멀웨어 페이로드 & 비콘: 영향을 완화하는 기술

이 시리즈의 첫 번째 글에서는 공격자의 인프라와 관련 비콘 및 페이로드의 도움을 받아 악성 통신이 어떻게 시작되는지에 대해 설명했습니다. 두 번째 글에서는 인메모리 조작 기법과 함께 페이로드의 범주와 유형에 대해 살펴보았습니다. 이 시리즈의 마지막 부분에서는 페이로드를 위장하는 데 사용되는 몇 가지 난독화 기법에 초점을 맞추고 방어자가 사용할 수 있는 완화 기법을 살펴봅니다.

사이버 보안에서 중요한 지표는 '탐지 시간'이라고도 하는 평균 탐지 시간(MTTD)입니다(" ). 공격자가 처음 침입한 시점부터 대상 조직에서 공격을 탐지할 때까지의 시간입니다. 성공적인 진입이나 익스플로잇은 대개 시작에 불과합니다. 위협 행위자는 손상된 네트워크에서 탐지되지 않기 위해 다양한 난독화 기술을 사용하는 경우가 많습니다.

대응 및 예방 기술과 관련된 다음과 같은 광범위한 완화 접근 방식을 고려하는 것이 유용합니다:

1. 반응 우선 접근 방식

• 탐지 전용
• 탐지 및 대응

2. 예방 우선 접근 방식

• 예방 전용
• 예방 및 대응

반응 우선 접근 방식에서는 탐지만 하는 것이 기존의 침입 탐지 시스템(IDS)과 같은 기술에 해당합니다. 이러한 시스템은 일반적으로 알려진 악성 코드 또는 페이로드의 시그니처 세트를 사용하여 위협을 탐지합니다. 이는 해시나 서명을 변경하여 쉽게 우회할 수 있습니다. 그 이후로 위협 탐지는 상당히 발전했습니다. 최신 탐지 기술에는 행동 및 휴리스틱, 머신 러닝, 자가 학습 및 인공 지능 기능이 포함됩니다.

대응 우선 접근 방식인 탐지 및 대응을 기반으로 위협이 탐지된 후 이를 차단할 수 있는 기능이 포함됩니다. 이는 차단 또는 허용을 위한 탐지 기능을 기반으로 합니다.

여기서 탐지 엔진의 신뢰 수준은 오탐(합법적인 파일을 위협으로 오인하여 차단)이나 오탐(합법적인 파일이나 코드로 오인한 위협을 허용)을 피하기 위해 매우 높아야 합니다. 두 가지 대응 우선 접근 방식 모두 의심스러운 행동이 먼저 발생해야 이러한 시스템이 대응 조치를 트리거합니다.

반면에 예방 우선 접근법, 특히 예방 전용 접근법은 어떤 일이 먼저 발생해야만 조치를 취할 수 있는 것이 아닙니다. 허용하거나 차단해야 하는 항목에 대해 상시적으로 적용되는 규칙이 마련되어 있습니다. 제로 트러스트 세분화 (마이크로 세분화라고도 함)에서 사용하는 접근 방식이기도 합니다.

이 접근 방식은 반응 기반 대응이 필요한 경우 대응하는 기술에 따라 적응형 접근 방식이 될 수도 있습니다. 이 글에서는 이 두 가지 접근 방식을 모두 살펴볼 것입니다.

먼저 위협 행위자가 탐지되지 않도록 활동을 난독화하거나 숨기기 위해 사용하는 몇 가지 기술을 살펴보겠습니다. 그런 다음 멀웨어 공격의 영향을 완화하기 위한 사후 대응 우선("탐지" 및 "탐지 및 대응")과 예방 우선("예방만" 및 "예방 및 대응") 접근 방식의 사례를 살펴봅니다.

난독화 기술

위협 행위자는 악성 페이로드를 숨기거나 난독화하기 위해 사용자 지정 코드, 코드 패킹(예: UPX 패커 사용), 스테가노그래피, 실행 지연, 백도어, 인코딩(Base64) 및 암호화와 같은 기술을 모두 사용할 수 있습니다.

또한, 위협 행위자는 이미 신뢰할 수 있는 시스템 파일 및 바이너리(예: 파워쉘 또는 WMI)를 활용하기 위해 '기생' 기법을 사용하거나 이미 신뢰할 수 있는 타사 바이너리 및 실행 파일을 활용하려고 시도할 수 있습니다.

실행 가능한 백도어

공격자가 페이로드가 실행되도록 하기 위해 사용할 수 있는 몇 가지 기술이 있습니다.

한 가지 방법은 합법적인 실행 파일 안에 악성 코드를 숨기는 것입니다. 이전 블로그에서 감염된 피해 컴퓨터를 다시 살펴보면 사용자의 다운로드 폴더에서 putty.exe 실행 파일을 발견할 수 있습니다. Putty.exe는 널리 사용되는 텔넷 및 SSH 클라이언트입니다.

공격자는 악성 페이로드를 퍼티에 백도어로 삽입하는 것을 목표로 먼저 사용자의 합법적인 putty.exe 실행 파일을 다운로드합니다.

다음으로, 공격자는 새로운 페이로드를 생성하지만 합법적인 putty.exe를 사용합니다. 파일을 페이로드의 실행 템플릿으로 사용합니다. 결과 실행 파일의 이름은 putty_new.exe입니다.

이제 아래와 같이 새로운 백도어 실행 파일을 사용자 시스템에 업로드할 수 있습니다.

공격자는 측면 이동 기법으로 이 실행 파일을 침해된 네트워크 내의 다른 시스템에 푸시하여 더 많은 사용자가 무의식적으로 악성 페이로드를 실행하도록 할 수 있습니다.

사용자가 트로이 목마에 감염된 putty.exe를 실행한 후, 프로그램을 정상적으로 사용할 수 있습니다. 그러나 백그라운드에서는 악성 페이로드가 실행되고 다음과 같이 공격 명령 및 제어 리스너에 콜백을 수행합니다.

감염된 컴퓨터의 실행 중인 프로세스에서 putty_new.exe 프로세스가앱12.webcoms-meeting.com의 공격자에게 다시 TCP 연결(포트 443) 을 설정한 것을 확인할 수 있습니다.

페이로드 인코딩

컴퓨팅에서 인코딩은 일부 데이터에 특정 알고리즘을 적용하여 형식을 변경하는 프로세스입니다. 인코딩은 대상 시스템에서 쉽게 전송, 저장 또는 사용할 수 있도록 한 데이터 유형의 형식을 다른 데이터 유형으로 변경하는 데 유용할 수 있습니다.

다음은 왼쪽의 ASCII 텍스트(일반 영어 텍스트)를 오른쪽의 Base64로 인코딩한 예시입니다. 데이터는 동일하지만 형식은 완전히 다릅니다. 익숙하지 않은 Base64로 인코딩된 텍스트만 수신하는 경우, 이를 보다 익숙한 ASCII 텍스트로 변환하려면 Base64 디코더가 필요합니다.

이 기능은 위협 행위자가 탐지를 회피하기 위해 악성 코드와 페이로드를 효과적으로 숨기는 데에도 매우 유용합니다. 인코딩은 패킹과 같은 기술로 동일한 분석, 특히 문자열 감지를 수행하기 어렵게 만드는 만큼 페이로드에 대한 정적 분석을 수행하기 어렵게 만듭니다.

다음 예시는 공격자가 악성 페이로드를 생성할 때 인코딩을 어떻게 사용할 수 있는지 보여줍니다.

여기서 인코더 알고리즘은 shikata_ga_nai입니다. 페이로드는 아래 이미지와 같이 이 알고리즘을 6번 반복하여 인코딩합니다. 이렇게 하면 페이로드의 일부가 난독화되어 특히 해싱을 사용한 서명 분석이나 페이로드 코드 및 문자열의 정적 분석을 통해 탐지하기가 더 어려워집니다.

또한 위협 행위자는 Microsoft Office 문서 매크로, 파워쉘 스크립트 및 기타 기본적이고 합법적인 바이너리 및 도구를 사용하여 악성 활동을 숨기려고 시도할 수 있습니다. 손상된 시스템이나 침해된 환경에서 네이티브 도구와 바이너리를 사용하는 것을 "땅에서 사는 것"이라고 합니다. 다음으로 몇 가지 완화 기능에 대해 살펴보겠습니다.

대응 우선 접근 방식: 탐지 기술

대응 우선 접근 방식은 의심스럽거나 악의적인 활동을 탐지하는 초기 기능에 따라 달라집니다. 이 중 몇 가지를 살펴보겠습니다.

정적 분석: 코드 분석

정적 분석은 디스크에 있는 실행 파일의 코드 조각을 분석하는 프로세스입니다. 첫 번째 글의 이러한 유형의 분석을 확장하여 추가 정적 분석에서는 몇 가지 유용한 지표를 추가로 보여줍니다. 이 페이로드 파일은 특정 위험한 문자열과 라이브러리를 참조하고 의심스러운 활동을 조사할 때 관심을 가질 만한 일부 시스템 기능을 호출합니다.

서명 분석: 안티바이러스

기본적인 수준의 서명 분석에는 관심 있는 파일 또는 페이로드의 해시 또는 서명을 가져와 이전에 탐지된 알려진 서명의 대규모 데이터베이스와 비교하는 작업이 포함됩니다. 이는 기존 바이러스 백신 솔루션이 취하는 접근 방식입니다. 아래 예시는 여러 안티바이러스 검사 엔진 그룹에 대해 검사한 첫 번째 문서의 악성 페이로드를 보여줍니다.

동적 분석: 샌드박싱

동적 분석에는 악의적인 행동을 탐지하기 위한 행동 모니터링이 포함됩니다. 여기서 관심 있는 페이로드 또는 파일을 샌드박스 환경에서 실행하여 동작을 연구하고 이를 일련의 양호 또는 불량 기준과 비교합니다. 각 악의적인 행동은 가중치에 따라 점수를 매겨 최종적으로 악의적인지 아닌지를 결정합니다.

샌드박스는 보호된 공간에서 실행 및 모니터링되는 브라우저와 같은 애플리케이션, 가상 머신 내부에서 실행되는 운영 체제 또는 컴퓨터 소프트웨어와 디스크, 메모리, CPU와 같은 하드웨어 구성 요소의 완전한 에뮬레이션이 될 수 있으며, 후자는 멀웨어가 회피하기 가장 어렵습니다.

아래 예시는 샌드박싱 또는 에뮬레이션 후 실행 파일 또는 페이로드가 측정되는 의심스러운 활동의 하위 집합을 보여줍니다.

대응 우선 접근 방식은 중요하며 거의 모든 조직이 네트워크에 어떤 형태로든 이러한 접근 방식을 가지고 있습니다. 그러나 보안의 다른 모든 것과 마찬가지로 이 접근 방식은 보안 심층 철학을 적용하는 효과적인 보안 전략을 위해 다른 보호 계층으로 보완되어야 합니다. 탐지가 실패하거나 우회할 수 있는 경우가 있으므로 예방 우선 접근 방식이 필요합니다.

예방 우선 접근 방식

앞서 설명한 대로 예방 우선 접근 방식은 일반적으로 "예방만" 및 "예방 및 대응"에 해당합니다. 다음 단계에서는 먼저 위협 행위자가 침해한 머신이 액세스할 수 있는 다른 머신을 찾기 위해 취할 수 있는 초기 발견 조치를 살펴보겠습니다. 그런 다음 방어자가 네트워크의 시스템, 심지어 같은 서브넷에 있는 시스템을 세분화하여 측면 이동의 위험을 완화하기 위해 취할 수 있는 조치를 살펴봅니다.

예방적 제로 트러스트 세분화

위협 행위자는 난독화된 putty.exe 페이로드에 이어서 손상된 피벗 포인트 머신을 사용하여 네트워크에서 또 다른 검색 스캔을 수행하여 공격을 계속할 수 있습니다. 위협 행위자는 특히 네트워크에서 눈에 띄지 않기 위해 Telnet, SSH, SMB 및 RDP와 같은 일반적인 측면 이동 통신 경로에 관심이 있습니다.

공격자가 시스템을 성공적으로 침해한 서브넷에서 이러한 통신 경로 중 일부가 열려 있는 것을 확인할 수 있습니다. 이 기본 검사는 Windows와 Linux 시스템이 모두 네트워크에 있는지 확인할 수 있는 좋은 지표가 됩니다. Windows 시스템에는 일반적으로 SMB 포트가 열려 있고 Linux 시스템에는 일반적으로 SSH 포트가 열려 있습니다.

사전 예방을 우선으로 하는 완화 접근 방식을 고려할 때 Illumio Core와 같은 기술은 매우 유용한 가시성을 제공합니다. 일루미오 코어는 '모니터 전용' 모드에서도 공격자의 행동을 명확하게 보여줄 수 있으며, 아래의 경우 피벗 머신에서 표적 서브넷의 나머지 시스템으로 일대다 스캔을 수행합니다. 일루미오 코어의 가시성 맵인 일루미네이션은 조직 네트워크의 비즈니스 뷰를 보여줍니다. 또한 이러한 시스템이 여러 위치에 분산되어 있음을 알 수 있습니다.

Illumio 맵에서 스캔의 통신은 데이터센터-1로 향하는 본사-사무실 워크스테이션에서 시작된 것으로 표시됩니다. 모든 시스템이 Illumio 레이블(태그 또는 메타데이터)과 연결되어 지도를 보강하기 때문에 유용하고 실행 가능한 정보를 쉽게 식별할 수 있습니다. 이 동일한 정보는 나중에 IP 주소, VLAN(가상 LAN) 또는 영역과 같은 네트워크 구성에 의존하지 않고 정책을 정의하는 데 사용되므로 보안 정책이 변경 사항에 자동으로 적응할 수 있습니다.

또 다른 유용한 기능은 Illumio의 위험 분석 및 조사 도구를 사용하여 네트워크에 대한 사전 감사를 수행하는 것입니다. 이를 통해 멀웨어 및 랜섬웨어가 손상된 네트워크에서 확산하는 데 일반적으로 사용되는 경로와 같이 해당 네트워크가 취약한 위험 경로를 확인할 수 있습니다. 실제로 사이버 사고가 발생할 때까지 기다렸다가 조치를 취할 필요는 없습니다. 권장되는 선제적 위험 분석은 아래와 같이 명확하고 쉽게 이 정보를 제공합니다.

위의 조사 보기에서 소비자 쪽에는 통신의 출처가 표시되고 공급자 쪽에는 통신의 목적지가 표시됩니다. 또한 맨 오른쪽에서 사용된 포트와 이 통신과 관련된 프로세스를 확인할 수 있습니다. 필요한 경우 개별 머신의 이름까지 더 자세히 드릴다운할 수 있습니다.

예를 들어, 본사-사무실 워크스테이션과 데이터센터-1 워크로드 사이에 위치 기반 제어를 설정하여 상시 예방 전용 조치를 취하기로 결정할 수 있습니다. 이를 시행 경계라고 합니다. 정의된 대로 워크스테이션과 워크로드 또는 서버 간의 모든 통신을 차단하기만 하면 됩니다.

또 다른 접근 방식은 제로 트러스트 허용 목록(기본 거부) 정책 접근 방식을 사용하는 것입니다. 어떤 접근 방식을 선택하든, 이 예방 조치를 시행한 후 다른 검색 검사에서 네트워크 내부에서 열린 통신 경로가 모두 필터링된 것으로 표시되는 것을 확인할 수 있습니다.

Illumio 가시성 맵으로 돌아가서, 이 통신 회선은 이제 빨간색으로 표시되어 이번에는 스캔이 모니터링된 것이 아니라 차단되었음을 나타냅니다.

즉, 단일 관리 지점에서 여러 플랫폼에서 동시에 실행되는 여러 시스템에서 횡방향 이동 위험을 사전에 성공적으로 완화할 수 있었습니다. 예방과 대응을 통해 예방 전용 접근 방식을 강화하여 이 시스템을 격리하여 추가 조사를 진행하면 이 특정 시스템에서 더 나아갈 수 있습니다.

예방 및 대응 적응형 제로 트러스트 세분화

제로 트러스트 세분화와 같은 예방적 접근 방식을 통해 멀웨어 및 기타 공격의 확산을 방지하는 상시 보안 정책을 보장할 수 있는 방법을 살펴봤습니다.

그러나 경우에 따라서는 이미 대응해야 하는 사건이 발생했을 수도 있습니다. 예방적 보안 정책을 아직 활성화하지 않았을 수 있습니다. 여기서도 동일한 일루미오 코어 기술을 사용하여 여전히 예방적 접근 방식을 활용하되 적응 기능을 추가하여 대응 및 대응할 수 있습니다.

지금까지 살펴본 예제에서는 정책이 모두 네트워크 구성이나 IP 정보가 아닌 메타데이터 또는 레이블로 정의되어 있음을 알 수 있습니다. 이러한 레이블은 워크로드, 서버 및 워크스테이션을 논리적으로 그룹화하는 데도 사용됩니다.

아래 스크린샷에서 '랜섬웨어 격리'라는 이름의 정책이 이미 정의되어 있는 것을 볼 수 있습니다.

이제 관심 있는 시스템의 4차원 레이블 중 하나 이상을 아래 워크로드 인벤토리 페이지에 표시된 격리 레이블로 전환해야 합니다.

이 작업은 수동 또는 자동으로 수행할 수 있습니다. 필요에 따라 SoC(보안 운영 센터) 또는 SOAR 플레이북을 통해 트리거할 수도 있습니다. 이 조치의 결과로 특정 시스템이 자동으로 격리되고 해당 시스템에서 나머지 네트워크로의 모든 통신이 차단됩니다. 그러나 경영진 커뮤니케이션을 통해 해당 행위를 모니터링하고 조사할 수 있도록 허용할 것입니다.

아래 예시에서 감염된 시스템은 이제 원래의 본사-사무실 위치 및 관련 애플리케이션 그룹에서 떨어져 자체 격리 버블로 격리되었습니다. 통신의 빨간 선으로 표시된 것처럼 나머지 시스템과 심지어 인터넷과도 효과적으로 차단됩니다.

그러나 우리는 여전히 이 시스템의 모든 작업을 안전하게 모니터링하고 이 시스템에 대해 수행해야 할 조사를 계속할 수 있습니다.

또한 중요하거나 "핵심" 서버 및 워크로드의 경우 다음과 같은 다른 보안 모범 사례 구성을 적용할 수 있습니다:

• 아웃바운드 커뮤니케이션을 승인된 대상 목록으로만 제한하기
• 집중적으로 모니터링되고 세분화된 내부 DNS 서버 사용
• 전반적인 취약성 관리 태세의 일환으로 정기적인 취약성 스캔 수행

이러한 모든 기능을 동일한 일루미오 코어 솔루션에 통합하여 전반적인 보안 태세를 강화하고 기존의 탐지 및 대응 보안 투자를 강화할 수 있습니다.

Conclusion

이 시리즈에서 설명한 모든 위협 기법과 아직 발견되지 않은 위협 기법의 경우, 공격자의 목표는 탐지되지 않고 환경을 측면으로 이동하는 것입니다. 대부분의 조직은 이미 안티바이러스, 엔드포인트 탐지 및 대응, 샌드박싱 등 어떤 형태의 사후 대응 우선 기술을 보유하고 있을 것이므로 적응형 대응 기능을 갖춘 상시 예방 우선 기술로 '문을 잠그는 것'도 중요합니다.

Illumio의 멀웨어 및 랜섬웨어 차단 및 가시성 기능에 대해 자세히 알아보세요:

• 읽기 "집행 경계로 랜섬웨어에 빠르게 대응하세요."
• 3부로 구성된 웨비나 시리즈( "랜섬웨어 발생)를 확인하세요. 확산을 막습니다."
• 무료 체험 실습인 일루미오 체험에 등록하여 일루미오를 직접 사용해 보세요.