2024년 2학기 논문분석_1주차 과제(사이버 킬 체인 기반 악성코드 공격 사례 분석)

논문 분석_1주차

사이버 킬 체인 기반 악성코드 공격 사례 분석.pdf

0.43MB

 

 

 

 

해당 논문을 선택한 이유

 

• 악성코드 공격사례 분석에 관한 논문을 다뤄보고 싶었음
• 사이버 킬 체인이라는 프레임 워크가 무엇인지 궁금했는데, 해당 프레임워크를 통해 악성코드 공격 사례를 분석한 해당 논문이 흥미로웠음

 

사이버 킬 체인이란?

군사용어 킬체인에서 비롯되어 생성된 용어로, 사이버 공격을 방어하기 위한 적극적인 방어 전략이며 여러 공격 단계들 중 일부를 무력화 또는 지연시켜 공격의 효율성을 낮추고 피해를 최소화하는데 그 목적이 있다.  

프로세스상에 따른 대응이기 때문에 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명하는데 자주 언급되는 전략 중 하나이기도 하다.

 

사이버킬체인(Cyber Kill Chain)모델을 통한 SIEM의 활용 - Security & Intelligence 이글루코퍼레이션 (igloo.co.kr)

사이버킬체인(Cyber Kill Chain)모델을 통한 SIEM의 활용

 

 

사이버 킬 체인 기반 악성코드 공격 사례 분석

 

 

Analysis of Malware Attack cases based on Cyber Kill Chain

 

 

 

요 약

 

• 사이버 보안은 지속적으로 강화 및 발전하는 보안 도구와 기술로 인해 강화되고 있음
• but, 시스템 내에 단 하나의 취약점이 존재해도 공격자는 악성코드 등의 공격을 통해 침입할 수 있다는 문제 
• 시스템의 취약점을 발견 및 보완하여 외부 접점에서 발생하는 공격에 대한 보호가 필요함
• 더불어 악성코드의 공격 과정을 식별하여 적합한 보안 대책을 수립하는 것이 중요함

 

본 논문에서는 사이버 킬 체인(Cyber Kill Chain, CKC) 프레임워크를 사용하여 악성코드 공격 사례 분석을 진행하고, 도출된 위협 요소에 대한 대응방안을 제시한다. 

 

 

I. 서 론

 

계속 진화하는 사이버 공격을 방어하기 위해 보안 수준은 지속적으로 높아지고 있고, 보안과 관련된 도구, 기술, 표준 등의 발전을 통해 보안 메커니즘이 정교해지면서 다양한 공격 위협으로부터 인프라를 보호할 수 있는 세상이 되었다.

더불어 악성코드를 이용한 공격으로부터 시스템을 보호하기 위한 방어 기법 역시 고도화되고 있는 시점이다.

 

but, 공격자는 시스템 내 취약점이 개수와 상관없이 일단 존재하기만 한다면, 인프라 내 시스템에 침입하여 악성코드 공격을 수행할 수 있다는 문제가 있다.

따라서, 시스템 내 취약점을 해결하기 위한 방법 및 시스템과 외부 접점에서 발생하는 공격에 대한 보호가 반드시 필요하다.

또한, 악성코드 공격 과정의 초기 감염, 전파 등 작동 방식을 식별하여 각 위협 요소에 대한 적합한 대응 방안을 도출할 수 있어야 하기때문에, 본 논문에서는 사이버 킬 체인(Cyber Kill Chain, CKC) 프레임워크를 사용하여 악성코드 공격 사례 분석을 진행했다.

 

추가로 해당 논문에서는 분석된 위협 요소에 대해 적절한 대응 방안도 도출한다.

2장: 사이버 킬 체인 개요 및 특징
3장: 악성코드 공격 사례 분석
4장: 사이버 킬 체인 적용 및 대응 방안
5장:한계점
6장:결론 및 향후 연구방향에 대해 기술

 

 

 

II. 사이버 킬 체인

 

 

사이버 킬 체인에 대한 개념은 2009년 미국 Lockheed Martin社에서 제안, 다양한 유형의 위협, 지능형 지속 공격(Advanced Persistent Threat, APT) 및 악성코드를 식별하기 위한 인텔리전스 기반 위협 중심 접근방식의 프레임워크이다다.

총 7단계로 진행되며, 각 단계는 순서대로 Reconnaissance (정찰), Weaponization(무기화), Delivery (유포), Exploitation(악용), Installation (설치), Command and Control(명령 및 제어), Action on Objectives(목적 달성)로 구성된다.

 

 

 

해당 그림은 사이버 킬 체인의 공격 진행 단계를 나타낸 것이다.

 

Reconnaissance(정찰)은  공격 표적 및 전술 식별과 악용 가능한 취약점 식별을 위한 단계이며, Weaponization(무기화)는 정찰 단계에서 수집된 정보 기반 악성 코드,  DDoS, 봇넷 등 사이버 무기 준비, 사이버 무기는 제로데이 취약점 또는 여러 개의 취약점을 조합하여 악용가능학 하기위한 단계이다.

또한 Delivery(전달, 유포)는 사이버 무기를 표적에게 전송하기 위한 단계이며, Exploitation(악용, 침투)는 전송된 사이버 무기를 사용하고 높은 접근 권한을 얻기 위해 시스템, 네트워크 등의 취약점을 악용하기 위한 단계이다.

Installation(설치)를 통해 공격 표적 시스템에 악성 프로그램 설치를 수행하고 공격 표적에서 공격 가능한 환경을 구축한다.

Command and Control(명령 및 제어)는 원격 공격 운영 및 모니터링을 위한 명령 및 제어 채널을 설정하고 통신 및 명령을 전달하며, Action on Objectives(목적 달성)은 공격 최종 목적 달성을 위한 조치를 수행하여 데이터 수정, 수집, 유출,파괴, 암호화등의 작업을 한다.

 

사이버 킬 체인의 특징은 위 공격 단계 중, 한 단계라도 기능을 수행하지 못하면 공격이 중단되거나 공격자가 의도한 목적을 수행할 수 없기에 방어자가 사이버 공격을 사이버 킬 체인을 기반으로 분석하여 각 단계별 위협을 식별한다면, 공격 실행 여부 및 공격이 실행될 단계를 알 수 있고 , 적합한 대응 계획을 수립할 수 있다.

 

 

III. 악성코드 공격 사례 분석

 

특징 : 논문을 게재한 기준으로 1년 이내에 발생한 악성코드 공격 사례

 

 

 

✔ Hakuna Matata  

 

2023년 07월, 국내 기업을 대상으로 공격하는 Hakuna Matata 랜섬웨어가 처음 발견되었다.

 

일반적인 랜섬웨어의 기능과 공격 대상의 클립보드를 모니터링하여 암호화폐 지갑 주소와 관련된 문자열이 탐지될 시, 공격자의 주소로 변경하는 ClipBanker 기능을 동시에 수행한다.

 

먼저, 외부에 노출 및 RDP가 활성화된 시스템을 대상으로 무차별 대입공격(Brute Force)을 수행한 후, 계정 정보를 획득하고, 이후 원격으로 시스템 로그인을 수행하여 공격 대상 시스템의 제어를 탈취하는 방식이다.

 

공격자는 “C:\Temp\” 등의 경로에 NirSoft社에서 제작한 계정 정보 탈취 프로그램 및 추가 악성파일을 설치했다.

계정 정보는 “\M\!logs\”경로에 텍스트 파일로 생성했을 것으로 추정되며, 추가 악성파일들 중, “ver7.exe”가 Hakuna Matata 랜섬웨어이다. 해당 파일을 실행할 시, “%LOCALAPPDATA%\rundll32.exe”경로에 파일을 복사 및 실행하여 안티바이러스 파일 탐지를 우회한 후, 파일 암호화를 수행하며 Run Key에 파일을 등록하여 시스템 재부팅 이후에도 실행하도록 설정한다.

 

 

 

✔  Scattered Spider(ALPHV/Blackcat)

 

[참고 자료]

 

https://m.blog.naver.com/choi_kkkkkk/223532392631

MGM 랜섬웨어 공격으로 Scattered Spider 용의자 체포

 

https://www.boannews.com/media/view.asp?idx=131511&kind=1&search=title&find=%B7%A3%BC%B6

MGM리조트 랜섬웨어 사건 용의자인 17세 소년, 영국에서 체포돼

보안 외신 블리핑컴퓨터에 의하면 영국에서 17세 소년이 해킹 범죄 혐의로 체포됐다고 한다.
2023년에 발생한 MGM리조트(MGM Resorts) 랜섬웨어 공격에 가담한 인물로 의심되는 인물이다.
당시 랜섬웨어 사건은 스캐터드스파이더(Scattered Spider)라는 조직이 저지른 것으로 알려져 있었고, 체포된 10대 청소년은 이 조직의 일원으로 보여졌다.

 

2023년 09월, 카지노 리조트 운영 회사인 MGM Resorts International社는 Scattered Spider(ALPHV/Blackcat) 랜섬웨어로 인해 회사 IT 시스템 및 고객 대상 서비스가 36시간 이상 중단 및 약 1억 달러의 손해가 발생했다/

 

공격자는 MCM社의 IT 관리자를 표적으로 지정하였다.

이후, 클릭 시, 그룹에서 SIM 교환을 수행할 수 있는 SMS 피싱 메시지가 직원에게 전송되었고, 교체된 SIM으로 전화 통신을 캡처하여 대상 모바일 장치의 전화번호를 탈취하여 공격자에게 전송했다.

 

또한, IT 헬프데스크(Support)에 유선으로 연락하여 MFA 재설정 코드를 보내기 위한 세부 정보를 제공하고 클라우드 환경에 대한 액세스 권한을 얻었다.

그 후, MGM社가 Okta IAM 동기화 서버를 오프라인으로 전환한 후에도 네트워크에 액세스할 수 있었고, 도메인 컨트롤러(Domain Controller)에서 해시 덤프를 훔치는 방법이었다. 

 

이를 통해, 공격자는 Okta Agent 서버에 액세스한 후, 해당 환경에서 비밀번호를 스니핑하였고, 타사 원격 제어 애플리케이션이나 Cobalt Strike, Brute Ratel 등과 같은 통해 백도어 설치 및 클라우드 서버를 통한 통신이 가능했을 것이라 추정된다.

 

해당 랜섬웨어로 인해 약 100대의 ESXi 하이퍼바이저 암호화 및 개인 식별 정보가 유출되었다.

 

 

✔  DangerAds & AtlasAgent

 

2023년 09월, 피싱 문서를 기반으로 DangerAds 및 AtlasAgent 2개의 악성코드를 사용하는 APT 그룹 AtlasCross가 처음 발견되었는데, 해당 공격은 미국 적십자와 관련된 인원을 표적으로 한 사이버 공격으로 추측된다.

 

공격자는 “Blood Drive September 2023.docm”이라는 제목의 MS Word 문서를 작성했고, 문서 실행 시, 단어 편집 기능을 활성화 할 수 있는 악성 매크로가 활성화되도록하였다.

 

매크로 실행 시, “%APPDATA%\Microsoft\Word\“ 하위 경로의 임의의 숫자 이름을 가진 폴더에 ”KB4495667.zip” 파일을 저장 및 ”KB4495667.pkg“ 파일을 추출하여 이후, 추출된 파일을 3일 동안 실행하도록 ”Microsoft Office Update”라는 예약된 작업을 하도록 설정한다.

 

그리고 공격 대상 기본 정보를 업로드 하기 위해 AtlasCross 그룹이 관리하는 웹사이트와 통신을 시작한다.

”KB4495667.pkg“ 파일이 DangerADs 악성코드(로더 트로이 목마)이며, 호스트 환경을 탐지 및 내장 쉘코드를 실행하고, DangerADs는 최종 페이로드인 AtlasAgent 악성코드(x86 및 x64 버전의 DLL 트로이목마)를 메모리에 로드한다. AtlasAgent의 주요 기능은 호스트 정보 획득, 쉘코드 실행, C2서버 간 통신, 파일 다운로드 및 실행이다. 해당 악성코드로 인해 데이터 유출, 시스템 손상, 개인정보 침해 등의 피해가 발생할 수 있다.

 

 

 

 

IV. 사이버 킬 체인 적용 및 한계점

 

 

사이버 킬 체인 적용을 통해 사이버 공격의 전반적인 흐름 및 공격 목적을 파악할 수 있었지만, 단일 위협 요소가 여러 단계에 존재할 경우, 각 단계별 정확한 분류가 어려웠기때문에 특정 단계의 취약점을 사용하여 방어 기법이 적용된 단계를 우회할 가능성 역시 존재함.

 

 

 

[공격 사례 사이버 킬 체인 분석 표 정리]

 

단계	공격 사례별 위협 요소
	Hakuna Matata	Scattered Spider(ALPHV/Blackcat)	DangerAds & AtlasAgent
Reconnaissance	외부 노출 및 RDP 활성화된 시스템 정보 수집	IT 관리자 정보 수	미국 적십자와 관련된 인원 정보 수집
Weaponization	취약한 계정 정보 획득을 위한 무차별 대입 공격 도구 제작	클릭 시, SIM Swapping을 수행하는 SMS 피싱 메시지 제작	악성 매크로가 포함된 MS Word 문서 제작
Delivery	제작한 도구를 사용하여 시스템 접근 후, 계정 정보 획득 시도	제작한 피싱 메시지를 직원에게 전송하여 클릭을 유도	제작한 문서를 피싱 메일에 첨부하여 표적 인원에게 전달 후, 매크로 활성화 유도
Exploitation	원격으로 탈취한 계정 정보를 사용하여 시스템 로그인 및 시스템 제어 권한 탈취	MFA의 재설정 코드를 얻어내 클라우드 환경에 액세스	문서 열람 시, 설정된 악성 행위 실행 DangerAds 악성코드 생성
Installation	NirSoft社의 계정 정보 탈취 프로그램 및 추가 악성 파일을 시스템에 설치	타사 원격 제어 애플리케이션, Cobalt Strike , Brute Ratel 등 도구를 사용하여 백도어 설치	AtlasAgent 악성코드가 포함된 페이로드 실행
Command and Control	-	C2 서버(클라우드 서버)간 통신 및 시스템 제어	AtlasCross 그룹이 관리하는 C2 서버와 통신 호스트 기본 정보가 업로드및 추가 명령을 수신
Action on Objectives	파일 암호화 암호화폐 지갑 주소 변경	파일 암호화 암호화폐 지갑 주소 변경	데이터 유출, 시스템 손상 및 개인정보 침해
Reconnaissance	RDP 비활성화 네트워크 수준 인증(NLA) 활성화를 통한 추가 인증	개인 정보 관리 강화

Weaponization	-	-
Delivery	내부 보안 프로세스 강화 스팸 메일 및 메시지 분석 및 차탄 솔루션 적용	신뢰할 수 없는 문서 실행 금지 MS Office 문서 매크로 자동 실행 비활성화
Exploitation	MFA 재설정 프로세스 강화	EDR 솔루션 적용을 통한 엔드포인트 보호
Installation	승인되지 않은 도구의 사용을 차단 관리자 권한이 필요한 작업 모니터링 안티바이러스 및 안티멀웨어 사용 IDS 사용 취약점 패치
Command and Control	네트워크 트래픽 모니터링 및 분석 네트워크 세분화 및 접근 제어 SSL/TLS 검사 등 암호화된 트래픽 분석 DNS 필터링
Action on Objectives	DLP(Data Loss Prevention) 솔루션 적용을 통한 데이터 손실 및 유출 방지 네트워크 접근 제어 강화

 

 

 

 

 

V. 결론 

 

본 논문에서는 사이버 킬 체인 기반 악성코드 공격 사례를 분석을 수행

 

최근 1년 이내의 악성코드 공격 사례 3건을 확인하였으며, 각 공격 사례를 분석하였음.

Hakuna Matata, Scattered Spider(ALPHV/Blackcat), DangerAds & AtlasAgent 공격 사례를 분석한 후, 사이버 킬 체인을 적용하여 각 단계별 위협 요소를 분류하였고, 위협 요소별 대응 방안을 도출하였음

 

 

느낀점

 

취약점이라는 것과 그것을 분석한다라는 것에 대해 막연하게 느껴졌던 부분들이 많았는데, 해당 사이버 킬 체인 적용으로 어떠한 사이버 공격이 들어갔는지 확인 할 수 있다는 부분과, 위협 요소가 여러군데에 존재할 경우, 분류도 어렵고, 우회하기도 쉽다라는 부분들이 막연했던 부분에서 조금 직접적으로 와닿게 공부할 수 있었다.

취약점 분석 스터디를 진행하고 있는데 해당 논문 같은 주제들이 더 눈에 들어오고, 앞으로 비슷한 내용을 다루는 것들과 스터디를 함께하면서 취약점이라는 것들에 좀더 경험하는 기회를 만들면 좋을 것 같다는 생각을 했다.