APT 공격 (지능형 지속 공격 : Advanced Persistent Threat) 탐지에 대한 실제 대응 사례에 대해서 설명 드리겠습니다. 보안 실무에 종사 중이거나 관심 있는 분들께 도움이 되었으면 합니다.
APT 공격이란
다양한 취약점을 찾고 오랜 시간 동안 지속적인 해킹 시도로 중요 자료, 민감 자료등을 탈취하거나 유출하는 형태의 공격입니다. 하루에도 이와 같은 공격은 상단 특정 벤더의 보안 장비를 통해 수없이 탐지 이벤트가 발생합니다. APT 공격은 특정 목적을 위해 특별한 형태와 방법으로 내부 시스템에 침투하여 자신을 은닉하고 목적이 달성될때까지 지속적인 활동이 가능한 매우 위험한 위협입니다.
APT(Advanced Persistence Threat)공격 유형
Watering Hole – Internet APT Attack : 공격 대상에 대한 프로파일링을 통해 자주 접속하는 Web Site의 취약점을 통해악성코드를 심어 놓고 사용자 접근시 악성코드 설치 특정 목적의 사용자가 감염될때까지 불특정 다수를 대상으로 공격 불특정 다수를 대상으로 공격
Spear-Phishing – Email APT Attack : 특정대상을 한정하여 공격하기는 방식으로 이메일 본문에 URL링크를 포함하거나 첨부파일에 정상적인 파일로 가장한 악성코드로 공격
공격 단계
1. Exploit : 사회공학적 방법을 이용하여 공격자가 준비한 악성코드 유포/경유 사이트에 접근하도록 유도하거나 이메일 본문URL 또는 첨푸파일을 통해 최초 익스플로잇 시도합니다.
2. Dropper : 익스폴로잇이 성공한 경우 공격자는 해당 사용자PC환경에 대한 조사하여 해당 취약점을 통한 Malware를 패킹 및 XOR masking 등을 통해 다운로드 및 설치하여 사용자PC를 감염시킵니다.
3. Callback : 감염된 사용자PC는 공격자가 Control하기위해 준비한 C&C서버와의 통신을 통해 또 다른 공격행위 또는 내부 정보의 유출, 내부전파 등의 행위를 지속적으로 수행합니다.
APT 공격 감염 사례
Gh0st RAT(Remote Access Trojan) : 감염에 필요한 악성코드를 생성하고 감염PC들의 관리와 공격 명령을 통한 악성행위를 수행할 수 있는 해킹 도구입니다. 이 프로그램을 이용하여 해커는 자신의 서버로 접속한 Victim PC들을 제어하여 DDoS공격, 화면제어, 키로깅, 도청 등 여러 형태의 악성행위를 손쉽게 수행할 있습니다.
Infostealer.Fareit : 사용자 정보를 외부 C&C 서버로 유출하는 악성코드 입니다. FTP 계정 정보, 메일 계정, 브라우저 쿠키 정보 등을 유출합니다.
Backdoor.Androm : 정상 프로세스에 인젝션 되어 동작하는 악성코드입니다. 트로이 목마의 일종으로, 특정 네트워크 접속을 통해 파일 다운로드를 시도합니다. 현재 해당 다운로드 서버는 동작하지 않으며 사용자의 인터넷 사용정보 등을 탈취합니다.
Trojan.SecurityXploaded : SecurityXploaded 사이트와 관련된 악성코드입니다. 암호복구, 네트워크 보안툴, 안티 스파이웨어 등 다양한 프리웨어 툴을 제공합니다.
Backdoor.Sdbot은 Internet Relay Chat (IRC) 채널을 통해 통신하는 백도어 형태의 트로이 목마입니다. 감염된 사용자에 대한 제어가 가능하며 인터넷을 통해 새 버전을 확인함으로써 자기 자신을 업데이트할 수 있습니다.
대응 방법
차단 기능을 활성화하여 APT 공격 단계 별 차단을 실시하고 완벽한 차단을 위해 탐지한 유해 IP리스트 및 URL 정보를 보안장비(방화벽, 웹Proxy등) 차단 정책에 추가하여 연동 차단을 적용합니다. 또한, 탐지된 알려지지 않은 악성코드를 백신업체에 샘플이나 MD5값을 전달하여 시그니처 생성 후 감염된 PC를 치료 및 차단 합니다. 통합 관제 시스템인 ESM과 SIEM 솔루션과 연동하여 주요 APT 위협 행위에 대한 모니터링 및 대응 체계를 구축 운영해야합니다.
답글 남기기