AD환경을 공격한 공격자들의 동일한 TTP 분석...대응방안 모색한 보고서 나와
[보안뉴스 원병철 기자] 2019년과 2020년, AD(Active Directory)를 사용하는 기업을 대상으로 한 사이버 공격이 늘어나면서 이에 대한 대응 이슈가 커지고 있다. AD는 다수의 시스템을 관리하는 데 효율적이지만, 미숙한 계정 관리로 인해 관리자 권한이 탈취된다면 전체 내부망이 장악당할 수 있기 때문이다.
[이미지=utoimage]
AD는 윈도우 2000 서버 이상의 제품군에서 지원하는 기능으로, 쉽게 설명하면 기업이 사용하는 서버나 컴퓨터가 사용하는 응용 프로그램을 관리하는 기능이다. 편리한 API(Application Programming Interface)를 기반으로, 관리자가 다양한 서버를 관리할 수 있기 때문에 매우 편리하지만, 반대로 AD를 탈취당할 경우 모든 서버와 시스템의 운영권한을 공격자에게 빼앗길 수 있다.
2019년 상반기와 2020년 하반기, 국내 AD 환경의 랜섬웨어 감염사고가 발생했으며, 이에 경각심을 느낀 기업들은 중요 데이터를 백업하는 등 대책 마련에 나섰다. 이에 공격자들은 랜섬웨어는 물론 기업의 내부 정보를 유출해 유출한 자료를 인질로 삼아 몸값을 요구하기 시작했다.
한국인터넷진흥원은 이러한 사고들의 침투기업이 AD 환경 구성 방식에 따라 조금씩 차이가 있기는 하지만, 2019년부터 발생한 AD 환경의 랜섬웨어 감염사고들을 분석한 결과 대부분은 동일한 TTP(Tactic, Technique, Procedure)를 사용했음을 확인할 수 있었다고 밝혔다.
아울러 공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있기 때문에 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략 전술 관점에서 봐야 한다고 강조했다. 이러한 가운데 KISA는 AD 환경을 노린 공격에서 공격자의 TTP를 파악하고, 그 과정과 대응방안을 ‘ATT&CK Framework(실제 공격에 사용된 전술 및 기술과 그에 대한 대응을 나타낸 매트릭스)’ 기반으로 작성한 보고서를 발표했다.
▲공격 개요도[자료=KISA]
AD 환경을 노린 공격자의 TTP와 대응방안
1. Reconnaissance
정찰 단계에서 Email Stealer 악성코드를 이용하여 기존에 감염된 시스템에서 아웃룩 데이터 파일을 유출해 이메일 정보를 수집한다. 이렇게 수집한 이메일 계정 중 일부는 기업을 표적으로 한 APT 공격에 사용된다.
2. Resource Development
AD 환경에서 내부 이동을 위해 상용 도구인 Cobalt Strike와 Ammyy Admin, Tiny Met 등 악성코드를 주로 사용한다. 또한, 명령제어 서버나 악성코드 유포지로 사용할 자원을 미리 확보하고 SMB 측면 이동을 위한 공격 도구도 자체 제작한다.
3. Initial Access
사전에 탈취한 메일 계정을 대상으로 악성 파일이나 악성 링크가 첨부된 스피어피싱 메일을 발송한다. 정상적인 메일로 위장하기 위해 공격 대상의 업무와 기업의 특성을 활용하기 때문에 피싱 메일의 형태와 내용은 매번 달라진다.
4. Execution
원격제어 악성코드를 통해 다양한 원격 명령을 수행하며 도메인 내 시스템들 사이에 파이프를 생성하여 명령을 수행한다. 이후 SMB 포트를 통해 AD의 조인된 다른 시스템에 명령을 실행하고 악성코드를 서비스에 등록한다. 그리고 WMI와 파워셸 등을 통하여 원격 시스템에 명령을 실행한다.
5. Persistence
감염된 시스템에서 원격제어 악성코드의 지속성을 유지하기 위해 서비스와 레지스트리 등록을 통해 자동 실행되도록 한다. 또한, AD에 조인된 모든 시스템을 동시에 악성코드에 감염시키기 위해서 AD DC(Domain Controller)를 장악해 그룹 정책을 배포한다.
6. Command and Control
공격자는 Ammyy RAT, Amadey Bot 악성코드를 사용하여 외부 C2 서버에서 감염된 시스템으로 다양한 원격 명령을 수행하고 추가 악성 파일을 다운로드한다. 거점 서버를 장악한 이후에는 SMB 기능을 통해 다른 시스템으로 추가 명령을 수행하고 악성코드를 다운로드 및 실행시킨다.
7. Privilege Escalation
사용자 및 관리자 도메인 계정정보를 탈취하여 AD에 조인된 다른 시스템에 접속한다. 또한, 랜섬웨어 공격 시 공유 폴더 암호화를 위해 원격 데스크톱 세션 정보를 탈취하기도 한다.
8. Credential Access
공격자는 내부 이동을 위해 패스워드 덤프 프로그램을 사용하여 수집한 AD 서버 관리자 계정정보나 추가 생성한 계정을 사용한다.
9. Defense Evasion
백신 등 보안 프로그램 탐지 우회를 위해 인증서 서명된 악성코드를 사용하거나 암호화했으며, msiexec를 통해 악성코드를 실행한다. 공격이 끝난 후 사용했던 악성코드 및 이벤트 로그 등 흔적은 삭제한다.
10. Discovery
최초 침투 시 도메인 정보를 수집하고 파일 디렉터리 검색이나 네트워크 공유 탐색을 통해 내부망 구조를 파악한다. 이후 내부 이동을 통해 감염된 시스템의 정보를 수집 후 유출하며, 랜섬웨어 감염을 위해 프로세스나 서비스 정보를 수집하기도 한다.
11. Lateral Movement
공격자는 확보된 AD 계정을 사용해 타 시스템에 RDP 접근을 시도하며 주로 윈도우 파일 공유 프로토콜(SMB) 기능을 이용하여 악성코드를 전파하고 추가 감염시킨다. 파워셸을 통해 다른 시스템에 원격 명령을 실행하여 외부 공격자 유포지 서버로부터 추가 악성코드를 다운로드 및 실행하거나 거점 서버의 공유 폴더에 악성코드를 모아놓고 윈도우 관리자 공유 기능을 사용해 다른 시스템에 복사 및 실행한다.
12. Collection
공격자는 최초 침투 후 AD 관리자 권한을 획득하고 거점 서버를 장악할 때까지 내부 이동을 하며 Ping castle, powerkatz 등 상용도구를 사용하여 프로세스, 네트워크, 계정정보 등을 수집한다. 이후 원격제어 악성코드를 통해 피해 시스템의 정보를 수집하고, 수집된 데이터를 자체 구현한 XOR로 인코딩 후 유출한다.
13. Exfiltration
감염된 시스템의 메모리에서 수집된 데이터를 하나의 파일로 저장하여 공격자의 C&C(명령제어) 서버로 유출한다. 정찰단계에서 감염된 시스템에서 수집된 이메일과 계정정보 또한 공격자의 C&C 서버로 유출한다.
14. Impact
랜섬웨어 배포 전 탐지 우회를 위해 실행 중인 서비스 및 프로세스를 종료한다. 이후 AD 관리자 권한을 사용, AD DC의 정책배포를 통해 랜섬웨어를 배포하거나, SMB 프로토콜을 통해 서비스에 등록하는 방식으로 랜섬웨어에 감염시킨다.
보고서에 따르면, 공격자는 스피어피싱을 통해 내부에 침투했고, 계정을 탈취한 후에 DC 서버 장악과 SMB 기능을 통한 내부 이동의 과정을 통해 랜섬웨어에 감염시켰다. 이러한 공격은 공격자가 요구하는 몸값과 기업 이미지 손상에 따른 피해, 시스템 복구비용 등 막대한 손실이 발생할 뿐만 아니라, AD의 특성상 시스템 전체가 장악 당해 기업의 주요 정보가 유출되는 등 추가 피해도 발생한다.
아울러 보고서는 기업마다 망 구성방식과 권한 관리, 보안 정책이 서로 달라 침투방식이나 세부적인 공격 방법은 변경될 수 있으나, △권한상승 △계정탈취 △SMB를 통한 내부 이동 등은 대부분의 AD 공격에서 확인되는 공통적인 특성이라고 강조했다. 이에 AD 환경을 사용하는 기업은 계정관리와 모니터링이 제일 중요하다고 조언했다.
특히, 최초 침투에 성공한 공격자는 관리자 계정 탈취를 목표로 내부망을 탐색하고 이동하게 되는데, 이때 일반 사용자 계정을 아무리 많이 탈취하더라도 내부망 장악에 도움이 되지 않는다. 이 때문에 계정이 탈취되더라도 AD DC(Domain Controller) 서버를 장악할 수 없도록 사용자 및 서비스 계정들의 권한을 분리해 관리해야 한다고 설명했다.
또한, 관리자 그룹계정 사용을 최소화하고 불가피하게 관리자 계정을 사용하는 시스템들은 주기적으로 모니터링 해야 하며, AD DC의 경우 등록된 서비스와 그룹 정책 목록에 의심스러운 사항은 없는지 주의를 기울여야 한다는 것. 또한, 주요 시스템 로그는 주기적으로 백업하고 계정 탈취 도구가 탐지되거나, 파이프 통신 발견 시 즉시 전사 시스템을 점검해 봐야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 2019년과 2020년, AD(Active Directory)를 사용하는 기업을 대상으로 한 사이버 공격이 늘어나면서 이에 대한 대응 이슈가 커지고 있다. AD는 다수의 시스템을 관리하는 데 효율적이지만, 미숙한 계정 관리로 인해 관리자 권한이 탈취된다면 전체 내부망이 장악당할 수 있기 때문이다.
[이미지=utoimage]
AD는 윈도우 2000 서버 이상의 제품군에서 지원하는 기능으로, 쉽게 설명하면 기업이 사용하는 서버나 컴퓨터가 사용하는 응용 프로그램을 관리하는 기능이다. 편리한 API(Application Programming Interface)를 기반으로, 관리자가 다양한 서버를 관리할 수 있기 때문에 매우 편리하지만, 반대로 AD를 탈취당할 경우 모든 서버와 시스템의 운영권한을 공격자에게 빼앗길 수 있다.
2019년 상반기와 2020년 하반기, 국내 AD 환경의 랜섬웨어 감염사고가 발생했으며, 이에 경각심을 느낀 기업들은 중요 데이터를 백업하는 등 대책 마련에 나섰다. 이에 공격자들은 랜섬웨어는 물론 기업의 내부 정보를 유출해 유출한 자료를 인질로 삼아 몸값을 요구하기 시작했다.
한국인터넷진흥원은 이러한 사고들의 침투기업이 AD 환경 구성 방식에 따라 조금씩 차이가 있기는 하지만, 2019년부터 발생한 AD 환경의 랜섬웨어 감염사고들을 분석한 결과 대부분은 동일한 TTP(Tactic, Technique, Procedure)를 사용했음을 확인할 수 있었다고 밝혔다.
아울러 공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있기 때문에 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략 전술 관점에서 봐야 한다고 강조했다. 이러한 가운데 KISA는 AD 환경을 노린 공격에서 공격자의 TTP를 파악하고, 그 과정과 대응방안을 ‘ATT&CK Framework(실제 공격에 사용된 전술 및 기술과 그에 대한 대응을 나타낸 매트릭스)’ 기반으로 작성한 보고서를 발표했다.
▲공격 개요도[자료=KISA]
AD 환경을 노린 공격자의 TTP와 대응방안
1. Reconnaissance
정찰 단계에서 Email Stealer 악성코드를 이용하여 기존에 감염된 시스템에서 아웃룩 데이터 파일을 유출해 이메일 정보를 수집한다. 이렇게 수집한 이메일 계정 중 일부는 기업을 표적으로 한 APT 공격에 사용된다.
2. Resource Development
AD 환경에서 내부 이동을 위해 상용 도구인 Cobalt Strike와 Ammyy Admin, Tiny Met 등 악성코드를 주로 사용한다. 또한, 명령제어 서버나 악성코드 유포지로 사용할 자원을 미리 확보하고 SMB 측면 이동을 위한 공격 도구도 자체 제작한다.
3. Initial Access
사전에 탈취한 메일 계정을 대상으로 악성 파일이나 악성 링크가 첨부된 스피어피싱 메일을 발송한다. 정상적인 메일로 위장하기 위해 공격 대상의 업무와 기업의 특성을 활용하기 때문에 피싱 메일의 형태와 내용은 매번 달라진다.
4. Execution
원격제어 악성코드를 통해 다양한 원격 명령을 수행하며 도메인 내 시스템들 사이에 파이프를 생성하여 명령을 수행한다. 이후 SMB 포트를 통해 AD의 조인된 다른 시스템에 명령을 실행하고 악성코드를 서비스에 등록한다. 그리고 WMI와 파워셸 등을 통하여 원격 시스템에 명령을 실행한다.
5. Persistence
감염된 시스템에서 원격제어 악성코드의 지속성을 유지하기 위해 서비스와 레지스트리 등록을 통해 자동 실행되도록 한다. 또한, AD에 조인된 모든 시스템을 동시에 악성코드에 감염시키기 위해서 AD DC(Domain Controller)를 장악해 그룹 정책을 배포한다.
6. Command and Control
공격자는 Ammyy RAT, Amadey Bot 악성코드를 사용하여 외부 C2 서버에서 감염된 시스템으로 다양한 원격 명령을 수행하고 추가 악성 파일을 다운로드한다. 거점 서버를 장악한 이후에는 SMB 기능을 통해 다른 시스템으로 추가 명령을 수행하고 악성코드를 다운로드 및 실행시킨다.
7. Privilege Escalation
사용자 및 관리자 도메인 계정정보를 탈취하여 AD에 조인된 다른 시스템에 접속한다. 또한, 랜섬웨어 공격 시 공유 폴더 암호화를 위해 원격 데스크톱 세션 정보를 탈취하기도 한다.
8. Credential Access
공격자는 내부 이동을 위해 패스워드 덤프 프로그램을 사용하여 수집한 AD 서버 관리자 계정정보나 추가 생성한 계정을 사용한다.
9. Defense Evasion
백신 등 보안 프로그램 탐지 우회를 위해 인증서 서명된 악성코드를 사용하거나 암호화했으며, msiexec를 통해 악성코드를 실행한다. 공격이 끝난 후 사용했던 악성코드 및 이벤트 로그 등 흔적은 삭제한다.
10. Discovery
최초 침투 시 도메인 정보를 수집하고 파일 디렉터리 검색이나 네트워크 공유 탐색을 통해 내부망 구조를 파악한다. 이후 내부 이동을 통해 감염된 시스템의 정보를 수집 후 유출하며, 랜섬웨어 감염을 위해 프로세스나 서비스 정보를 수집하기도 한다.
11. Lateral Movement
공격자는 확보된 AD 계정을 사용해 타 시스템에 RDP 접근을 시도하며 주로 윈도우 파일 공유 프로토콜(SMB) 기능을 이용하여 악성코드를 전파하고 추가 감염시킨다. 파워셸을 통해 다른 시스템에 원격 명령을 실행하여 외부 공격자 유포지 서버로부터 추가 악성코드를 다운로드 및 실행하거나 거점 서버의 공유 폴더에 악성코드를 모아놓고 윈도우 관리자 공유 기능을 사용해 다른 시스템에 복사 및 실행한다.
12. Collection
공격자는 최초 침투 후 AD 관리자 권한을 획득하고 거점 서버를 장악할 때까지 내부 이동을 하며 Ping castle, powerkatz 등 상용도구를 사용하여 프로세스, 네트워크, 계정정보 등을 수집한다. 이후 원격제어 악성코드를 통해 피해 시스템의 정보를 수집하고, 수집된 데이터를 자체 구현한 XOR로 인코딩 후 유출한다.
13. Exfiltration
감염된 시스템의 메모리에서 수집된 데이터를 하나의 파일로 저장하여 공격자의 C&C(명령제어) 서버로 유출한다. 정찰단계에서 감염된 시스템에서 수집된 이메일과 계정정보 또한 공격자의 C&C 서버로 유출한다.
14. Impact
랜섬웨어 배포 전 탐지 우회를 위해 실행 중인 서비스 및 프로세스를 종료한다. 이후 AD 관리자 권한을 사용, AD DC의 정책배포를 통해 랜섬웨어를 배포하거나, SMB 프로토콜을 통해 서비스에 등록하는 방식으로 랜섬웨어에 감염시킨다.
보고서에 따르면, 공격자는 스피어피싱을 통해 내부에 침투했고, 계정을 탈취한 후에 DC 서버 장악과 SMB 기능을 통한 내부 이동의 과정을 통해 랜섬웨어에 감염시켰다. 이러한 공격은 공격자가 요구하는 몸값과 기업 이미지 손상에 따른 피해, 시스템 복구비용 등 막대한 손실이 발생할 뿐만 아니라, AD의 특성상 시스템 전체가 장악 당해 기업의 주요 정보가 유출되는 등 추가 피해도 발생한다.
아울러 보고서는 기업마다 망 구성방식과 권한 관리, 보안 정책이 서로 달라 침투방식이나 세부적인 공격 방법은 변경될 수 있으나, △권한상승 △계정탈취 △SMB를 통한 내부 이동 등은 대부분의 AD 공격에서 확인되는 공통적인 특성이라고 강조했다. 이에 AD 환경을 사용하는 기업은 계정관리와 모니터링이 제일 중요하다고 조언했다.
특히, 최초 침투에 성공한 공격자는 관리자 계정 탈취를 목표로 내부망을 탐색하고 이동하게 되는데, 이때 일반 사용자 계정을 아무리 많이 탈취하더라도 내부망 장악에 도움이 되지 않는다. 이 때문에 계정이 탈취되더라도 AD DC(Domain Controller) 서버를 장악할 수 없도록 사용자 및 서비스 계정들의 권한을 분리해 관리해야 한다고 설명했다.
또한, 관리자 그룹계정 사용을 최소화하고 불가피하게 관리자 계정을 사용하는 시스템들은 주기적으로 모니터링 해야 하며, AD DC의 경우 등록된 서비스와 그룹 정책 목록에 의심스러운 사항은 없는지 주의를 기울여야 한다는 것. 또한, 주요 시스템 로그는 주기적으로 백업하고 계정 탈취 도구가 탐지되거나, 파이프 통신 발견 시 즉시 전사 시스템을 점검해 봐야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
