서 공격자는 악성코드를 버리고 새로운 기술을 선택할 것인가? 아니면 기술을 더욱 발전시켜 EDR을 우회할 것인가? 아직은 후자가 더 유력해 보인다. 실제로 해외 해킹포럼, 콘퍼런스 등에서는 EDR의 탐지 원리를 분석하고, 이를 우회하기 위한 연구가 활발하게 진행되고 있다.
이렇게 개발된 보안 솔루션 무력화 기술은 랜섬웨어, 인포스틸러, RAT 등 시장에서 판매되는 악성코드에 빠르게 반영되고 있다. EDR은 악성코드를 탐지하기 위해 개발된 솔루션이지만, 한편으로는 악성코드의 비약적인 발전을 불러올 수 있음을 인지해야 한다.
▲해킹포럼에 판매되고 있는 커널 기반의 AV Killer 판매 게시글[자료=리니어리티]
2. 공급망 공격
기업에서는 메신저, 개발, 서버·DB 접속기, 압축 프로그램 등 업무용으로 수많은 프로그램을 사용하고 있으며, 때때로 제조사에서 제공하는 업데이트를 설치하기도 한다. 공격자가 프로그램의 제조사를 해킹한 후 업데이트 또는 설치 파일에 악성코드를 삽입하는 공격, 우리는 이러한 공격 방식을 공급망 공격(Supply Chain Attack)이라고 정의한다.
프로그램을 직접 개발하지 않고 제3자 회사의 프로그램을 사용하는 경우, 프로그램의 소스 코드를 검증할 수 없다는 리스크가 발생한다. 기업에서는 이러한 리스크를 프로그램의 라이센스를 구매하거나 평판 조회를 하는 등 프로그램이 안전할 것이라는 믿음(신용)을 통해 상쇄한다. 그러나 공식 사이트에서 설치한 프로그램에 악성코드가 숨어 있다면, 과연 알 수 있을까? 이러한 유형의 공격은 현재 수준의 기술로는 탐지하기 어려우며, 완벽한 보호 기술도 근시일 내에 나오기 어려울 것으로 보인다. 공격자들 또한 이러한 상황을 잘 알고 있기 때문에 공급망 공격은 향후에 더욱 증가할 것으로 예상된다.
# 악성코드를 사용하지 않는 공격
악성코드 공격이 어려워지면 결국에는 악성코드를 사용하지 않는 공격이 적극 활용될 것으로 예상된다. 현재 기업 보안의 체계가 악성코드 탐지에 초점이 맞춰져 있기 때문에 이러한 유형의 공격들이 매우 효과적일 수 있다.
1. 피싱
회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID·PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려워진다면 공격자들은 피싱 공격을 가장 많이 사용할 것으로 예상된다. 이미 시장에는 github, facebook 등 해외 유명 서비스의 계정을 탈취할 수 있는 다양한 PhaaS(Phishing as a Service)가 판매되고 있다. 이러한 서비스들은 단순 피싱 페이지를 사용하던 과거의 방식에서 벗어나 리버스 프록시와 같은 기술을 적용함으로써 OTP 등 추가인증 수단(MFA)까지 우회할 수 있는 형태로 발전하고 있다.
▲EvilProxy 판매 게시글[자료=리니어리티]
현재 많은 기업들이 MFA를 매우 안전하다고 생각하며, 인증의 유일한 수단으로 적용하고 있다. 하지만 공격자들은 MFA를 우회하기 위한 연구를 활발하게 진행하고 있으며, 리버스 프록시 기반의 이메일 피싱, 보이스 피싱, SIM 하이재킹 등 다양한 우회 기술들을 개발하고 있다. 현재까지 PhaaS 서비스들도 아직은 유명 사이트를 대상으로 피싱 서비스를 제공하고 있지만, 머지 않은 미래에 일반 기업으로 공격 영역이 확대될 수 있다.
2. OSINT·다크웹·해킹포럼 등 사이버 범죄 시장
최근 몇 년 사이 다크웹, 해킹포럼, 블랙마켓 등 해킹 정보를 거래할 수 있는 시장이 완전한 체계를 갖추고 있다. 실제로 시장에서 판매되는 정보를 보면 액세스(VPN/RDP 등 접속정보), 악성코드, 스팸메일 발송 서비스, 카드사기, 해킹용 서버 또는 프록시 임대, 지갑(코인세탁 및 환전), 개인정보, 익스플로잇 등으로 세분화되어 있으며, 공격의 시작단계부터 수입을 현금화하기까지의 모든 과정을 제공하고 있다.
[블랙마켓 기반의 공격 흐름 예시]
1. 회사 임직원이 SNS, 쇼핑몰 등 비업무용 서비스에 가입하면서 업무용 메일 및 패스워드를 사용
2. 임직원이 가입한 비업무용 서비스가 해킹당한 후, 개인정보가 유출되어 다크웹 등 시장에서 판매·공유
3. 공격자가 시장에서 개인정보 등을 구매
4. 구매한 개인정보를 이용, 크리덴셜 스터핑 등의 기술을 이용해 기업의 VPN 등에 로그인
▲블랙마켓 기반의 공격 흐름 구성도[자료=리니어리티]
과거에 해커들은 공격 대상을 선정하고 직접적으로 공격을 수행했기 때문에, 관제 등 보안 시스템에서 비교적 쉽게 탐지할 수 있었다. 다크웹 등 사이버 범죄 시장의 활성화는 이러한 공격 흐름에 변화를 가져오고 있다. 계정을 구매해 바로 접속하게 되면 로그인 다수 실패 등 전조 증상이 없기 때문에 공격 탐지가 매우 어려울 수 있다.
▲시장에서 판매중인 기업 vpn 접속정보[자료=리니어리티]
MS, 옥타, 엔비디아 등을 해킹하면서 유명해진 랩서스 조직도 일부 계정 정보를 시장을 통해서 구매하거나 파트너사 및 임직원에게 접근해 구매를 시도했던 것으로 밝혀졌다. 랩서스의 공격이 매우 성공적이었다는 점에서 기업의 접근 권한을 확보하려는 시도가 더욱 증가할 것으로 전망된다.
3. 솔루션 취약점 공격
최근 confluence, Bitbucket, bamboo, gitlab 등 기업 내부에서 사용하는 솔루션에서 취약점이 연이어 발견되고 있다. 여기에 덧붙여 방화벽, VPN, 메일서버 등 인터넷 접점에 있는 솔루션의 취약점도 함께 늘어날 것으로 전망된다. 실제로 2022년 한해에도 네트워크 장치부터 협업 솔루션에 이르기까지 다양한 제품에서 취약점이 발견됐다.
공격자들이 이러한 솔루션 취약점을 연구하는 이유는 명확하다. 제로데이 취약점을 이용할 경우 막을 수 없기 때문이다. github 등 일부 솔루션은 취약점 패치를 수행하지 않는 경우도 있다. 수많은 팀들이 시스템에 연계하며 개발·배포 업무를 자동화하고 있어 장애 발생에 민감하기 때문이다. 실제로 랩서스 등 해킹조직은 기업 내부망에 침투, 원데이(1-day) 취약점을 이용해 github 또는 gitlab과 같은 소스코드 저장소를 해킹한 것으로 알려졌다.
이와 같이 솔루션 취약점을 이용할 경우, IPS 등에 탐지되지 않고 외부에 노출된 시스템의 권한을 획득하거나 정보를 탈취하는 강력한 공격이 가능하므로 향후 취약점 발생 동향에 주목해야 한다.
[글_ 한승연 리니어리티 대표]
피싱, 단순 피싱 페이지 사용에서 벗어나 리버스 프록시 기술 적용 등 2차 인증 우회로 발전
OSINT·다크웹·해킹포럼 등 사이버 범죄 시장, 새로운 공격 통로 및 유형으로 부상
방화벽·VPN·메일서버 등, 인터넷 접점 솔루션 취약점 증가 및 제로데이 취약점 우려
[보안뉴스= 한승연 리니어리티 대표] 최근 EDR(Endpoint Detection And Response) 등을 이용해 엔드포인트 보안을 강화하는 기업이 늘어나면서, 악성코드 위주였던 공격 환경에도 큰 변화가 예상된다. 공격자들은 악성코드 공격을 지속하는 한편, 피싱 등 새로운 유형으로 공격을 확대할 것으로 예상된다.
▲해킹포럼의 EDR 우회 기술 관련 토론글[자료=리니어리티]
# 악성코드 기반 공격
국가지원 해킹조직, 랜섬웨어, 정보 유출, 암호화폐 채굴 등 최근 발생하는 보안사고의 이면에는 대부분 악성코드가 있다. 악성코드 공격은 2000년대 중반 이후 현재까지 계속되어 기술의 성숙도가 높은 반면, 엔드포인트 보호 기술은 아직 걸음마 단계이기 때문에 악성코드 관련 공격은 당분간 지속될 것으로 보인다.
1. 악성코드는 더욱 정교하게 발전
EDR의 세상에서 공격자는 악성코드를 버리고 새로운 기술을 선택할 것인가? 아니면 기술을 더욱 발전시켜 EDR을 우회할 것인가? 아직은 후자가 더 유력해 보인다. 실제로 해외 해킹포럼, 콘퍼런스 등에서는 EDR의 탐지 원리를 분석하고, 이를 우회하기 위한 연구가 활발하게 진행되고 있다.
이렇게 개발된 보안 솔루션 무력화 기술은 랜섬웨어, 인포스틸러, RAT 등 시장에서 판매되는 악성코드에 빠르게 반영되고 있다. EDR은 악성코드를 탐지하기 위해 개발된 솔루션이지만, 한편으로는 악성코드의 비약적인 발전을 불러올 수 있음을 인지해야 한다.
▲해킹포럼에 판매되고 있는 커널 기반의 AV Killer 판매 게시글[자료=리니어리티]
2. 공급망 공격
기업에서는 메신저, 개발, 서버·DB 접속기, 압축 프로그램 등 업무용으로 수많은 프로그램을 사용하고 있으며, 때때로 제조사에서 제공하는 업데이트를 설치하기도 한다. 공격자가 프로그램의 제조사를 해킹한 후 업데이트 또는 설치 파일에 악성코드를 삽입하는 공격, 우리는 이러한 공격 방식을 공급망 공격(Supply Chain Attack)이라고 정의한다.
프로그램을 직접 개발하지 않고 제3자 회사의 프로그램을 사용하는 경우, 프로그램의 소스 코드를 검증할 수 없다는 리스크가 발생한다. 기업에서는 이러한 리스크를 프로그램의 라이센스를 구매하거나 평판 조회를 하는 등 프로그램이 안전할 것이라는 믿음(신용)을 통해 상쇄한다. 그러나 공식 사이트에서 설치한 프로그램에 악성코드가 숨어 있다면, 과연 알 수 있을까? 이러한 유형의 공격은 현재 수준의 기술로는 탐지하기 어려우며, 완벽한 보호 기술도 근시일 내에 나오기 어려울 것으로 보인다. 공격자들 또한 이러한 상황을 잘 알고 있기 때문에 공급망 공격은 향후에 더욱 증가할 것으로 예상된다.
# 악성코드를 사용하지 않는 공격
악성코드 공격이 어려워지면 결국에는 악성코드를 사용하지 않는 공격이 적극 활용될 것으로 예상된다. 현재 기업 보안의 체계가 악성코드 탐지에 초점이 맞춰져 있기 때문에 이러한 유형의 공격들이 매우 효과적일 수 있다.
1. 피싱
회사 임직원이 피싱 메일에 첨부된 링크에 접속해 ID·PW를 입력했다면 탐지할 수 있을까? 악성코드 공격이 어려워진다면 공격자들은 피싱 공격을 가장 많이 사용할 것으로 예상된다. 이미 시장에는 github, facebook 등 해외 유명 서비스의 계정을 탈취할 수 있는 다양한 PhaaS(Phishing as a Service)가 판매되고 있다. 이러한 서비스들은 단순 피싱 페이지를 사용하던 과거의 방식에서 벗어나 리버스 프록시와 같은 기술을 적용함으로써 OTP 등 추가인증 수단(MFA)까지 우회할 수 있는 형태로 발전하고 있다.
▲EvilProxy 판매 게시글[자료=리니어리티]
현재 많은 기업들이 MFA를 매우 안전하다고 생각하며, 인증의 유일한 수단으로 적용하고 있다. 하지만 공격자들은 MFA를 우회하기 위한 연구를 활발하게 진행하고 있으며, 리버스 프록시 기반의 이메일 피싱, 보이스 피싱, SIM 하이재킹 등 다양한 우회 기술들을 개발하고 있다. 현재까지 PhaaS 서비스들도 아직은 유명 사이트를 대상으로 피싱 서비스를 제공하고 있지만, 머지 않은 미래에 일반 기업으로 공격 영역이 확대될 수 있다.
2. OSINT·다크웹·해킹포럼 등 사이버 범죄 시장
최근 몇 년 사이 다크웹, 해킹포럼, 블랙마켓 등 해킹 정보를 거래할 수 있는 시장이 완전한 체계를 갖추고 있다. 실제로 시장에서 판매되는 정보를 보면 액세스(VPN/RDP 등 접속정보), 악성코드, 스팸메일 발송 서비스, 카드사기, 해킹용 서버 또는 프록시 임대, 지갑(코인세탁 및 환전), 개인정보, 익스플로잇 등으로 세분화되어 있으며, 공격의 시작단계부터 수입을 현금화하기까지의 모든 과정을 제공하고 있다.
[블랙마켓 기반의 공격 흐름 예시]
1. 회사 임직원이 SNS, 쇼핑몰 등 비업무용 서비스에 가입하면서 업무용 메일 및 패스워드를 사용
2. 임직원이 가입한 비업무용 서비스가 해킹당한 후, 개인정보가 유출되어 다크웹 등 시장에서 판매·공유
3. 공격자가 시장에서 개인정보 등을 구매
4. 구매한 개인정보를 이용, 크리덴셜 스터핑 등의 기술을 이용해 기업의 VPN 등에 로그인
▲블랙마켓 기반의 공격 흐름 구성도[자료=리니어리티]
과거에 해커들은 공격 대상을 선정하고 직접적으로 공격을 수행했기 때문에, 관제 등 보안 시스템에서 비교적 쉽게 탐지할 수 있었다. 다크웹 등 사이버 범죄 시장의 활성화는 이러한 공격 흐름에 변화를 가져오고 있다. 계정을 구매해 바로 접속하게 되면 로그인 다수 실패 등 전조 증상이 없기 때문에 공격 탐지가 매우 어려울 수 있다.
▲시장에서 판매중인 기업 vpn 접속정보[자료=리니어리티]
MS, 옥타, 엔비디아 등을 해킹하면서 유명해진 랩서스 조직도 일부 계정 정보를 시장을 통해서 구매하거나 파트너사 및 임직원에게 접근해 구매를 시도했던 것으로 밝혀졌다. 랩서스의 공격이 매우 성공적이었다는 점에서 기업의 접근 권한을 확보하려는 시도가 더욱 증가할 것으로 전망된다.
3. 솔루션 취약점 공격
최근 confluence, Bitbucket, bamboo, gitlab 등 기업 내부에서 사용하는 솔루션에서 취약점이 연이어 발견되고 있다. 여기에 덧붙여 방화벽, VPN, 메일서버 등 인터넷 접점에 있는 솔루션의 취약점도 함께 늘어날 것으로 전망된다. 실제로 2022년 한해에도 네트워크 장치부터 협업 솔루션에 이르기까지 다양한 제품에서 취약점이 발견됐다.
공격자들이 이러한 솔루션 취약점을 연구하는 이유는 명확하다. 제로데이 취약점을 이용할 경우 막을 수 없기 때문이다. github 등 일부 솔루션은 취약점 패치를 수행하지 않는 경우도 있다. 수많은 팀들이 시스템에 연계하며 개발·배포 업무를 자동화하고 있어 장애 발생에 민감하기 때문이다. 실제로 랩서스 등 해킹조직은 기업 내부망에 침투, 원데이(1-day) 취약점을 이용해 github 또는 gitlab과 같은 소스코드 저장소를 해킹한 것으로 알려졌다.
이와 같이 솔루션 취약점을 이용할 경우, IPS 등에 탐지되지 않고 외부에 노출된 시스템의 권한을 획득하거나 정보를 탈취하는 강력한 공격이 가능하므로 향후 취약점 발생 동향에 주목해야 한다.
[글_ 한승연 리니어리티 대표]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
