지능화 APT
과거와 다르게 현재의 위협은 과거와 전혀 다른 양상으로 전개되며 새로운 세대의 공격을 탐지하기 위해서는 공격방식의 진화에 맞는 관점의 변화가 필요합니다.
최초 위협의 등장으로 방화벽/IDS/백신 등의 기술이 탄생하였으나 위협이 진화하고 변화하였다면 그에 대한 대응 기술의 변화가 필수적으로 요구됩니다.
APT란 Advanced Persistence Threat의 약자로 고도화된 지속적인 위협을 의미합니다.
운영시스템을 대상으로 단순해킹, 홈페이지 위변조와 같이 단편적이고 보여지는 공격의 형태가 아닌 공격목적을 달성하기 위해 자신을 숨기고, 변화시키며 사용자PC에 대해 지속적인 공격활동을 수행하는 위협을 의미합니다.
공격 대상/목표
설정 및 정보 수집
- 대상국가/산업군/규모설정
- 공격 목표 및 목적 설정
- 관련 기업/기관 정보 수집
- 주요 사용자 개인정보 수집
공격 도구
생성
- 공격 대상 내부 사용자 정보 활용으로 취약 사이트 감염
- 사용자 이메일 계정 확보
- 주요 관심 대상 컨텐츠 확보
최초 사용자
PC감염
- 최초 사용자 PC감염
- 준비된 악성 코드 및 감염 사이트, 스피어 피싱 공격 활용
내부 사용자
PC감염 확산
- 내부 사용자 PC감염 확산
- 추가 권한 사용자 정보 확보
- 추가 공격 도구 생성 및 공격
- 목적정보 회득시까지 잠복
내부 시스템 및
주요 정보 접근
- 내부 시스템 및 주요 정보 접근
- 주요 정보 외부 유출
- 내부 시스템 변조/파괴
워터링홀(Watering Hole)
사용자의 인터넷 사용을 통해 공격을 하는 형태로 불특정 다수를 공격하기 위해 취약한 웹서버를 미리 감염시켜서 공격을 수행합니다.
웹서비스를 사용하는 일반사용자는 공격에 대해 전혀 인지 하지 못하도록 특별한 변화없이 Background에서 수행합니다.
- Watering Hole은 건기 사막의 오아시스를 말함
- 공격 대상 회사에 대한 프로파일링을 통해
- 자주 접속 하는 Web Site 를 확인
- 해당 Web site 또는 Link 되어 있는 Web Site 의 취약점을 공격해서 악성 코드를 심어 놓음
- 사용자가 Web Site 접근시 해당 악성코드가 다운로드 됨
- 특정 목적의 사용자가 감염될때까지 불특정 다수를 대상으로 수동적인 형태의 공격
- 최근에는 사이트 취약점 및 다양한 익스플로잇 킷을 이용한 Drive by download 공격을 많이 이용
스피어피싱(Spear-phishing)
- 스피어 피싱은 특정 사용자를 감염시키려는 피싱공격을 지칭
- 특정 사용자를 공격 목표로 하는것이 특징
- 스피어피싱은 이메일을 사용하며 첨부파일 형태 및 본문의 악성사이트 링크 등으로 공격을 수행
- 실제 업무와 유사한 메일내용을 포함하고 있어서 사용자가 이를 구분하고 인지하기는 불가능
효과적인 APT 대응을 위해 FireEye의 NX(네트워크), EX(이메일), HX(포렌식) 솔루션 구축을 제안 드립니다.
APT공격의 주요 공격경로인 사용자 웹사용 트래픽, 스피어피싱 이메일 탐지 및 분석을 수행하고 감염된 사용자의 통제 및 확산방지를 위해 에이전트 방식의 포렌식 솔루션의 구축으로 강력한 APT위협 대응이 가능합니다.
APT전용 솔루션 구축
새로운 방식으로 공격하는 지능화 위협에 대한 효과적인 대응을 위해 APT전용 솔루션을 구축해야 합니다.
외부와의 접점 및 내부에서 공유가 가능한 영역에 대한 APT솔루션의 구축이 요구됩니다.
또한 인프라시스템 Edge에서의 탐지/분석/차단이 대응하기 어려운 내부통신/감염확산/내부피해의 세부적인 내용을 확인하기 위해 네트워크 캡쳐 포렌식, 엔드포인트 포렌식 솔루션도입이 필요합니다.
