보안사고 최신동향

랜섬웨어

개인에서 기업으로 표적 변화

자바스크립트, 파워쉘, 파이선 등 다양한 프로그래밍 언어

스크립트 형으로 보안제품의 탐지를 우회

 

RaaS (Ransomware as a Service) : 제작가가 공격자에게 랜섬웨어 코드를 제공하고 금전적이득을 취한다.

케르베르(Cerber) : Raas , 말하는 랜섬웨어

PETYA : MBR 암호화

JigSaw : 인질 파일을 시간마다 삭제

스피어피싱 : 

Locky : 업무 메일로 위장

Tesla Crypt : 게임 사용자 

CryptXXX : 국내 유명 커뮤니티 사이트를 통해 유포 

 

PMS

패치, 업데이트를 위장하여 악성 코드 유포

 

스피어피싱 : 사장 명의로 회계담당에게 메일

 

파밍(Pharming)  : 위조사이트 , 금융권

 

스미싱(Smishing) : SMS(문자메세지)+Phishing 

 

보이스피싱(Voice Phishing) : 070을 010으로 조작하기도함.

 

 

APT 공격

Advanced Persistent Threat 지능형 지속 공격

공인된 파일로 위장한 APT 공격

사칭하여 국가적 인물로 표적화(사회공학적기법)

많이 알려져있지 않는 파일 확장명과 Anti-APT 솔루션 우회 시도

Microsoft Office 취약점 파일 doc xls ppt rtf 

Adobe 취약점 파일 pdf swf

hancom 취약점 파일 hwp

다중 확장자를 통한 위장 doc.exe xls..scr

유니코드 확장자를 압축을 통한 위변조 (zip ,rar 내부에 유니코드로 위장된 악성파일 포함)

 

 

메일 보내서 악성코드로 감염시키고 C&C서버에 명령 중계함.

C&C 서버의 5가지 기능(Control&Command Server)

1. 파일 다운로드 및 실행

2. 스캐닝 옵션, 필터의 조정

3. 새로운 런타임 설정, 내용 다운로드

4. C&C 서버로 전송 

5. 모듈 실행 정지

 

Evil Gnome(이블놈)

리눅스시스템에서 정찰용 멀웨어

1. 소리캡쳐

2. 스크린샷

3. 새로운 파일 시스템 스캔

4. C&C 서버로부터 새로운 명령 실행

5. 키스트로크 저장 (키보드에 입력하는거 그대로 전달)

 

외부 : 내부

N:1 (DDOS)

1:N / N:N(worm)

 

** 공격자들이 남용하는 정상적인 도구 (해커도구는 금방 노출되기때문에 잘 쓴다)

1. 코발트 스트라이크, 메타스플로잇 프로

2. 파워쉘

3. 윈도우 시스인터널

4. VNC

5. 윈도우 관리도구

6. 미미캐츠

7. 팀뷰어