- Aurora는 구글을 해킹하기위해 침입자가 자체 제작한 악성코드
* 침입 경로
1. 사회공학 기법을 이용해 악성코드가 있는 웹사이트에 접속 유도(종종 해외지사에서 발생)
2. 이 웹사이트를 통해 웹브라우저의 취약점을 이용한 악성코드 피해시스템에 실행
3. 악성코드 C&C 서버에 접속 (주로 Dynamic DNS 주소 이용)
4. 침입자는 캐시나 로컬에 저장된 암호를 이용해 사내 네트워크 접근 권한 획득
5. 침입자는 Active Directory 서버에 접속하여 암호 데이터베이스 획득 시도
6. 침입자는 획득한 계정으로 VPN 접근 권한을 얻거나 가짜 VPN 계정을 생성
7. 이후 침입자의 목적에 따라 내부 시스템 장악 및 자료 유출
* 전술적 권고사항
1. DNS 트래픽을 로그로 저장하고 감시하라
- 내부 DNS 쿼리를 로깅하라
- 특히 Dynamic DNS를 주시해라
- 반복적으로 Dynamic DNS에 쿼리하는 호스트를 조사해라
2. 내부 네트워크 감시 솔루션(IDS)을 구축하라
3. 내부, 외부 네트워크 트래픽을 통제하라
- 아웃바운드 C&C 통신 채널을 통제하고 감염 호스트의 로그를 추적하라
- 컨텐츠 스캐닝 웹프록시(Cisco IronPort 같은)를 구축하고 충분한 기간 로그를 저장하라
4. 로그의 종류를 확대해 통합 저장하라
- 윈도우 시스템의 보안, 시스템 이벤트 로그
- 도메인 컨트롤러의 보안, 시스템, 어플리케이션 이벤트 로그
- UNIX 서버의 로그인, SSH 로그
- 모든 내부 DNS 쿼리
- IDS 이벤트 로그
- 웹 프록시 로그
- 인트라넷 사이트와 어플리케이션의 웹 접속 로그
5. 윈도우 단말 통제를 강화하라
- 어드민 권한 사용을 중단하라
- 비 MS 제품(Adobe Flash/Reader, Sun Java...)에 대한 업데이트 방안을 적용하라
- 어플리케이션 사용 제안을 고려하라
6. VPN 접속, 등록을 감시하라
- 침입자는 커스텀 악성코드를 통한 C&C 리버스 터널에 의존하기 보다는 정상적인 VPN 접속을 선호한다
7. 루트킷 스캐너를 이용해 검사하라
- 침입자는 커스텀 악성코드와 함께 다양한 종류의 표준 루트킷을 같이 사용하는 경향이 있다
- 악성코드 스캐너의 "Full Scan" 옵션을 이용해 루트킷 검사를 실시하라
* 전략적 권고사항
1. 보안담당팀을 만들어라
- 자체 팀을 만들던지 MSSP를 이용하던지
2. 해외지사에 대한 보안을 강화하라
- 많은 경우 해외지사의 시스템이 사회공학 기법에 의해 악성코드에 감염된다
3. 중요 데이터에 대해 등급을 매기고 목록화하라
- 그래야 침해사고 발생시 조사 담당자가 중요한 시스템에 대한 공격과 피해를 신속히 조사할 수 있다
4. Active Directory 네트웍의 보안을 강화하라
- 침입자는 아주 신중하고 참을성 있게 기다리면서 AD의 NTLM 해쉬를 해킹한다
- 도메인 관리 권한 로그인을 스마트 카드로 제한하라
- 공유 로컬 계정을 사용하지 마라
- 도메인 관리 권한을 자동화된 프로세스에 사용할 경우 주의하라
- 기타 등등
* 교훈
1. 침입자는 대문을 무시하고 있다
- 침입자는 일반 직원을 대상으로 하는 "백도어" 공격이 주요 기업을 장악하는데 훨씬 더 효율적임을 배웠다
2. 현존하는 안티바이러스 제품은 별 도움이 안된다
- 룰이나 휴리스틱 탐지 기반의 안티바이러스는 침입자가 커스터마이징된 악성코드를 작성할 경우 쉽게 우회된다
3. 주기적 패치도 충분하지 않다
- 제로데이 공격에서는 패치 자체가 없다
4. 당신은 지금 빅리그(큰물)에서 놀고 있는 것인지도 모른다
- 침입자는 극도로 전문화되어 있다. 포춘 500대 기업도 뚫리는 마당이다
- 당장 효율적인 제품을 도입하고 MSS 서비스를 받아라
Posts
