.png)
멀웨어 페이로드 및 비콘: 영향을 완화하는 기법
더 첫 번째 기사 이 시리즈에서는 공격자의 인프라와 관련 비콘 및 페이로드의 도움을 받아 악의적인 통신이 어떻게 시작되는지 알아보았습니다.에서두 번째 기사, 인메모리 조작 기법과 함께 페이로드의 범주와 유형을 조사했습니다.이 시리즈의 마지막 부분에서는 페이로드를 위장하는 데 사용되는 몇 가지 난독화 기법에 초점을 맞추고 방어 팀이 사용할 수 있는 완화 기법을 살펴보겠습니다.
사이버 보안의 중요한 지표는 “탐지 시간”이라고도 하는 평균 탐지 시간 (MTTD) 입니다.공격자가 처음 침입한 시점부터 대상 조직이 공격을 탐지할 때까지의 시간입니다.성공적인 침입 또는 공격은 일반적으로 시작에 불과합니다.위협 행위자는 손상된 네트워크에서 탐지되지 않도록 하기 위해 다양한 난독화 기술을 사용하는 경우가 많습니다.
사후 대응 및 예방 기법을 포함하는 다음과 같은 광범위한 완화 접근법을 고려하는 것이 좋습니다.
1. 반응형 우선 접근법
- 탐지 전용
- 탐지 및 대응
2.예방 우선 접근법
- 예방에 한함
- 예방 및 대응
반응형 우선 접근 방식에서는 탐지만 기존의 침입 탐지 시스템 (IDS) 과 같은 기술이 해당됩니다.이러한 시스템은 일반적으로 악성 코드 또는 페이로드의 알려진 시그니처 세트를 사용하여 위협을 탐지했습니다.해시나 시그니처를 변경하면 이러한 문제를 쉽게 우회할 수 있습니다.그 이후로 위협 탐지는 상당히 발전했습니다.최신 탐지 기술에는 행동 및 휴리스틱, 기계 학습, 자가 학습, 인공 지능 기능이 포함됩니다.
반응형 우선 접근 방식을 기반으로 하는 탐지 및 대응에는 위협이 탐지된 후 위협을 차단하는 기능이 포함됩니다.이는 차단 또는 허용할 수 있는 탐지 기능을 기반으로 합니다.
여기서 오탐지 (위협으로 오인된 합법적인 파일 차단) 또는 거짓 네거티브 (합법적인 파일 또는 코드로 오인되는 위협 허용) 를 피하려면 탐지 엔진의 신뢰도가 매우 높아야 합니다.사후 우선 접근 방식 모두 의심스러운 것으로 간주되는 일부 조치가 먼저 발생해야만 이러한 시스템이 사후 조치를 트리거할 수 있습니다.
반면, 예방 우선 접근법, 특히 예방 전용 접근법은 어떤 일이 먼저 발생해도 조치를 취하지 않습니다.무관하게 허용하거나 차단해야 하는 항목에 대한 상시 규칙이 마련되어 있습니다.에서 사용하는 접근 방식이기도 합니다. 제로 트러스트 세그멘테이션(마이크로 세그멘테이션이라고도 함)
이 접근 방식은 반응형 대응이 필요한 경우 대응하는 기술에 따라 적응적일 수도 있습니다.이 문서에서는 이 두 가지 접근 방식을 모두 살펴보겠습니다.
먼저 위협 행위자가 자신의 활동을 모호하게 하거나 탐지되지 않도록 숨기기 위해 사용하는 몇 가지 기술을 살펴보겠습니다.그런 다음 멀웨어 공격의 영향을 완화하기 위한 대응 우선 (“탐지” 및 “탐지 및 대응”) 및 예방 우선 (“예방 전용” 및 “예방 및 대응”) 접근 방식의 예를 살펴보겠습니다.
난독화 기법
위협 행위자는 사용자 지정 코드, 코드 패킹 (예: UPX 패커 사용), 스테가노그래피, 실행 지연, 백도어링, 인코딩 (Base64) 및 암호화와 같은 기술을 모두 사용하여 악성 페이로드를 숨기거나 난독화할 수 있습니다.
위협 행위자는 Powershell이나 WMI와 같이 이미 신뢰할 수 있는 시스템 파일 및 바이너리를 활용하기 위해 “오프라인” 기술을 사용하거나 이미 신뢰할 수 있는 타사 바이너리 및 실행 파일을 활용하려고 시도할 수도 있습니다.
실행 가능한 백도어
공격자가 페이로드가 실행되도록 하기 위해 사용할 수 있는 몇 가지 기법이 있습니다.
한 가지 방법은 합법적인 실행 파일 안에 악성 코드를 숨기는 것입니다.손상된 피해자의 컴퓨터를 되돌아보면 이전 블로그, 우리는 알아차렸습니다 putty.exe 사용자의 실행 파일 다운로드 폴더. Putty.exe 널리 사용되는 텔넷 및 SSH 클라이언트입니다.
공격자는 Putty의 백도어로 악성 페이로드를 삽입하기 위해 먼저 사용자의 합법적인 putty.exe 실행 파일을 다운로드합니다.
.webp)
다음으로 공격자는 새 페이로드를 생성하지만 합법적인 페이로드를 사용합니다. putty.exe파일을 페이로드의 실행 템플릿으로 사용합니다.결과 실행 파일의 이름을 지정합니다. putty_new.exe.
이제 아래와 같이 이 새로운 백도어 실행 파일을 사용자 시스템에 업로드할 수 있습니다.
로서 측면 이동 기술을 사용하면 공격자는 이 실행 파일을 손상된 네트워크 내의 다른 시스템에 푸시하여 더 많은 사용자가 자신도 모르게 악성 페이로드를 실행하도록 할 수 있습니다.
사용자는 트로이 목마화된 putty.exe 파일을 실행하면 프로그램을 정상적으로 사용할 수 있습니다.하지만 백그라운드에서 악성 페이로드가 실행되어 아래와 같이 공격 명령 및 제어 리스너로 콜백합니다.
손상된 시스템의 실행 프로세스에서 다음을 확인할 수 있습니다. putty_new.exe 프로세스가 TCP 연결을 설정했습니다 (포트 443).) 공격자에게 돌아가기 app12.webcoms-meeting.com.
페이로드 인코딩
컴퓨팅에서 인코딩은 일부 데이터에 알고리즘을 적용하여 형식을 변경하는 프로세스입니다.인코딩은 대상 시스템에서 쉽게 전송, 저장 또는 사용할 수 있도록 한 데이터 유형의 형식을 다른 데이터 유형으로 변경하는 데 유용할 수 있습니다.
다음은 왼쪽이 ASCII 텍스트 (일반 영어 텍스트) 이고 오른쪽은 Base64로 인코딩된 예입니다.데이터는 동일하지만 형식은 완전히 다릅니다.익숙하지 않은 Base64로 인코딩된 텍스트만 수신한 경우 이를 더 친숙한 ASCII 텍스트로 되돌리려면 Base64 디코더가 필요합니다.
이 기능은 위협 행위자가 악성 코드와 페이로드를 효과적으로 숨겨 탐지를 회피하려는 시도에도 매우 유용합니다.인코딩을 사용하면 페이로드에 대한 정적 분석을 수행하기가 더 어려워집니다. 패킹과 같은 기법으로는 특히 문자열을 탐지하는 것과 같은 기술이 어렵기 때문입니다.
다음 예제는 공격자가 악의적인 페이로드를 생성할 때 인코딩을 어떻게 사용할 수 있는지 보여줍니다.
여기서 인코더 알고리즘은 시카타_가_나이.아래 이미지와 같이 페이로드에 대해 이 알고리즘을 6회 반복하여 실행하여 페이로드가 인코딩됩니다.이렇게 하면 페이로드의 여러 측면을 난독하게 만들 수 있으며, 특히 해싱을 사용한 시그니처 분석이나 페이로드 코드 및 문자열에 대한 정적 분석을 통해 이를 탐지하기가 더 어려워집니다.
위협 행위자는 Microsoft Office 문서 매크로를 사용할 수도 있습니다. 파워셸 악의적인 활동을 숨기기 위한 스크립트 및 기타 네이티브 및 합법적인 바이너리와 도구손상된 시스템이나 보안 침해가 발생한 환경에서 네이티브 도구 및 바이너리를 사용하는 것을 “땅 밖에서 사는 것”이라고 합니다.다음으로 몇 가지 완화 기능을 살펴보겠습니다.
반응형 우선 접근법: 탐지 기법
반응형 우선 접근 방식은 의심스럽거나 악의적인 활동을 탐지할 수 있는 초기 능력에 따라 달라집니다.이 중 몇 가지를 살펴보겠습니다.
정적 분석: 코드 분석
정적 분석은 디스크에 있는 실행 파일의 코드를 분석하는 프로세스입니다.이러한 유형의 분석을 확장하여 첫 번째 기사, 추가 정적 분석은 몇 가지 추가 유용한 지표를 보여줍니다.이 페이로드 파일은 특정 위험한 문자열 및 라이브러리를 참조하며 의심스러운 활동을 조사하는 데 도움이 되는 일부 시스템 함수를 호출합니다.
시그니처 분석: 안티바이러스
기본 수준의 서명 분석에는 관심 있는 파일 또는 페이로드의 해시 또는 서명을 가져와 이전에 탐지된 알려진 서명이 포함된 대규모 데이터베이스와 비교하는 작업이 포함됩니다.이는 기존 안티바이러스 솔루션에서 사용하는 접근 방식입니다.아래 예는 의 악성 스테이징 페이로드를 보여줍니다. 첫 번째 기사 바이러스 백신 검사 엔진 그룹을 대상으로 검사했습니다.
동적 분석: 샌드박싱
동적 분석에는 악의적인 행동을 탐지하기 위한 행동 모니터링이 포함됩니다.여기서는 관심 있는 페이로드나 파일을 샌드박스 환경에서 실행하여 동작을 연구하고 이를 일련의 양호 또는 불량 기준과 비교합니다.각 악성 행위는 가중치를 기준으로 점수를 매겨 최종 악의적 탐지 여부를 결정합니다.
샌드박스는 보호된 공간에서 실행 및 모니터링되는 브라우저와 같은 애플리케이션, 가상 시스템 내에서 실행되는 운영 체제, 또는 컴퓨터 소프트웨어와 하드웨어 구성 요소 (예: 디스크, 메모리, CPU) 의 완전한 에뮬레이션일 수 있습니다. 후자는 맬웨어가 회피하기 가장 어렵습니다.
아래 예는 샌드박싱 또는 에뮬레이션 후 실행 파일 또는 페이로드를 측정할 때 사용할 의심스러운 활동의 일부를 보여줍니다.
반응형 우선 접근 방식은 중요하며 거의 모든 조직이 네트워크에 어떤 형태로든 반응형 우선 접근 방식을 사용합니다.하지만 보안의 다른 모든 것들과 마찬가지로 이 접근 방식도 심층 보안 철학을 적용하여 효과적인 보안 전략을 위해 다른 보호 계층과 함께 보완되어야 합니다.탐지에 실패하거나 우회할 수도 있기 때문에 예방이 최우선인 접근 방식이 필요합니다.
예방 우선 접근법
앞서 설명한 것처럼 예방 우선 접근 방식은 일반적으로 “예방 전용” 및 “예방 및 대응”에 속합니다.다음 단계에서는 먼저 위협 행위자가 침해한 시스템이 액세스할 수 있는 다른 시스템을 찾기 위해 취할 수 있는 초기 발견 조치를 살펴보겠습니다.그런 다음 방어자가 네트워크상의 시스템, 심지어 같은 서브넷에 있는 시스템을 세분화하여 측면 이동의 위험을 줄이기 위해 취할 수 있는 조치를 살펴보겠습니다.
예방적 제로 트러스트 세그멘테이션
난독화된 내용에 이어 putty.exe 페이로드 시 위협 행위자는 손상된 피봇 포인트 머신을 사용하여 네트워크에서 또 다른 검색 스캔을 수행하여 공격을 계속할 수 있습니다.위협 행위자는 특히 다음과 같은 일반적인 육상 외부 이동 통신 경로에 관심이 있습니다. 텔넷, SSH, 중소 기업 과 RDP 네트워크에서 눈에 띄지 않도록.
공격자가 컴퓨터를 성공적으로 해킹한 서브넷에서 이러한 통신 경로 중 일부가 열려 있음을 알 수 있습니다.이 기본 검사를 통해 Windows 및 Linux 시스템이 모두 네트워크에 연결되어 있다는 것을 잘 알 수 있습니다.Windows 시스템에는 일반적으로 SMB 포트가 열려 있고 Linux 시스템에는 일반적으로 SSH가 열려 있습니다.
사전 예방이 최우선인 완화 접근 방식을 고려하고 있는 기술은 다음과 같습니다. 일루미오 코어 매우 유용한 가시성을 제공합니다.Illumio Core는 “모니터 전용” 모드 (아래의 경우 피벗 머신에서 대상 서브넷의 나머지 시스템으로의 일대다 스캔) 에서도 공격자의 행동을 명확하게 보여줄 수 있습니다.일루미네이션으로 알려진 Illumio Core의 가시성 맵은 조직 네트워크의 비즈니스 관점을 보여줍니다.또한 이러한 시스템이 여러 위치에 분산되어 있는 것도 볼 수 있습니다.
에서 일루미오 지도, 스캔의 통신은 스캔이 스캐닝에서 시작되었음을 나타냅니다. 본사 사무실 대상 워크스테이션 데이터센터-1.시스템이 모두 Illumio 레이블 (태그 또는 메타데이터) 과 연결되어 맵을 풍부하게 만들기 때문에 유용하고 실행 가능한 정보를 쉽게 식별할 수 있습니다.이 정보는 나중에 IP 주소, VLAN (가상 LAN) 또는 영역과 같은 네트워크 구조에 의존하지 않고 정책을 정의하는 데 사용되므로 보안 정책이 변화에 따라 자동으로 조정됩니다.
또 다른 유용한 기능은 Illumio의 위험 분석 및 조사 도구를 사용하여 네트워크 감사를 사전에 수행하는 것입니다.이를 통해 이 네트워크가 취약한 위험 경로를 파악할 수 있습니다. 예를 들어 멀웨어와 랜섬웨어가 손상된 네트워크에 확산되기 위해 일반적으로 사용하는 경로를 알 수 있습니다.실제로 조치를 취하기 전에 사이버 사고가 발생할 때까지 기다릴 필요는 없습니다.권장되는 선제적 위험 분석을 통해 아래와 같이 이러한 정보를 명확하고 쉽게 얻을 수 있습니다.
위의 이 조사 관점에서는 소비자 측면에는 소스와 제공자 측면은 통신의 목적지를 보여줍니다.또한 사용된 포트와 맨 오른쪽에서 이 통신과 관련된 프로세스를 볼 수 있습니다.필요한 경우 개별 시스템의 이름을 더 자세히 살펴볼 수 있습니다.
예를 들어, 서로 간에 위치 기반 제어를 적용하여 상시 예방 조치만 취하기로 결정할 수 있습니다. 본사 사무실 워크스테이션 및 우리의 데이터센터-1 작업량.이를 다음과 같이 합니다. 집행 경계.워크스테이션과 정의된 워크로드 또는 서버 간의 모든 통신을 차단하기만 하면 됩니다.
또 다른 접근 방식은 제로 트러스트 허용 목록 (기본 거부) 정책 접근 방식을 사용하는 것입니다.이 예방 조치를 시행한 후 어떤 접근 방식을 취하기로 결정하든, 다른 검색 검사를 통해 네트워크 내에서 열려 있던 통신 경로가 이제 모두 필터링된 것으로 표시됩니다.
일루미오로 돌아가기 가시성 맵, 이러한 통신 회선은 이제 빨간색으로 표시되어 스캔이 모니터링되었을 뿐만 아니라 이번에는 차단되었음을 나타냅니다.
즉, 동시에 서로 다른 플랫폼에서 실행되는 여러 시스템에서 단일 관리 지점에서 측면 이동 위험을 사전에 성공적으로 완화할 수 있었습니다.예방 및 대응으로 예방 전용 접근 방식을 강화하여 추가 조사를 위해 이 시스템을 격리함으로써 이 특정 시스템에서는 여전히 한 걸음 더 나아갈 수 있습니다.
예방 및 대응: 적응형 제로 트러스트 세그멘테이션
제로 트러스트 세그멘테이션의 경우와 같은 예방적 접근 방식을 통해 맬웨어 및 기타 공격의 확산을 방지하는 상시 보안 정책을 어떻게 보장할 수 있는지 방금 살펴보았습니다.
하지만 경우에 따라 대응해야 하는 사고가 이미 발생했을 수도 있습니다.예방 보안 정책을 아직 실행하지 않았기 때문일 수 있습니다.이 경우에도 동일한 Illumio Core 기술을 사용하여 대응하고 대응할 수 있습니다. 예방적 접근법을 활용하면서도 적응형 기능이 추가되었습니다.
지금까지 보여준 예제를 보면 정책이 모두 네트워크 구조나 IP 정보가 아닌 메타데이터나 레이블에 의해 정의되었음을 알 수 있습니다.이러한 레이블은 워크로드, 서버 및 워크스테이션을 논리적으로 그룹화하는 데에도 사용됩니다.
아래 스크린샷에서 “랜섬웨어 격리”라는 정책이 이미 정의되어 있는 것을 볼 수 있습니다.
이제 관심 시스템의 4차원 레이블 중 하나 이상을 아래 워크로드 인벤토리 페이지에 표시된 격리 레이블로 전환해야 합니다.
이 작업은 수동 또는 자동으로 수행할 수 있습니다.필요에 따라 SoC (보안 운영 센터) 또는 SOAR 플레이북을 통해 트리거할 수도 있습니다.이 조치의 결과로 특정 시스템을 자동으로 격리하고 해당 시스템에서 나머지 네트워크로의 모든 통신을 차단합니다.하지만 경영진 커뮤니케이션이 시스템 활동을 모니터링하고 조사하는 것은 계속 허용할 것입니다.
아래 예에서 볼 수 있듯이 감염된 시스템은 이제 원래 시스템에서 분리된 자체 격리 버블로 분리되었습니다. 본사 사무실 위치 및 관련 애플리케이션 그룹빨간색 통신 회선으로 알 수 있듯이 나머지 시스템, 심지어 인터넷과도 사실상 차단되어 있습니다.
하지만 우리는 여전히 이 시스템의 모든 활동을 안전하게 명확하게 모니터링하고 이 시스템에 대해 수행하는 데 필요한 모든 조사를 계속할 수 있습니다.
또한 중요하거나 “가장 중요한” 서버 및 워크로드의 경우 다음과 같은 기타 보안 모범 사례 구성을 적용할 수 있습니다.
- 제한 아웃바운드 커뮤니케이션 승인된 목적지 목록에만
- 내부 사용 DNS 모니터링이 심하고 세분화되는 서버
- 레귤러 취약점 전체의 일부로 스캔 취약점 관리 자세
이러한 모든 기능을 동일한 Illumio Core 솔루션에 통합하여 전체 보안 태세를 강화하고 기존 탐지 및 대응 보안 투자를 강화할 수 있습니다.
결론
이 시리즈에서 설명하는 모든 위협 기법은 물론 아직 발견되지 않은 기법에 대해서도 공격자의 목적은 탐지되지 않고 환경을 가로질러 이동하는 것입니다.대부분의 조직은 안티바이러스, 엔드포인트 탐지 및 대응 또는 샌드박싱과 같은 일종의 사후 대응 우선 기술을 이미 보유하고 있기 때문에 적응형 대응 기능을 갖춘 상시 가동 예방 우선 기술을 통해 '문을 잠그는' 것도 중요합니다.
Illumio의 멀웨어와 랜섬웨어 억제 및 가시성 기능에 대해 자세히 알아보려면:
- 읽기”적용 범위를 좁혀 랜섬웨어에 빠르게 대항하세요.”
- 3부로 구성된 웨비나 시리즈를 확인해 보세요.”랜섬웨어가 발생합니다.확산을 막아드립니다.”
- Illumio를 직접 사용해 보십시오. 무료 실습에 등록하고, 일루미오 익스피리언스.
.webp)
.webp)