Outbound 방화벽 정책으로 침해사고 줄이기

그동안 여러차례 침해사고를 조사하면서 반복해 확인한 내용으로 대부분의 업체에서는 Outbound 방화벽 정책을 관리하고 있지 않습니다. 거의 모든 트래픽에 대해 다 허용하고 있습니다.

최근 침해사고를 보면 사회공학을 이용해 악성코드를 본사/지사/관계사에 설치해 먼저 장악하고 IDC에 접근해 악성코드를 설치해 중요 정보를 유출하고 있습니다.

그 과정에서 많이 쓰이는 방법이 Reverse Tunneling 기법인데, 방화벽에서 Outbound 만 차단해도 이 공격을 예방할 수 있습니다.

IDC는 꼭 필요한 서비스가 아닌 경우 Outbound를 허용할 이유가 없습니다.

백신과 MS Patch 등은 정기점검 시간에만 잠깐 정책을 열어 업데이트한다던지 관리서버나 프록시를 이용해 한 곳에서 관리하면 됩니다.

 

본사/지사/관계사의 경우 업무 때문에 무조건 차단을 할 수는 없는데, 적어도 업무 시간외(퇴근 후 출근 전)에 PC 전원을 끄거나 방화벽에서 야간과 휴일 시간에 Outbound 를 차단하도록 하면 됩니다. 

웹사이트 보안 코딩과 방화벽 아웃바운드 차단으로도 침해사고는 절반 이하로 줄어들 것입니다.

로그온 유형 코드 이해하기

윈도우 보안감사 로그를 분석하다보면 많은 코드들이 나와 혼란스럽습니다.


이중 중요한 코드가 로그온 유형 코드인데요, 이를 통해서 침입자가 어떤 방식으로 접근했는지를 확인할 수 있습니다.

1. 로그온 유형 2 (Logon Type 2) : 대화식
   
   
   
   • 콘솔에서 키보드로 로그인 (LogMeIn, TeamView, KVM 포함)
   
   


2. 로그온 유형 3 (Logon Type 3) : 네트워크
   
   
   
   • 네트워크를 통한 원격 로그인. (파일 공유, IIS 접속 등)
   
   
   
   
3. 로그온 유형 4 (Logon Type 4) : 자동실행(스케줄)
   
   
   
   • 스케줄에 등록된 배치 작업 실행시 미리 설정된 계정 정보로 로그인
   
   
   
   
4. 로그온 유형 5 (Logon Type 5) : 서비스
   
   
   
   • 서비스가 실행될때 미리 설정된 계정 정보로 로그인
   
   


5. 로그온 유형 7 (Logon Type 7) : 잠금해제
   
   
   
   • 화면보호기 잠금 해제시
   
   


6. 로그온 유형 8 (Logon Type 8) : 네트워크 (평문암호)
   
   
   
   • 유형 3과 비슷하지만 계정 정보를 평문으로 전송시 발생 (ASP 기본 암호설정)
   
   
   
   
7. 로그온 유형 9 (Logon Type 9) : 새 자격
   
   
   
   • 실행(RunAs)에서 프로그램 실행시 /netonly 옵션을 줄때
   
   
   
   
8. 로그온 유형 10 (Logon Type 10) : 원격 대화식
   
   
   
   • 터미널 서비스, 원격 접속, 원격지원으로 로그인
   
   
   
   
9. 로그온 유형 11 (Logon Type 11) : 캐쉬된 대화식
   
   
   
   • PC에 캐쉬로 저장된 암호로 자동 입력 로그인시

DNS Sinkhole로 C&C 접속 차단하기

타켓 공격에서 커스터마이징 악성코드는 주로 C&C서버에 접속해 명령을 받아 동작합니다.

대부분 Dynamic DNS 를 사용하고 있기 때문에 IP로 차단하는 경우 시간이 지나면 IP가 변경되어 바로 우회가 됩니다.

방화벽중에 URL차단 기능이 있는 경우에는 C&C 서버 URL을 등록하면 되지만, 기능이 없거나 부하를 주는 경우에는 사용할 수가 없습니다.

이런 경우 내부 DNS 서버에 Zone 파일을 추가해 C&C 서버 주소를 등록해놓고 로컬IP를 할당하면 PC나 서버에 악성코드가 감염되더라도 C&C 서버에 접속하지 못해 추가적인 피해를 막을 수 있습니다.

이러한 기법을 DNS Sinkhole 또는 DNS blackhole 이라고 하는데 기본 컨셉은 비슷합니다.

KrCERT/CC에서 좋은 문서를 만들어서 배포하고 있으니 참고하시면 되겠습니다.

악성봇싱크홀 운영지침
Botnet C&C Handling with DNS Sinkhole

봇넷 URL List 를 서로 공유하면 좋겠는데, 배포하는 곳이 없네요...