조사 내부 '파운데이션 4'를 통해 해커 사냥하기

주말 한밤중에 한 통의 전화가 걸려옵니다. 범죄 현장, 신원을 알 수 없는 범인의 침입에 즉시 대응해야 합니다.  

자신이 이 범죄 수사를 돕기 위해 호출된 수석 형사가 되었다고 상상해 보세요.

어디서부터 시작할까요? 어떤 단서를 찾으시나요? 어떤 질문을 하나요? 누구에게 질문하시나요? 어떤 조사 도구를 사용해야 하나요? 애초에 왜 이런 범죄가 발생했으며, 그 책임은 누구에게 있나요?  

디지털 수사에서 범죄 현장이란 피해 조직의 네트워크와 디지털 자산을 의미합니다. 사이버 사고나 침해가 발생하면 명백한 단서가 있을 수 있습니다. 다른 경우에는 아무것도 없는 것처럼 보일 수도 있습니다.  

그러나 그것조차도 그 자체로 단서가 될 수 있습니다. 명백한 단서가 부족하면 전문가를 상대하고 있다는 신호일 수 있습니다.  

프로는 스스로 뒷정리를 잘합니다. 또한 일부러 수사관을 잘못된 방향으로 유도하기 위해 미끼를 심기도 합니다. 그렇기 때문에 컨텍스트가 가장 중요합니다!

공격자는 악의적인 목적을 달성하기 위해 일련의 단계와 전술을 거칩니다. 즉, 방어자는 효과적인 대응 준비를 위해 대응 전술을 적용해야 합니다.  

이 블로그 시리즈에서는 조직 내 사용자가 실행한 것으로 보고된 아래 표시된 실행 파일을 따라가 보겠습니다. 그런 다음 실행 시 무엇을 했는지 조사하고 그 행동이 좋은지 나쁜지 판단해 보겠습니다.  

사람, 디바이스, 네트워크, 데이터

궁극적으로 사이버 세계는 데이터에 관한 것입니다. 데이터는 종종 워크로드(이 글의 목적상 느슨하게 서버라고 부를 수 있음)에서 호스팅됩니다.  

사람 또는 사용자는 네트워크를 통해 연결하여 워크로드에 저장된 데이터에 액세스하는 노트북, 스마트폰, 태블릿과 같은 장치를 가지고 있습니다.  

데이터에 액세스하려면 일반적으로 디바이스에서 실행 중인 애플리케이션을 사용합니다. 이러한 장치는 Wi-Fi와 같은 네트워크를 통해 인터넷에 연결됩니다.  

실제로 노트북에 로그인한 후 Wi-Fi에 연결하는 사용자를 생각해 보세요. 그런 다음 사용자는 이메일 애플리케이션을 실행하여 회사의 이메일 워크로드 또는 서버에 연결합니다. 사용자(사람)는 노트북(장치)을 사용하여 네트워크(Wi-Fi)를 통해 연결하여 회사 이메일 서버(워크로드)에 접속하여 이메일(데이터)에 액세스합니다.

데이터 추적

방어자의 동기는 데이터의 기밀성, 무결성, 가용성을 유지하는 것입니다.  

돈을 따라가라는 속담이 있습니다. 사이버 상에서는 데이터를 따라가는 것입니다.  

공격이 발생한 후에는 다음과 같은 주요 질문에 대한 답을 찾는 것부터 시작해야 합니다:

• 인시던트: 무슨 일이 있었나요?
• 영향: 영향을 받는 대상(또는 대상자)은 무엇인가요?
• 범위: 어디에서 발생하고 있나요?
• 보고서: 결과 및 권장 사항

그러나 이러한 질문에 성공적으로 답하기 위해서는 관련성이 있을 수 있는 다양한 경로와 주체를 통해 데이터를 추적하는 방법에 대한 가이드가 있어야 합니다.  

이 과정에서 기억해야 할 중요한 규칙은 감정적인 애착이나 선입견을 없애는 것입니다. 우리는 오직 증거를 따르며, 그 점에서 맥락이 가장 중요합니다!

조사 중인 이 특정 사건에서 '시스템 업데이터' 실행 파일을 실행한 직후 사용자 컴퓨터에서 관찰된 한 가지 사항은 다음과 같은 팝업 창이었습니다:

먼저 공격 지표에 해당하는 기법과 침해 지표에 해당하는 기법의 맥락을 살펴볼 것입니다:

• 공격 지표(IoA): 공격이 시도 중이거나 진행 중임을 나타냅니다. 여기서는 의심스러운 패턴과 행동이 그 징후를 제공합니다. 예를 들면 다음과 같습니다:
  
  • 피싱 이메일  
    
  • 무차별 대입 로그인 시도
  • 원치 않는 외부 취약점 검사
• ↪cf_200D↩침해 지표(IoC): 이미 발생한 공격의 증거입니다. 여기서 알려진 악의적인 행동이나 활동은 다음과 같은 표시를 제공합니다:
  
  • 불가능한 여행 로그인 / 손상된 로그인
  • 알려진 멀웨어 해시 탐지
  • 알려진 악성 IP 또는 URL로 데이터 전송(유출)

그런 다음 네 가지 주의 범주를 통해 접근 방식을 표준화할 것입니다. 저는 이를 'F4' 또는 '기초 4'라고 부릅니다:

1. 파일 시스템 (스토리지) ↪f_200D↩
2. 레지스트리 ‍
3. 메모리 (RAM) ↪cf_200D↩
4. 네트워크 (통신 경로)

이러한 기본 영역에서 악의적인 의도를 파악하기 위해 각 영역과 관련된 CRUD 작업(생성, 읽기, 업데이트, 삭제)에 관심을 가질 것입니다:

• ↪cf_200D↩파일시스템(스토리지)
  
  • 새 파일 만들기: CreateFile()
  • 기존 파일 읽기: ReadFile()
  • 기존 파일에 쓰기: WriteFile() ‍
• ↪cf_200D↩레지스트리
  
  • 레지스트리 경로 열기
  • 레지스트리 키 값 읽기
  • 레지스트리 키 삭제 ↪cf_200D↩
• ↪cf_200D↩메모리(RAM)
  
  • 프로세스 만들기
    
  • 스레드 만들기
  • 프로세스에 쓰기 ↪f_200D↩
• ↪cf_200D↩네트워크 (통신 경로)
  
  • 네트워크 소켓 만들기
  • 바인딩
  • 듣기

위 이미지는 Windows 운영 체제에서 기본 네 가지 중 두 가지를 조합한 예를 보여줍니다. 메모리와 파일 시스템 간의 관계를 보여줍니다.

다음 단계: F4에서 멀웨어 추적하기

이 블로그 시리즈의 나머지 부분에서는 네 가지 작업을 기초로 하여 증거를 따라 진행하겠습니다.

파일 시스템이 어떻게 사용되었는지 이해해야 합니다. 예를 들어, 삭제된 파일 또는 기존 파일에 대한 파일 작업, 레지스트리 키 변경, 프로세스 변경 또는 메모리 조작, 어떤 네트워크 연결이 이루어졌는지(그리고 어디로 가거나 어디에서 왔는지) 등을 확인할 수 있습니다.

그런 다음 조사 중인 페이로드와 4대 기본 영역 간의 관계를 매핑할 것입니다.

다음 달에도 조사를 계속 진행하면서 다시 찾아뵙겠습니다!

이러한 종류의 공격에 대비하고 싶으신가요? 어떻게 일루미오 침해 차단 플랫폼 멀웨어 확산을 억제하고 공격자가 네트워크에서 자유롭게 이동하는 것을 차단하는 데 도움이 됩니다.