사용자 삽입 이미지

“나는 20년 동안 방화벽, 침입방지시스템 등 전통적인 보안솔루션 시장에서 살아왔다. 우리가 새로운 회사를 인수한다면 당연히 거기는(전통적인 보안솔루션 업체)아닐 것이다.”

20일 방한한 데이브 메르켈 파이어아이 최고기술책임자(CTO)는 “다음에 인수할 회사는 어떤 회사가 될 것인가?”라는 기자의 질문에 이렇게 답했다.

그는 “나는 CTO로 기업인수에 대한 이야기를 하는 것이 적절치는 않다고 생각한다. 하지만 반대로 CTO의 입장에서 인수에 대한 결정권이 있다면 파이어아이의 ‘4단계 위협 예방 프로세스’에 부합하는 기업을 택할 것”이라고 덧붙였다.
사용자 삽입 이미지


파이어아이는 지난해 맨디언트(Mandiant)를 인수한데 이어 올해 5월에는 엔펄스(nPulse)를 인수했다. 두 회사의 공통점은 ‘가시성(Visibility)’에 있다. 파이어아이가 가시성 확보를 위해 두 회사의 솔루션을 자사 솔루션과 통합에 나선 것이다. (이들 회사는 이전부터 파이어아이와 파트너십을 맺고 있었다.)

파이어아이, 엔드포인트 보안업체 맨디언트 10억달러에 인수

파이어아이, 美 네트워크 포렌식 업체 ‘엔펄스’ 인수

맨디언트는 엔드포인트에서 발생할 수 있는 보안위협을 탐지하고, 사고 발생 시 재발방지를 위한 다양한 분석과 조치를 내려줄 수 있는 솔루션과 서비스를 보유한 업체다.

맨디언트의 가장 큰 장점은 엔드포인트를 위협하는 요소들에 대한 정보를 분석할 수 있다는 점이다. 기존 파이어아이 장비로는 엔드포인트의 위험까진 진단하기 힘들었다.

엔펄스는 네트워크 포렌식 업체다. 네트워크에서 일어나는 일들을 기록한 다음 침해사고에 대응할 수 있는 기능을 제공하는 것이 핵심이다.

그럼 다시 파이어아이의 4단계 위협 예방 프로세스를 자세히 살펴보자. 각 단계는 탐지(Detect), ’예방(Prevent)’, ‘분석(Analyze)’, ‘해결(Resolve)’로 구성돼 있다. 파이어아이의 APT 대응 솔루션은 탐지와 예방 영역에 해당한다.

맨디언트와 엔펄스의 솔루션은 각각 어느 영역에 포함될까?

우선 맨디언트는 보안위협에 대한 분석이 핵심으로 4단계 위협 예방 프로세스에서는 ‘분석’에 위치한다. 엔펄스 역시 네트워크 포렌식이 핵심 기능임으로 ‘분석’에 그 초점을 잡고 있다.

메르켈 CTO는 엔펄스 인수에 대해 “엔펄스는 정교한 공격이 발생했을 때 그 공격이 어떻게 이뤄졌는지 알 수 있게 도와줄 수 있다. 즉 ‘분석’단계에서 가장 큰 위력을 발휘할 것으로 기대하고 있다”고 설명했다.

그렇다면 현재 파이어아이가 강화하지 않은 절차는 바로 ’해결’이다. 기업의 보안리스크를 줄이고 보안에 대한 인식 변화를 위한 교육이나 컨설팅 등이 여기에 포함될 것이다. 물론 맨디언트의 ‘분석’을 통해서도 일부 해결할 수 있을 것이다.

하지만 실시간 위협 예방 프로세스가 제대로 구현하려면 무엇보다도 ‘해결’에 대한 투자를 우선시 할 것으로 기대된다.
2014/08/20 15:45 2014/08/20 15:45
최근 안드로이드 환경에서는 백그라운드에서 구동되며 원격접속도구(RAT)로 조종되는 서비스를 가장한 의심스러운 안드로이드 앱이 많이 발견되고 있다.

23일 파이어아이 모바일 보안 연구원들은 ‘구글 서비스 프레임워크’를 가장한 멀웨어 앱이 안티 바이러스 애플리케이션의 구동을 멈추고 해킹을 시도하는 사례를 발견했다.

과거에 발견된 안드로이드 멀웨어는 개인정보 유출이나 금융 정보 탈취, 원격 접속 등 한가지 목적으로 수행했으나. 이번에 발견된 애플리케이션은 이러한 활동을 모두 한번에 수행하는 진화된 형태로 나타났다.

파이어아이는 가까운 시일 내에 이러한 프레임워크가 완성되면 새로운 은행 애플리케이션을 단 30분만에 해킹할 수 있는 정도의 대규모 금융정보 탈취로 이어질 수 있다고 경고했다. 또한 IP 주소만으로는 해커의 정체를 알아낼 순 없었지만, 한국시장을 목표로 하고 있다는 것을 발견했다.

‘com.ll’이라는 패키지 이름의 새로운 RAT 멀웨어는 ‘구글 서비스 프레임워크(Google Service Framework)’라는 안드로이드 기본 앱 아이콘으로 나타나며 안드로이드 사용자는 관리자 모드 환경설정에서 비활성화시키지않는 한 삭제할수도 없다.

사용자 삽입 이미지
지금까지 샘플에 대한 바이러스토탈 스코어는 54개의 백신업체에서 나온 바이러스 탐지 앱 중 5개만이 탐지해냈다. 이 새로운 멀웨어는 해커가 사용하는 C&C 서버에 의해 빠르게 변화하고 있다.
사용자 삽입 이미지

의심스러운 애플리케이션이 설치된 직후 ‘구글 서비스’ 아이콘이 홈스크린에 나타난다. 아이콘을 클릭하면 애플리케이션은 관리자 권한을 요구한다. 한번 활성화되면 삭제 옵션은 사용할 수 없으며 새로운 ‘GS’라는 서비스가 아래 그림과 같이 시작된다. 아이콘을 한번 더 클릭하면 ‘앱이 설치되지 않았습니다’라는 메시지가 나오며 홈스크린에서 아예 사라지게 된다.

멀웨어의 백그라운드 실행

멀웨어의 백그라운드 실행


이 멀웨어는 아래와 같이 RAT의 명령을 실행하며 의심스러운 활동을 시작한다.
사용자 삽입 이미지


몇 분 이내로, 이 앱은 C%C 서버와 접속해 악성활동을 시작한다.

사용자 삽입 이미지

이 콘텐츠는 Base64 RFC 2045로 암호화돼 있다. 서버 IP는 홍콩에 위치한 것으로 나타났으나 해커의 IP인지 우회 IP를 이용한 것 인지는 확실하지 않다.
사용자 삽입 이미지

악성 활동 리스트의 첫번째 실행은 ‘Uplod Phone Detail'로 실행되면 전화번호, 디바이스ID, 연락처 등 사용자의 개인정보가 해커의 서버로 전송된다.
사용자 삽입 이미지

1. The red part:
사용자 삽입 이미지

2. The blue part:
사용자 삽입 이미지

만약 유저가 은행 애플리케이션을 설치할 경우 멀웨어가 스캔해서 연락처가 위험에 노출된다.

테스트 디바이스에서 파이어아이는 한국의 은행 애플리케이션 8개를 설치했다.
8개의 은행 애플리케이션

8개의 은행 애플리케이션




설치 후  패킷 캡쳐(PCap) 내 은행 리스트를 살펴보니 아래와 같이 은행 앱들이 약자로 표시돼 있는 것을 발견했다.
사용자 삽입 이미지

설치된 8개의 은행 애플리케이션의 약자와 패키지 네임으로 맵이 형성된 것이다.
사용자 삽입 이미지

이는 데이터베이스로 저장돼 CNC 서버의 악성 활동에 활용된다.

- “팝윈도우”

이러한 해커들의 활동 중 CNC 서버는 기존 앱을 가짜 앱으로 바꿔치기하는 명령을 보낸다. 8개의 은행 앱은 com.ahnlab.v3mobileplus 설치가 요구되지만 바이러스 탐지를 방해하기 위해 멀웨어는 은행 앱에서 안티 바이러스 애플리케이션의 활동을 막아버린다. 아래 코드와 같이 Conf.LV로 com.ahnlab.v3mobileplus가 비활성화됐다.  


사용자 삽입 이미지



그 후 악성 앱은 안드로이드 디바이스에 설치된 은행 앱을 분석하고 데이터베이스 /data/data/com.ll/database/simple_pref.에 저장한다. 아래 빨간 네모로 표시한 곳이다.


사용자 삽입 이미지




RAT으로 대응 명령이 보내지면 resolvePopWindow() 방법으로 디바이스는 “새로운버전이 출시됐습니다. 재설치 후 이용하시기 바랍니다.”라는 메시지를 띄운다.


사용자 삽입 이미지


그 후 멀웨어는 업데이트를 통해 CNC 서버로부터 실제 앱을 삭제하고 가짜 앱을 설치한다.


사용자 삽입 이미지


가짜 설치파일(APK)는 CNC 서버로부터 다운되는 것으로 나타났다.

- “UPDATE”

RAT에 의해 “update” 명령이 전송되면 CNC 서버로부터 “update.apk”라는 유사한 애플리케이션이 안드로이드에 설치된다.

사용자 삽입 이미지


- “UPLOAD SMS”

또한 RAT으로부터 SMS를 업로드하라는 명령을 받으면 안드로이드 폰의 SMS가 CNC 서버로 전송되며 데이터베이스로 저장된다.



사용자 삽입 이미지


- “SEND SMS”

비슷하게 SMS 보내기 명령을 통해 저장된 연락처에 SMS도 보낼 수 있다.
사용자 삽입 이미지


- “BANK HIJACK”

“은행 하이재킹”으로 명명된 이 해킹 방법은 악성코드가 예를 들어 NH 등의 짧은 은행 이름을 스캔한 후 CNC 서버로부터 보안 업데이트가 될 때까지 가짜 애플리케이션을 설치하는 방법이다.
사용자 삽입 이미지

 
지금까지 가짜 앱의 설치 이후 활동은 포착되지 않았다. 파이어아이는 해킹 수법진행중 막힌 부분이 있었을 것으로 파악된다.

위와 같이 해커는 한번 하이재킹이 끝난 이후 CNC 서버로부터 더 많은 악성 명령을 내릴 수 있도록 설계하고 준비했다. 이 앱의 독특한 특성으로 인해 모바일 뱅킹의 보안 위험성이 한층 더 위협받고 있음이 나타났다.


원문정보


Attacks  The Service You Can’t Refuse: A Secluded HijackRAT

http://www.fireeye.com/blog/technical/malware-research/2014/07/the-service-you-cant-refuse-a-secluded-hijackrat.html

2014/07/23 12:09 2014/07/23 12:09
사이버 공격은 네트워크 방어를 우회하기 위한 시도를 계속하며 끊임없이 진화하고 있습니다. 이미 탐지된 동일 위협으로는 지속적인 목적 달성이 어렵기 때문에, 기존에 알려진 악성코드를 변종으로 재탄생시켜 보다 정교화된 위협을 가하고 있는 것이죠.

가령 공격자들이 지속적으로 위협 행위를 성공시킨다면 그들은 공격 방식과 기술을 재구성하거나 업데이트할 필요가 없습니다. 공격자가 전술을 새롭게 짤 경우 악성코드 재생산, 인프라 업데이트, 새로운 프로세스에 대한 교육 등 상당한 노력이 수반되기 때문입니다.

이를 근거로 파이어아이는 이러한 위협에 대응하기 위해 새롭게 등장하거나 또는 변종된 악성코드의 공격 방식과 우회 전술을 탐지한 뒤, 공격자가 이러한 변종을 시도한 의도를 알아내는 것이 지능형지속가능위협(APT) 공격에 대응할 수 있다고 지적합니다.

그래야만 향후 또 다른 악성코드가 변종 될 경우 공격 양상을 예측할 수 있다는 주장이죠.

여기에 대해 박성수 파이어아이 악성코드 전문가는 “네트워크 보안망을 뚫고 공격에 성공한 기술들은 더 널리 전파되고 실패한 전술은 버려지기 마련입니다. 최근 파이어아이에 의해 분석된 최신의 APT 사례를 살펴보면, 악성코드가 최초 탐지된 후 상당 기간이 흘렀지만 여전히 변종된 형태로 활발하게 사용되고 있다는 점과 보통 스피어 피싱으로 네트워크에 침투되고 있다는 점이 공통된 특성으로 보입니다”라고 설명했습니다.

이번에는 파이어아이가 발간한 보고서를 바탕으로 전세계서 발생한 지능형지속가능위협(APT) 공격 사례 중 일부를 소개하려고 합니다.


◆야후 블로그를 활용한 타이도어(Taidoor) 변종 악성코드

타이도어(Taidoor)는 2008년부터 현재까지 지속적으로 APT 공격에 사용되고 있는 악성코드로, 주로 스피어 피싱 이메일을 통해 사이버 스파이 활동에 이용돼 왔습니다.

파이어아이는 타이도어를 이용한 공격방식에 있어 2011년과 2012년 사이 기술적인 변화를 밝혀냈는데, 기존 방식이 악성 이메일 첨부파일 실행 시 타이도어가 직접 드롭(drop)되는 방식이었다면, 새로 발견된 방식은 ‘downloader’를 드롭시킨 뒤 기존 타이도어 악성코드를 인터넷상에 다운로드하는 방식으로 알려졌습니다.

공격자들은 기존의 타이도어 악성코드를 C&C 서버로부터 다운로드 하는 대신, 특정 야후 블로그의 포스트에서 암호화된 텍스트를 다운로드 합니다. 암호가 풀린 텍스트는 DLL 파일로 기존 타이도어 악성코드의 변형 버전입니다. 즉, 타이도어 악성코드를 다운로드하는 메커니즘으로 야후 블로그를 악용한 사례라고 볼 수 있을 것 같습니다.

자료출처 : http://www.fireeye.com/blog/technical/2013/09/evasive-tactics-taidoor-3.html


◆악성코드 포이즌 아이비(PIVY) 변종을 이용한 몰레츠(Molerats) 공격 

몰레츠는 원격제어(RAT) 악성코드인 ‘포이즌 아이비(PIVY)’ 역시 8년 째 APT 공격에 이용돼 오고 있는 악성코드입니다.

2013년 여름 중동과 미국 내 몰레츠 해커집단이 C&C 인프라와 연결되는 포이즌 아이비 악성코드를 이용한 공격이 탐지됩니다. 몰레츠는 타겟 호스트를 감염시키기 위해 제로데이 취약점을 이용한 스피어 피싱을 이용했는데, 타깃 대상이 악의적인 파일을 열도록 유도하기 위해 현재 이집트 및 동유럽 전역에 걸친 위기 상황과 관련된 아라비아어로 된 콘텐츠를 활용한 것이 특징입니다.

몰레츠 공격은 본래 이스라엘과 팔레스타인 조직에만 초점을 맞춘 것으로 보였지만 다른 아랍권 국가나 미국 등 세계적인 공격을 감행하고 있어 보다 주의가 요구됩니다.

특히 그간 포이즌 아이비 악성코드는 대부분 중국 해커집단과 연관되어 있다고 여겨져 왔으나 변종 버전이 사용됨에 따라 그 배후에 대해서도 더욱 주의를 기울여야 한다고 합니다.

자료출처 http://www.fireeye.com/blog/technical/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html


◆IE의 제로데이 취약점(cve-2013-3893)을 악용한 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’

오퍼레이션 디퓨티도그는 가장 최근의 발견한 공격입니다. 올해 8월 17일 등장해 19일에 공격을 시작했습니다.

일본 내 기업들을 표적으로 한 이 공격은 해커들이 정보를 송수신하기 위한 C&C서버를 한국에 심어두기도 한 것으로 밝혀져 보안업계에서 회자가 됐습니다.(국내에서는 10월 9일 마이크로소프트가 10월 정기 보안업데이트를 실시하면서 알려졌습니다.)

파이어아이는 자사의 동적 위협 분석 클라우드 서비스(DTI)에 기반해 이번 악성코드 캠페인과 연관된 위협 활동을 지속적으로 모니터링한 결과, 이번 공격이 지난 2월 비트9(Bit9)을 공격했던 위협요소와 일치한다는 것을 발견했습니다.

특히 cve-2013-3893 취약점은 암호화된 JPG 확장자 형태의 파일로 알려졌는데, 이는 기존 시그니처 기반의 보안 솔루션을 우회할 수 있습니다.

출처 : http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

앞서 3개의 사례에서처럼 공격자들은 이전에 알려지지 않은 제로데이(Zero-day) 취약점을 활용하고 보다 강력한 악성 코드를 만들어 내고 있습니다. 여기에 대비하기 위해서는 보안 위협을 실시간으로 모니터링하고 분석할 수 있는 대책마련이 필요할 것으로 보입니다.


2013/11/03 18:30 2013/11/03 18:30