현재 제가 근무하는 회사에는 다양한 보안 위협에 대해 탐지 기능을 탑재하고 있는 특정 벤더의 APT 보안 장비를 운영중에 있습니다. 몇가지 실제 탐지 사례에 대한 설명과 대응 방안에 대해서 알아보도록 하겠습니다.
Lateral Movement
사례1
해당 호스트는 Cyber Kill-Chain 중 초기감염(C&C), 확장감염(Lateral) 및 데이터 유출(Exfil), 세 단계에 걸친 위협이 탐지되었으며, 초기감염 단계의 “External Remote Access(원격제어)”, 확장 감염 단계의 “Automated Replication”, 데이터 유출 단계의 “Data Smuggler” 행위가 탐지됨.
확인 결과 탐지된 행위가 업무와 관련이 없는 행위라면 매우 위험한 상황으로 해당 호스트는 격리조치 후 정적 분석 및 동적 분석 수행후 최종 포맷을 진행하였습니다. 확인 결과 특정 취약점으로 감염 후 이 호스트를 거점으로 Lateral Movement 공격을 진행한것으로 최종 확인되었습니다.
사례2
특정 호스트는 09월 13일부터 09월 21일까지 내부의 11개의 호스트로 80(http)포트를 통하여 동일한 데이터를 전송한 행위를 탐지됨. 해당 위협 행위에 대한 패킷을 확인한 결과 “2023_152945.exe” 실행 파일로 확인되었습니다. 확인 결과 개발 부서에서는 업무와 관련이 없는 행위라고 최종 확인되어 공격으로 판명되었습니다.
사례3
해당 호스트는 킬체인 중 세 단계의 위협행위가 모두 동일한 포트(TCP 78xx)로 통신이 이루어진것이 확인되었습니다. 업무와 관련이 없는 행위라면 치밀하게 단계적으로 이루어지고 있는 공격으로 확인되어 조치한 경우.
Command & Control
사례1
해당 호스트는 10월 10일 ~ 10월 14일, 총 8회에 걸쳐 원격제어 형태의 통신이 발생한 것으로 확인됨. TCP 7004 포트를 이용하여 원격제어 형태의 통신을 진행한것으로 확인되었습니다. 확인 결과 악성 코드에 감염되어 특정 C&C 서버 해외 IP로 지속적인 연결을 한것으로 확인되었습니다.
사례2
특정 호스트는 09월 3일, 2일, 8일 총 3회에 걸쳐 원격 제어 형태의 통신이 발생한 것으로 확인됨. TCP 88xx포트를 이용하여 원격 제어 형태의 통신을 진행함. 외부 호스트 에서 해당 호스트를 원격 제어하는것이 확인되었습니다.
사례3
탐지된 호스트는 08월 11일, 21일 2회에 걸쳐 매우 의심스러운 도메인에 대한 IP를 확인하기 위한 도메인 확인 쿼리 수십 차례 시도한 것이 확인되었으며, 해당 호스트는 언제든지 응답한 외부 C&C 서버를 통하여 다음 단계로의 공격이 진행될 확률이 높아 즉각 조치 하였습니다.
Exfiltration
해당 호스트는 10월 31일 부터 11일 21일까지 수회에 걸쳐 외부 다수의 서버로 데이터를 유출한 행위가 탐지되엇습니다. 내부의 다수의 호스트에서 데이터를 수집하여(2.8G) 외부로 데이터를 전송(1.6G) 탐지. 확인 결과 해당 행위가 업무와 관련이 없는 행위로 확인되었으며 대용량의 데이터가 유출된 상황.
Reconnaissance
사례1
탐지된 호스트는 10월 03일 ~ 14일 까지 총 8회에 걸쳐 내부 네트워크의 다수의 서버에 RDP를 통하여 동시에 접근 시도한 것이 확인되었습니다. 윈도우 OS administrator 계정으로 34개의 내부 호스트를 대상으로 동시에 총 56회 접속 시도가 탐지되었습니다. 해당 행위는 내부 윈도우 서버를 대상으로 동시에 다수의 서버로 접근을 시도한 상황으로 해당 서버들의 관리자가 아니라면 매우 의심스러운 행동으로 정밀 분석을 진행하였습니다.
사례2
해당 호스트는 9월 22일 내부의 10.x.x.15 호스트에 접근하기 위해 SMB(445)프로토콜을 이용하여 무차별 대입 공격을 시도. 1분 동안 “xxxxxxx” 특계정으로 총 544회 로그인 시도한것이 탐지되었습니다. SMB Brute Force Attack로 판명되었으며, 해당 행위는 접근에 성공하진 못했지만 대상 호스트를 점령하기 위한 정찰 및 확장 공격으로 판단됨.
Botnet Activity
탐지된 특정 호스트는 Cyber Kill-Chain 중 봇넷 단계의 Bitcoin을 채굴하기 위한 봇으로 활용되는 호스트가 탐지되었습니다. PoC 시작 시점 부터 외부의 채굴사이트로 접속하여 지속적으로 비트코인을 채굴하는 용도로 사용된것이 확인되었습니다.
이와같이 APT 보안 장비는 자동으로 정확한 탐지를 하는것이 목적이나 최종적으로는 사람의 분석 역량을 토대로 정탐이나 오탐을 구분해야합니다. 그리고, 탐지 후 다양한 영역의 3-rd Party 보안 솔루션들과 연계를 통하여 통합 분석 및 최종 조치까지 효과적으로 운영 할수 있습니다.
답글 남기기