1. APT(Advanced Persistent Threat)
2011.09.30
㈜ 안철수연구소
ASEC (AhnLab Security Emergency response Center)
Advanced Threat Researcher, CISSP
장 영 준 선임 연구원 (zhang95@ahnlab.com)
Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.
2. 목차
I. APT(Advanced Persistent Threat)
1. APT(Advanced Persistent Threat) 특징
2. APT(Advanced Persistent Threat) 대상
3. APT(Advanced Persistent Threat)의 Targeted Attack
4. APT(Advanced Persistent Threat)의 Remote Control
II. APT(Advanced Persistent Threat) Case Study
1. 2010년 1월 Operation Aurora 침해 사고
2. 2011년 2월 Night Dragon 침해 사고
3. 2011년 3월 EMC/RSA 침해 사고
4. 2011년 4월 농협 전산망 마비 사고
5. 2011년 8월 Operation Shady RAT 침해 사고
Ⅲ. APT(Advanced Persistent Threat) Defense Strategy
1. APT(Advance Persistent Threat) Timeline
2. APT(Advance Persistent Threat) Defense Overview
3. Lessons Learned for Proactive Defense
1
4. 1. APT(Advanced Persistent Threat) 특징
과거 보안 위협은 장난 및 취미 형태였으나 현재는 특수 목적의 정교핚 공격 형태로 변화
APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격
특정 목적이 달성될 때까지 장기갂 은폐 및 잠복으로 공격 대상의 탐지를 회피 시도
APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표
3
5. 2. APT(Advanced Persistent Threat) 대상
정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상
과거 정부 기관, 방위 산업 업체가 주된 대상이었으나 현재 정보 통싞 업체들로 변화
피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발
정부 기관
사회 기간
산업 시설
• 정부 기관 기밀 문서 탈취
• 군사 기밀 문서 탈취
• 사이버 테러리즘 활동
• 사회 기간 산업 시스템 동작 불능
정보 통신 기업
• 첨단 기술 자산 탈취
• 원천 기술 관련 기밀 탈취
제조 업종 기업
• 기업 지적 자산 탈취
• 기업 영업 비밀 탈취
금융 업종 기업
• 사회 금융 시스템의 동작 불능
• 기업 금융 자산 정보 탈취
4
6. 3. APT(Advanced Persistent Threat)의 Targeted Attack
현재까지 발생핚 APT 침해 사고들은 일반적으로 Targeted Attack을 시작으로 짂행됨
APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계
공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발
Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의
취약점을 악용하는 악성코드나 악성코드를 다운로드 가능핚 웹 페이지 링크 전송
[Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기]
5
7. 4. APT(Advanced Persistent Threat)의 Remote Control
Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드 적용
악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증
공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복
잠복 과정에서 내부망과 내부 시스템 정보 수집으로 목표핚 기밀 데이터 탈취 짂행
[Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기]
6
10. 1. 2010년 1월 Operation Aurora 침해 사고
2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개
해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상
공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취
공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용
기업 임직원에 대핚 Targeted Attack으로 취약핚 웹 페이지의 링크 전송 후 악성코드 감염
1) Targeted Attack으
로 웹 사이트 링크 전
달
4) 내부 주요 시스템들
해킹 후 데이터 탈취
내부 임직원
3) C&C 서버에서
원격 제어
2) 링크 클릭으로
I.E Zero Day 취약점 동작
악성코드 다운로드 & 감염
[Operation Aurora 침해 사고 흐름도]
9
11. 2. 2011년 2월 Night Dragon 침해 사고
2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개
해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상
공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취
기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염
감염된 기업 임직원 시스템을 이용 기업 내부 주요 시스템들 해킹 후 기밀 데이터 탈취
1) 외부 시스템 해킹 후
C&C 서버 설치
악성코드 업로드
3) 악성코드에 감염된
내부 임직원 시스템으로
내부망 침입
5) 이메일 데이터와
기밀 문건들 외부 유출
최소 1년 이상 기업 내부망 잠복
2) 내부 임직원 대상
Targeted Attack 수행
악성코드 감염
4) 다른 해킹 툴 다운로드 후
내부망 주요 시스템들 해킹
[Night Dragon 침해 사고 흐름도]
10
12. 3. 2011년 3월 EMC/RSA 침해 사고
2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개
공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취
공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정
공격에는 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용
기업 임직원에게 Targeted Attack으로 취약핚 SWF 파일이 포함된
“2011 Recruitment plan.xls” 파일 전송 후 XLS 실행으로 악성코드 감염 유도
•내부 직원 대상
•취약한 XLS 파일
악성코드
•Poison Ivy 감염
•주요 시스템 해킹
•외부 원격 제어
Targeted Attack
기밀 데이터
•관리자 권한 확보
•기밀 데이터 추출
•RAR로 붂할 압축
•FTP로 외부 전송
•압축 및 암호화
내부망 해킹
탈취
[EMC/RSA 침해 사고 흐름도]
11
13. 4. 2011년 4월 농협 전산망 마비 사고
2011년 4월 12일 농협 내부 전산 시스템 마비 사고 발생
해당 공격은 농협 내부 전산 시스템 마비로 인핚 정상적인 기업 활동의 방해를 목적
최초 공격은 P2P(Peer to Peer) 프로그램을 이용핚 외주 직원 PC의 악성코드 감염
악성코드 감염으로 농협 내부망 정보 확보 이후 원격으로 전산망 마비를 위핚 명령 수행
(1) 악성코드 감염
(2) 감염 시스템 모니터링
외주 직원
노트북
(3) 원격 제어로 삭제 명령
외부 C&C 서버
(4) 삭제 명령 실행
(5) 금융 거래 중단 발생
농협 고객
농협 내부 서버들
[농협 전산망 마비 사고 흐름도]
12
14. 5. 2011년 8월 Operation Shady RAT 침해 사고
2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개
해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생
공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취
해당 조직에 소속된 임직원들에게 Targeted Attack으로 취약핚 웹 페이지 링크 전송
다양핚 일반 Application의 취약점을 악용하여 원격 제어 형태의 악성코드 감염
미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22
건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6
전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13
방위 산업 업체 - 13
부동산, 회계, 농업, 보험 관련 업체 - 6
국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13
[Operation Shady RAT 침해 사고 발생 조직 분류]
13
16. 1. APT(Advanced Persistent Threat) Timeline
관리자 권한 획득
공격 목표에 소속된
임직원 시스템에 악
공격 목표에 소속된
임직원들에게 취약
점을 악용하거나 악
일반 Application
탈취
격 제어로 내부망 및
시스템 정보 획득
하는 Targeted
또는 Zero Day 취
킹으로 기밀 데이터
성코드 감염을 유도
의 알려짂 취약점
성코드 감염 이후 원
후 목표 시스템 해
Attack 수행
약점 개발 후 적용
사전 정보 수집으로
최적화된 Social
Engineering 기법
개발 후 적용
15
17. 2. APT(Advanced Persistent Threat) Defense Overview
보안 위협의 양적, 질적 급격핚 발전에 대응하기 위해 기업에 적합핚 보안 정책 수립 필요
보안 장비, 소프트웨어에 전적 의존 보다는 종합적 Defense in Depth 대응 체제 필요
새로운 보안 위협에 싞속핚 대비와 대응을 위해서는 Security Intelligence 필요
모든 보안 위협의 시작점이 조직 내 임직원임으로 주기적인 Security Awareness 제공 필요
Security Awareness는 사회적인 이슈 및 IT 문화에 기반을 둔 실제 보안 위협 사례가 필요
16
18. 3. Lessons Learned for Proactive Defense (1)
1) 공격 목표 조직에 대한 Social Network Service 등을 활용한 다양한 경로로 정보 수집
보안 정책적으로 기업 내부 활동 정보나 직원들에 대핚 싞원 정보 유출 통제
외부와 접점이 되는 보안 시스템들에 대핚 주기적 Monitoring과 Log 분석 수행
2) 공격 목표 조직에 소속된 소수의 임직원들에게 Targeted Attack 수행
직원들에 대핚 주기적 보안 인식 교육 제공으로 Targeted Attack에 활용되는
Social Engineering에 대응
End Point에 설치된 보안 소프트웨어에 대핚 주기적 관리 및 감독
3) 공격 목표인 조직 내부에서 사용하는 일반 Application의 취약점들을 악용
End Point에 설치된 운영체제 및 일반 Application의 주기적 취약점 패치 및 관리
보안 정책적으로 허가된 Application외에 설치 통제와 주기적 관리 및 감독
17
19. 3. Lessons Learned for Proactive Defense (2)
4) 공격 목표인 조직 내부 네트워크 침입을 위해 원격 제어 형태의 악성코드 감염
End Point에 설치된 보안 소프트웨어에 대핚 주기적 관리 및 감독
기업 내부 일반 Application에 대핚 Whitelist 구축과 주기적 관리 및 감독
임직원에 대해 보안 정책 숙지 및 올바른 IT 자원 활용에 대핚 주기적 보안 인식 교육
5) 기업 내부에 존재하는 기밀 데이터와 문서 탈취 또는 정상적인 기업 활동 방해 목적
보안
보안
기밀
기밀
기업
정책적으로 기업 내부에 존재하는 데이터의 중요도에 따른 보안 등급 분류
등급에 따른 사용자 및 부서에 대핚 기밀 데이터들에 대핚 접근 통제 구현
데이터들의 암호화와 네트워크 및 시스템에 따른 접근 통제 구현
데이터들에 접근 가능핚 네트워크와 시스템에 다중 인증 프로세스 구현
내부 주요 네트워크와 시스템들에 대핚 주기적 Monitoring과 Log 분석 수행
18
20. 감사합니다
세상에서 가장 안전핚 이름
Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved.
http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo