위협을 일으키는 사람들은 더 발전할수록, 네트워크에 몰래 침입해서 탐지되지 않고 움직이는 방법을 더 잘 압니다. 영리한 적들은 기본적인 관리 도구만을 사용하는 네트워크 관리자가 네트워크 트래픽을 그냥 쓱 볼 때 크게 의심하지 않는다는 사실을 이용할 것입니다. 가트너 (미국의 IT 분야 연구 기업)는 2019년 12월 EDR (Endpoint Detection and Response) 솔루션을 위한 시장 가이드를 통해 다음과 같이 언급했습니다.

 

“공격과 위협이 도구와 방어 능력을 능가할 정도로 복잡해졌기 때문에 보안 솔루션 업체는 '침해 추정' 사고방식 보다 더 유연한 도구를 개발했습니다. EDR 도구는 킬 체인 감염 다음 단계에 초점을 맞추어 지능적 위협을 시기적절하고 효과적으로 감지하고 대응할 수 있는 기능을 제공합니다.”

즉, 기본 관리 도구 이상의 EDR (엔드포인트 탐지 및 대응) 도구를 사용하면 탐지할 수 없었을 기업 네트워크에 이미 존재하는 지능적 위협에 대한 가시성이 크게 향상할 것입니다. 지능적 위협 행위를 정상적 행위와 구별하는 것은 쉬운 일이 아닙니다

예를 들어 GIF, JPG나 PNG 이미지 업로드 및 다운로드, Twitter, Imgur나 Reddit와 같은 인기 있는 소셜 미디어 사이트에 연결 또는 합법적 도메인에 대한 HTTP GET 요청과 같은 네트워크의 일반적인 트래픽이 어떤 것인지 생각해 보세요. 아마도 LAN 외부의 엔드포인트를 처리하는 HTTP 프록시의 트래픽도 있을 것입니다.

네트워크 내에 모든 것이 순조롭고 조용하게 동작한다고 보일지도 모르지만, SOC (Security Operations Center, 보안 운영 센터) 팀은 그것이 보여지는 것이 전부인지 살펴볼 필요가 있습니다. EEI (ESET Enterprise Inspector)와 같은 EDR 도구를 사용하면 SOC에 많은 상세정보를 확인해 의심스러운 활동을 식별하고 조사하는 데 도움이 됩니다.

 

EEI는 평판이 낮고 악의적인 실행 파일 뿐만 아니라 악성코드와 유사하거나 의심스러운 행위에 경고를 지정하도록 설계된 일련의 규칙 집합과 엔드포인트의 이벤트 데이터를 일치시키는 방식으로 동작합니다. 일치된 이벤트 알람 기능과 전체 과장 보기는 EEI에서 수동 검사를 위해 사용 가능합니다.

 

그림 1 : 프로세스 트리 (전체 과정 보기)가 있는 EEI 내 알람 상세 정보 

 

폴리글롯듀크(PolyglotDuke)로 기업 네트워크 깊이 파헤치기

EEI가 제공하는 가시성 수준의 예로, 폴리글롯듀크와 같은 악성코드와 어떻게 상호작용하는지 생각해 볼 수 있습니다. 폴리글롯듀크는 오퍼레이션 고스트(Operation Ghost)에서 듀크 위협 그룹 (APT29)이 사용하는 다운로더입니다.

폴리글롯듀크는 GIF89 이미지 헤더에 붙은 암호화된 DLL로 제공됩니다. 별도의 .exe 프로세스 (폴리글롯듀크의 드로퍼)는 이미지 헤드에 추가된 DLL을 해독해 장치의 현재 작업 디렉토리에 놓습니다. 인기가 낮은 DLL을 믿을만한 프로세스에 불러오면 EEI에 알람이 발생합니다.

 

폴리글롯듀크 DLL은 rundll32.exe 프로세스로 실행되고 트위터, 레딧, imgur 및 기타 이미지 공유 사이트에 접속해 악성코드의 명령과 컨트롤 서버를 인코딩하는 일본어, 중국어 문자열을 다운로드하기 시작합니다. 다음 트위터 글을 예시로 보겠습니다.

 

그림 2 : 트위터에 본 체로키어로 암호화된 C&C URL을 가져온 폴리글롯듀크

직원들은 일반적으로 트위터를 하고 이미지를 다운받는 등 작업을 하기 때문에 네트워크 수준에서는 눈에 잘 띄지 않습니다.  또한, OS가 항상 rundll.exe를 이용해 DLL 파일을 실행하는 데에 의심스러운 점이 전혀 없습니다. 하지만 이런 일반적인 프로세스도 다른 의심스러운 프로세스를 발생시킬 수 있기에 EEI에서 몇 가지 알람이 발생합니다.

 

명령과 제어 서버의 주소를 해독한 폴리글롯듀크는 rulourialuminiu.co[.]uk와 powerpolymerindustry[.]com와 같은 도메인에 HTTP GET 요청을 만들기 시작합니다. 이런 요청의 결과는 추가 바이너리 데이터가 첨부된 JPG또는 PNG이미지 파일을 다운로드하는 것입니다. 만약, 이 URL을 방문해야 한다면, 유사하지만 적절한 대응부인 rulourialuminiu.ro와 powerpolymer.net (겉으로 보기에는 통신을 숨기려고 꾸미는 책략)으로 리다이렉션 됩니다.

끝으로 EEI는 폴리글롯듀크가 수정된 JPG와 PNG 이미지에 추가된 바이너리 데이터를 추출하고 일부 의심스러운 "쓰기" 작업을 하는 것을 확인합니다. CreateProcess에서 시작할 새로운 실행 파일을 디스크에 쓰게 될 겁니다. 다른 rundll32.exe 프로세스에서 시작하거나 LoadLibraryW가 불러오는 디스크에 DLL을 쓸 수도 있습니다. 그러나 마지막으로 중요한 것은 레지스트리에 JSON 구성 파일을 쓸 수 있다는 것입니다. 이런 작업은 EEI에서 "신뢰할 수 있는 프로세스가 의심스러운 DLL을 실행했습니다." 혹은 "Rundll32가 의심스러운 위치에서 DLL을 실행했습니다."라는 알람을 발생시킵니다.

 

그림 3 : MITRE ATT&CK 참조가 있는 알람

 

EEI 대시보드에 집계된 알람을 살펴보면, 관리자는 ATT&CK 기술에 대한 직접 참조를 통해 데이터를 MITRE ATT&CK 지식 기반과 연관시킬 수 있습니다. 예를 들어, Rundll32 (T1085)ATT&CK Enterprise Matrix에 악성코드 구성 요소 실행 및 방어 회피를 위해 위협 행위자가 사용하는 기술로 문서화되어 있습니다. 이러한 방식으로 기업 네트워크 방어자는 위협 행위자가 활용하는 기술을 식별하고 그에 대한 주요 예방 및 치료 전략에 대한 광범위한 그림을 얻습니다.

 

미니듀크(MiniDuke)로 고급 정찰과 유출

폴리글롯듀크의 목적은 조직에 훨씬 더 위협적일 미니듀크라고 불리는 백도어를 다운로드하는 것입니다. EEI는 파일의 업로드와 다운로드 혹은 호스트 이름이나 로컬 드라이브 이름과 같은 시스템 정보의 검색을 포함해 미니듀크가 만들어 내는 프로세스가 드러나게 할 수 있습니다. 통틀어서 미니듀크는 전체 38개의 기능을 패키지로 구성해 사이버 스파이 활동을 가능하게 합니다.

미니듀크가 네트워크 트래픽에 섞이기 위해 사용하는 흥미로운 방법이 있는데 JPG파일 업로드로 나타나는 POT 요청을 ecolesndmessines[.]org나 salesappliances[.]com에게 보내는 것입니다. 하지만 이런 요청을 검사 후 관리자는 JPG 헤더가 데이터를 이미지로 가장한 JPG 헤더만 파일에 있다는 것을 알게 됩니다.

 

그림 4 : 미니듀크는 JPG 파일 업로드처럼 보이는 POST 요청을 C&C서버로 보냅니다.

 

악성코드 작성자는 대개 일반적인 네트워크를 통해 전송되는 대량의 이미지 내에 백도어 활동을 숨기고 싶어합니다.

 

EEI의 가장 큰 이점 중 하나는 관리자가 추가 분석을 위해 의심스러운 파일을 다운로드할 수 있다는 점입니다. 그래서 위에 언급된 오퍼레이션 고스트에서 사용된 미니듀크 버전을 보면, .exe 파일에 MS의 잘못된 서명이 포함되어 있습니다. 일부 보안 제품은 잘못된 서명에 속아 파일이 문제없다고 판단할 수도 있습니다.

SOC 팀의 악성코드 분석가들은 리버스 엔지니어링을 위해 IDA와 같은 도구를 EEI에서 파일을 다운로드할 수 있습니다. 비록 난독화 뒤어 숨어 있더라도 분석가들은 미니듀크를 분해해서 깨끗한 x86 코드를 찾을 수 있습니다.

잘못된 프로세스와 파일을 식별한 IT 관리자는 EEI를 사용해 프로세스를 중지하고 다음 EEI 버전 1.4에서 클릭 한 번으로 손상된 엔드포인트를 네트워크에서 분리할 수 있습니다. 또한, IT 관리자는 EEI와 함께 패키지된 300개 이상의 전체 규칙 집합을 읽고, 규칙에서 제외된 규칙을 직접 만들고, 사용자 정의 탐지를 작성할 수 있습니다. 알람 규칙 세트에 대해 훨씬 큰 투명성과 제어 기능을 제공하면 SOC 팀의 기업 네트워크 방어 능력이 크게 향상됩니다.

ESET은 2020년 2월 24~27일 샌프란시스코에서 열리는 RSA 컨퍼런스에서 발표했습니다.


네트워크에 맥OS가 있나요? EEI 버전 1.4가 지원합니다. 이곳에서 자세히 확인해 보세요.

 

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,