Virus Bulletin :: APT vs Internet service providers – a threat hunter's perspective
We have placed cookies on your device in order to improve the functionality of this site, as outlined in our cookies policy. However, you may delete and block all cookies from this site and your use of the site will be unaffected. By continuing to browse t
www.virusbulletin.com
위 글을 바탕으로 작성되었습니다.
오늘날에는 통신 부문의 중요한 역할로 인해 조직은 사이버 환경에서 표적공격부터 범죄 또는 활동가 세계에 기인한 악의적인 행동에 이르기까지 다양한 위협에 직면해 있다.
이 부문을 표적으로 삼는 적에는 중국, 이란, 러시아, 베트남 및 북한을 지원하는 것으로 의심되는 보안 업계가 포함되어있다. 핵티비즘은 통신업체가 정부 지침 및 디지털 규제에 참여하기 때문에 ISP에도 큰 위협이 된다.
| Hacktivism : 정치, 사회적 목적으로 이루기 위해 해킹하거나 목표물인 서버 컴퓨터를 무력화하고 이런 기술을 만드는 운동 ISP (Internet Service Provider) : 인터넷 서비스 제공자는 인터넷에 접속하는 수단을 제공하는 주체를 가르킨다. |
왜 ISP인가?
1. ISP를 보호하는 것은 오늘날 국가 안보의 관점에서 최우선 과제이다.
2. 내부 조사 활동에 따르면 조직적이 공격자 (or APT)에 의한 모든 ISO 관련 침입은 제3자를 향한 디지털 스파이 활동이나 고객 데이터/데이터베이스에대한 액세스를 목표로 하는것으로 나타났다.
3. 2019년에는 업계에서 중국, 러시아, 북한을 대신하여 활동하는 것으로 의심되는 위협 그룹의 이 부문에 대한 활동이 증가했다.
4. 2016년 부터 활동한 것으로 추정되는 흔하지 않은 학성 코드 계열인 DeadlyKiss의 피해자는 통신 부문에서 활동하는 단체인 것으로 보인다. 수년 동안 어둠 속에 남아 있는 이 위협의 능력으로 인해 일부 위협 해위자가 특정 부문/표적을 손상시키기 위해 특정 디지털 무기를 독점적으로 사용할 수 있는 방법을생각해 볼 수 있다.
DNS 하이재킹 공격
DNS는 인터넷의 기본 프로토콜이므로, 공격자가 DNS 인프라를 하이재킹하는 데 성공하면 의도한 트래픽 경로를 파괴하고 의도하지 않은 대상으로 리디렉션할 수 있다. 이러한 유형의 공격의 주요 목적은 제 3자 대상에 대한 무단 액세스를 용이하게 하거나 추가적인 악의적 활동을 가능하게 하는 것입니다. DNS 인프라에 대한 공격에 대해 이야기할 대 일반적으로 공공기관이나 국가 조직, 부처, 에너지 부문에서 운영되는 중요 인프라, DNS 등록 기관 등 두 가지 피해자 그룹을 식별한다.
표적 공격
표적 공격은 일반적으로 ISP와 통신 회사에 대한 큰 위협 중 하나이다. 공격자는 특정 네트워크 인프라를 손상시키기 위해 광범위한 정보 수집 활동을 수행할 수 있는 기술, 시간 및 자원을 보유하고 있는 경우가 많다. 경우에 따라 이러한 공격은 회피성이 뛰어난 맞춤형 악성 코드를 사용한다.
| 적 | 도구 및 악성 코드 | 원산지 (예상) |
| ATP30 | Evora | 중국 |
| APT41 | RbDoor | 중국 |
| 'Operation DeadlyKiss' | DeadlyKiss | 중국 |
| 'Operation SoftCell' | Chopper WebShell Poison Ivy RAT |
중국 |
| APT34 (a.k.a OilRig) | RGDoor IIS BackDoor | 이란 |
| MuddyWater | NTSTATS | 이란 |
| TeamSpy | Commodity malware | 러시아 |
ㄴ 통신업체 및 ISP를 대상으로 한 표적 공격에 연루된 행위자 및 도구와 관련해 2019년 관찰된 내용 요약
Anatomy of ISP-oriented implants
Operation DeadlyKiss
- ISP를 표적으로 삼는 지능형 위협 행위자의 악성 툴킷
- 관찰된 임플란트는 로더와 RAT라는 두개의 DLL로 구성된다.
- 시스템 기반 및 네트워크 기반 탐지를 피하도록 설계됨.
| Vector | 공격자는 피해자 환경 내에서 초기 코드 실행을 위해 취약한 서비스를 악용했을 가능성이 높다. |
| 초기화 | 실행 하면 페이로드는 CBC모드에서 AES-256을 사용하고 프로그래밍된 문자열의 MD5를 키로 사용하여 해독한다. |
| 명령 및 제어 | 표준 HTTP 프로토콜을 사용하여 명령 및 제어 서버를 통신한다. |
| 안티 포렌식 | 악성 툴킷은 관련 파일의 타임스탬프를 수정할 수 있으므로 이벤트 재구성 단계에서 타임라인을 생성하기 어렵게 만든다. |
| 분석 방지 | 악성 코드는 정적 및 동적 분석을 방해하기 위해 여러 기술을 사용한다. (코드 난독화, 문자열 암호화..) |
| 코드 난독화 | API호출, 가짜 변수 활용, 중첩 구문, 가비지 함수 호출 .. |
| 문자열 암호화 | 악성코드는 작업 부하 중에 사용되는 모든 문자열을 암호화한다. |
Evora
-잠재적인 코드 오류에 주의를 기울이지 않고 변종을 빠르게 개발하는 악성코드 계열이다.
- 주로 동남아시아의 ISP와 통신업체를 대상으로 한다.
- 통신 방법은 명령을 받고 데이터를 유출하기 위해 웹메일, 소셜 미디어 등의 서비스를 활용한다. (시간에 따라 발전)
- 실행 파일의 .data 섹션에 저장된 LZARI 압축 페이로드의 압축을 푸는 로더 (DLL 같이 서비스로 설치되는 것)를 통해 배포된다.
- ATP30: 기술, 통신 및 기업 부문의 고가치 표적을 간첩 목적으로 손상시키는 데 관심이 있을 가능성 높다.
| Vector | 스피어 피상 공격과 외부의 취약한 서비스를 악용해 피해자 환경에서 첫 코드 실행을 확보하며 확산된다. |
| 초기화 | 실행 파일이 있는 로더 DLL로 구성되며 내장된 실행 파일이 추출되어 메모리에서 실행된다. |
| 명령 및 제어 | 웹메일 서비스 제공자를 사용하여 명령 및 제어 서버와 통신하도록 설계되어있다. |
| 안티 포렌식 | 현재 분석에는 안티 포렌식 트랙이 없다. |
| 분석 방지 | 'IsDebuggerPresent' API 호출을 사용한다. |
RGDoor IIS BackDoor
| 벡터 | IIS RGDoor는 취약한 공개 웹 서버를 이용하여 대상 시스템 내에 설치된다. -> 취약한 서비스를 찾아서 활용하고 내부 노드로 피봇하는데 사용한다. |
어제 강의듣다가 외국 보고서도 읽어보라길래 찾아본거다,, 악성코드 관련해서 내용이 잘 정리되어 있어서 본문 읽어보면 도움이 되는 것 같다. 중국, 이란, 러시아, 북한 쪽에서 많이 악성코드를 만든다고 하고, 위에 방식으로 ISP 네트워크가 손상되면 추가 침입 활동도 허용될 수 있다고 한다.
'학회_공부해요 > 기술_스터디' 카테고리의 다른 글
| [삼성] 삼성전자, '삼성 AI포럼'서 자체 개발 생성형 AI '삼성 가우스' 공개 (1) | 2023.11.14 |
|---|---|
| [삼성 SDS] 랭체인(LangChain)이란 무엇인가 (0) | 2023.11.06 |
| [IGLOO] 인공지능(AI), 전문가들은 왜 위험하다고 할까? (0) | 2023.09.28 |
| [삼성SDS] 지능형 자동화, 성공적인 CI/CD를 위한 핵심 (1) | 2023.05.28 |
| [Plainbit] MAGNET AXIOM 소개 (0) | 2023.05.22 |