보안

사이버 공격, 악성코드 없는 공격에 나서다

Maria Korolov | CSO 2015.09.15
델 시큐어웍스(Dell SecureWorks)의 새로운 보고서에 따르면, 탐지를 피하기 위해 일부 해커들은 악성코드를 버리고 자급자족하는데, 해킹한 시스템에 있는 어떤 툴이라도 사용할 수 있다.

이는 델 시큐어웍스의 사고 대응 팀이 지난해 거의 모든 침입 사건들을 분석한 결과다.

미국 애틀란타 소재의 델 시큐어웍스 수석 보안 연구원 필 버데트는 "사이버 범죄자들은 전형적으로 신원 인증을 해킹하는 것으로 공격을 시작한다"고 말했다.

예를 들어 그들은 IT 부서에게서 온 것으로 가장한 이메일을 보냄으로써 피싱 공격을 사용할지 모른다. 공격자는 새로운 이메일 서버를 만들었다는 이유로 사용자에게 그들의 신원 인증을 테스트한다는 명목으로 로그인을 요구한다.

한 사용자가 로그인하면 이 신원 인증은 회사의 VPN(virtual private network) 솔루션에 접속하기 위해 사용된다.

최근 사례에서 공격자들은 원격을 직원들이 회사 시스템에 원격으로 연결할 수 있도록 하는 한 제조업체의 시트릭스 솔루션을 사용했다.

이 회사는 아직 원격 접속하는 직원을 위한 2요소 인증을 설치하지 않았다. 그래서 로그인과 비밀번호는 모든 사이버범죄자들에게 필요하다.

그런 뒤 공격자들은 이 회사 직원들이 사용하는 동일한 툴을 사용해 지적 자산, 산업용 비밀, 재무 데이터, 또는 다른 정보들을 찾는다. 이 툴은 시스템 관리자들과 헬프 데스크 직원들에 의해 일반적으로 사용되는 툴이다.

만약 그들이 악성코드를 사용한다면 그것은 아주 잠깐, 간략하게 사용할 뿐이다. 그리고 사용하더라도 가능한 한 추적을 피하기 위한 작업을 한다. 그래서 전통적인 악성코드 기반의 탐지 기술로써는 그들을 잡아내지 못한다.

예를 들어 그들은 업무 일정을 만들기 위한 이 회사 자체 관리자 툴을 사용할 지 모른다. 이를 통해 다른 시스템의 인증을 훔칠 수 있다.

또는 그들은 헬스 데스크 직원들이 직원들의 컴퓨터 문제를 해결할 때 정상적으로 사용되는 원격 데스크톱을 사용할 지 모른다. 이 기능은 윈도우 운영체제에 기본적으로 탑재되어 있다.

버데트는 "범죄자들은 시스템에 연결하는 동일한 툴을 사용한다. 그러나 문제를 해결하는 대신, 파일들에 접속할 수 있으며 이를 추출하기 위해 압축한다"고 설명했다.

제조업체 침입 사례에서 공격자들은 회사 내 모든 엔드포인트에 보안 업데이트를 보내는 한 서버에 접속 권한을 얻었다. 이는 알티리스(Altiris)라는 회사의 엔드포인트 관리 플랫폼이었다.

그들은 시스템 패치 대신, 추가적인 인증을 획득하기 위해 시스템에 임의적인 명령을 실행하기 위한 소프트웨어 업데이트를 사용했다. 이는 적법한 사용자의 그것으로부터 범죄 행위를 구별할 수 있는 접점이 될 수 있다.

해커들은 다른 회사에서도 유사한 접근방법을 사용했다.
공격자들은 제일 처음 도메인 관리자의 신원 인증을 탈취했으며, 이를 회사 내 안티바이러스 소프트웨어를 배포하는 중앙집중형 보안 관리 서버에 사용해 이 회사의 POS 터미널에서 현금지불카드 데이터를 훔쳤다.

이 공격자들은 아주 일부 사례에서 악성코드를 사용했지만 보안 관리 서버는 이를 화이트 리스트에 게재하고 있었다.

버데트는 기업들에게 모든 원격 접속 시스템에서 접속하는 모든 종업원들과 비즈니스 협력업체 등 그 누구라 하더라도 2요소 인증을 하도록 권고했다.

추가적으로 사용자들은 로컬 관리자 권한을 가져서는 안되며, 관리자 계정과 특별권한 계정은 별도의 감사와 모니터링이 되어야 한다고.

버데트는 "계정 관리 시스템 사용은 사용자 자격 사용 가능성을 제한한다. 강력한 시스템 관리자 툴은 우려된다. 기업들은 전형적인 사용자 행동을 연구하고 적법한 행동과 악의적인 행동 간의 차이를 배워야 한다"고 주장했다.

"이 기능을 실행하지 않고서는 잡아낼 가능성이 없다"고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.