>
연구(Insikt)

2020년 적대적 인프라 보고서: 방어자의 관점

게시일: 2021년 1월 7일
작성자: Insikt Group®

insikt-group-logo-updated-3.png

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

레코디드 퓨처의 인식트 그룹® 은 2020년 한 해 동안 사전 예방적 스캐닝 방법을 사용하여 식별된 악성 명령 및 제어(C2) 인프라에 대한 연구를 수행했습니다. 모든 데이터는 Recorded Future® 플랫폼에서 제공되었습니다. 이 보고서의 데이터는 2020년 11월 15일 기준입니다. _

Executive Summary

레코디드 퓨처는 다양한 사후 익스플로잇 툴킷, 맞춤형 멀웨어 프레임워크, 오픈 소스 원격 액세스 트로이목마에 대한 새로운 악성 인프라의 생성 및 수정을 추적합니다. 인식트 그룹은 오픈소스 원격 액세스 트로이목마(RAT)의 배포를 식별하는 방법론을 개발한 2017년부터 이러한 노력을 지속해 왔습니다. 레코디드 퓨처는 2020년 한 해 동안 80개 이상의 제품군에서 10,000개 이상의 고유한 명령 및 제어 서버를 수집했습니다.

주요 연구 결과

  • 탐지된 서버의 55% 이상(5,740개)은 오픈 소스에서 전혀 참조되지 않았으며, 명령 및 제어 서버의 독점적인 Recorded Future 목록에서만 식별되었습니다.
  • 명령 및 제어 서버의 평균 수명(즉, 서버가 악성 인프라를 호스팅한 시간)은 54.8일이었습니다.
  • 가능한 경우, 2020년에 탐지된 IP 주소의 첫 번째 이벤트인 경우 리드 타임을 계산했습니다. 리드 타임은 C2 서버가 생성된 시점부터 다른 소스에서 보고되거나 탐지된 시점까지의 기간(일)을 의미합니다. 이를 통해 기록된 미래 명령 및 제어 목록에서 처음 목격된 것과 다른 출처에서 목격된 것을 비교하여 리드 타임이 생성된 924개의 서버를 식별했습니다. 오픈 소스에서 IP 주소가 발견되기까지 평균 61일의 리드 타임이 소요되었습니다.
  • 레코디드 퓨처가 관찰한 C2의 33%는 미국에서 호스팅되었으며, 그 중 상당수가 평판이 좋은 호스팅 제공업체에서 호스팅되었기 때문에 '의심스러운' 호스팅 제공업체만 모니터링하는 것은 사각지대를 남길 수 있습니다.
  • 인프라에 가장 많은 명령 및 제어 서버를 보유한 호스팅 업체는 모두 미국에 기반을 둔 업체였습니다: Amazon, Digital Ocean, Choopa였습니다.
  • 공격적인 보안 툴을 탐지하는 것은 맞춤형 임플란트를 탐지하는 것만큼이나 중요합니다. APT 그룹의 엘리트 오퍼레이터, 사람이 운영하는 랜섬웨어 공격자, 일반 범죄자들도 레드팀과 마찬가지로 비용을 절감하기 위해 이러한 툴을 사용합니다. 탐지의 40% 이상이 오픈 소스 도구였습니다.

배경

악성 서버를 식별하는 데 걸리는 시간을 단축하면 위협을 무력화할 수 있는 사전 예방적 조치가 될 수 있습니다. 위협 행위자가 서버를 사용하려면 먼저 침해 또는 합법적인 구매를 통해 서버를 획득해야 합니다. 그런 다음 소프트웨어를 설치하고, 구성을 조정하고, 파일을 서버에 추가해야 합니다. 공격자는 패널 로그인, SSH 또는 RDP 프로토콜을 통해 액세스한 다음 포트에 멀웨어 컨트롤러를 노출하여 피해자로부터 데이터를 전송하고 감염 명령을 관리할 수 있도록 해야 합니다. 그래야만 악의적인 목적으로 서버를 사용할 수 있습니다.

그러나 공격자는 서버를 노출, 구성 및 액세스하는 과정에서 때로는 서버에 배포된 소프트웨어에, 때로는 로그인 패널을 통해, 때로는 SSL 등록 패턴을 통해 지문을 남깁니다. 이렇게 하면 피싱 이메일이 전송되거나 임플란트가 컴파일되기 전에 탐지할 수 있는 기회가 생깁니다.

마찬가지로 이러한 수집은 적에 대한 많은 것을 밝혀낼 수 있습니다. 얼마나 많은 명령 및 제어(C2) 서버가 생성되었는지 확인하면 액터의 캠페인 범위를 정량화할 수 있습니다. 이러한 데이터를 해당 제품군과 관련된 침입 보고와 비교하면 얼마나 많은 침입이 포착되는지, 그리고 잠재적으로 얼마나 많은 이벤트가 공개 영역에서 알려지지 않은 채로 남아 있는지 파악할 수 있습니다. 마지막으로, 공개 영역에서는 얻을 수 없는 새로운 지표와 인텔리전스를 제공할 수 있습니다.

위협 분석

가장 많이 관찰된 제품군은 오픈소스 또는 상용 도구가 주를 이뤘습니다. 변경되지 않은 코발트 스트라이크 배포(사전 구성된 TLS 인증서, 팀 서버 관리 포트 또는 텔테일 HTTP 헤더)가 탐지된 비율은 전체 식별된 C2 서버의 13.5%를 차지했습니다. 레코디드 퓨처가 확인한 다른 상위 오픈 소스 명령 및 제어 서버로는 메타스플로잇과 퓨피랫이 있습니다.

2020-적대적-인프라-보고서-1-1.jpg

_**그림 1**: 명령 및 제어 인프라별로 가장 많이 탐지된 멀웨어 제품군(이 수치는 분석 시점에 가동 중이던 기존 서버를 포함하며 2020년에 새로 생성된 서버는 포함하지 않음) _ _그림 1**: 명령 및 제어 인프라별 상위 탐지 멀웨어 제품군 _ _그림 1**: 명령 및 제어 인프라별 상위 탐지된 멀웨어 제품군

관찰된 C2 서버 수를 기준으로 가장 일반적인 공격 보안 도구(OST) 상위 10위에는 신규 및 기존 제품군이 포함되었습니다. 특히 레코디드 퓨처는 일반적인 탐지 메커니즘을 벗어난 393개의 코발트 스트라이크 서버를 관찰했으며, 이러한 탐지는 전체 코발트 스트라이크 사용의 일부에 불과하다고 평가합니다. PWC와 블랙베리는 페이로드가 관찰된 코발트 스트라이크 배포의 대부분이 상용 툴의 크랙 버전 또는 평가판을 사용했다는 사실을 발견했습니다.

2020-적대적-인프라-보고서-2-1.jpg

_**그림 2**: 레코디드 퓨처가 추적한 오픈 소스 멀웨어 제품군의 예(이 수치는 분석 시점에 가동 중이던 기존 서버를 포함하며 2020년에 새로 생성된 서버는 포함하지 않음) _ _그림 2**: 레코디드 퓨처가 추적한 오픈 소스 멀웨어 제품군의 예

레코디드 퓨처가 탐지한 거의 모든 OST는 APT 또는 고급 금융 행위자들과 연관되어 있습니다. 이러한 도구의 접근 및 사용의 용이성과 잠재적 어트리뷰션의 모호함이 결합되어 무단 침입과 레드팀 모두에게 매력적으로 다가옵니다. 랜섬웨어 공격자들이 이러한 프레임워크를 채택하고 있기 때문에 랜섬웨어 탐지가 우선순위가 되고 있습니다.

가장 많이 보유한 호스트(C2)

기록된 미래 C2 데이터를 통해 C2 서버에 가장 인기 있는 호스팅 제공업체를 파악할 수 있었습니다. 576개 호스팅 제공업체에서 C2 인프라를 구축한 것으로 나타났는데, 이는 6만 개가 넘는 전체 AS 제공업체 중 극히 일부에 불과합니다.

가장 많이 사용되는 ASN은 의심할 여지없이 제공업체의 규모와 관련이 있으며, 반드시 방탄 호스팅 제공업체이거나 악의적인 행동에 연루되어 있다는 것을 의미하지는 않습니다. 가장 많이 사용되는 툴링은 이중 사용으로 간주할 수 있으며, 평판이 좋은 AS 범위에서 이러한 서버의 볼륨을 늘릴 수 있습니다.

미국에서 운영되는 Amazon.com은 Recorded Future가 관찰한 ASN 중 가장 많은 C2를 호스팅했습니다. 개별 명령 및 제어 서버가 471개(약 3.8%)를 차지했습니다. Amazon.com에서 가장 일반적으로 관찰되는 제품군입니다, 는 167개의 서버가 확인된 코발트 스트라이크였습니다. 그 다음으로 규모가 큰 업체는 역시 미국에서 운영 중인 Digital Ocean이었습니다.

다른 상위 호스팅 제공업체를 차지한 미국 내 서버는 아래에서 확인할 수 있습니다. 이러한 공급업체에 Cobalt Strike 및 Metasploit 컨트롤러가 배포된 것은 과실이나 호스팅 부주의가 아니라 권한이 있는 레드팀이 클라우드 인프라에서 이러한 도구를 사용했기 때문일 가능성이 더 높습니다.

2020-적대적-인프라-보고서-3-1.jpg

_**그림 3**: 2020년 한 해 동안 가장 많은 명령 및 제어 서버를 호스팅한 호스팅 제공업체 _**그림 3**: 2020년 한 해 동안 가장 많은 명령 및 제어 서버를 호스팅한 호스팅 제공업체.

OST에서 가장 일반적으로 사용되는 ASN은 레드팀 연습과 무단 침입에 쉽게 사용할 수 있기 때문에 예측 가능성이 떨어집니다.

2020-적대적-인프라-보고서-4-1.jpg

_**그림 4**: 각 OST별 상위 호스팅 제공업체_ 원격 액세스 트로이목마(RAT)로 공개된 공개 툴링도 선호하는 호스팅 제공업체를 예측하는 데 한계가 있었습니다.

2020-적대적-인프라-보고서-5-1.jpg

_**그림 5**: 각 RAT별 상위 호스팅 제공업체 _**그림 5**: 상위 호스팅 제공업체_.

권장 사항

  • 선제적 탐지는 방어자에게 이점을 제공하여 파일 및 네트워크 기반 추가 탐지를 준비할 수 있는 시간을 제공합니다.
  • 녹화된 미래 클라이언트는 녹화된 미래 명령 및 제어 목록에서 발견된 IP 주소를 감지하여 감염을 빠르게 식별할 수 있습니다.
  • 녹화된 미래 사용자는 녹화된 미래 명령 및 제어 목록 소스를 사용하여 모든 멀웨어 엔터티를 쿼리하여 자체적으로 유사한 연구를 수행할 수 있습니다.
  • 의심스러운 행동에 대한 SIEM, 의심스러운 파일 콘텐츠에 대한 YARA, 의심스럽거나 악의적인 네트워크 트래픽에 대한 SNORT의 상관관계 검색을 통해 일반적인 오픈 소스 도구에 대한 심층적인 탐지 기능을 사용하세요.
  • 각 제품군에 대한 탐지 결과는 주요 언론의 주목을 받는 제품군 외에도 오픈 소스 도구의 사용이 증가하고 있음을 보여줍니다. 이러한 다른 제품군은 엔터프라이즈 환경에서 네트워크 및 호스트 기반 탐지에 우선순위를 두어야 합니다.
  • APT와 범죄 공격자들이 OctopusC2, Mythic, Covenant와 같이 잘 알려지지 않은 오픈 소스 툴을 채택하면서 위협 인텔리전스 실무자들이 이러한 툴의 사용을 추적하고 평가해야 할 필요성이 강조되고 있습니다.

전망

레코디드 퓨처는 내년에 최근 인기를 얻고 있는 오픈 소스 도구, 특히 Covenant, Octopus C2, Sliver, Mythic의 채택이 더욱 늘어날 것으로 예상하고 있습니다. 중 3개 도구는 그래픽 사용자 인터페이스가 있어 경험이 적은 운영자도 쉽게 사용할 있으며, 4개 도구 모두 사용법에 대한 자세한 설명서가 있습니다. 이러한 도구는 출시 후 빠르게 채택되어 레드팀과 비인가 행위자 모두에 의해 사용되었습니다. 이러한 오픈 소스 프레임워크로 인한 기대에도 불구하고, 코발트 스트라이크는 그 편재성과 유용성으로 인해 탐지 선두를 유지할 가능성이 매우 높습니다. 프레임워크의 소스 코드가 유출된 이후, 모든 측면의 위협 행위자들이 코발트 스트라이크를 더 많이 채택할 것으로 예상됩니다.

또한 탐지 방법론에 대해 자세히 설명하는 여러 출판물에도 불구하고 스파이 활동을 지향하는 공격자들은 서버 측 구성 요소를 수정할 가능성이 적을 것으로 예상합니다. 국가가 후원하는 스파이 활동에 관여하는 위협 행위자는 목표를 달성하기 위해 필요한 모든 도구를 사용합니다. 표적이 된 조직이 이미 공개된 툴로부터 네트워크를 방어할 수 없다면 위협 행위자는 새로운 기능을 추구할 동기가 거의 없습니다. 그러나 커스텀 툴링을 사용하는 금전적 동기를 가진 공격자들은 탐지 시 구성 요소를 재구성하거나(바자르백도어 및 트릭봇 공격자의 경우처럼) 완전히 새로운 툴링을 도입하는 방식으로 대응할 가능성이 매우 높습니다(FIN7의 경우로 알려져 있음).

이러한 요인으로 인해 이러한 멀웨어 제품군에 대한 보안 제어 및 완화 조치를 구현하는 것이 중요합니다. 명령 및 제어 서버를 사전에 탐지하면 사고를 예방하는 데 도움이 될 수 있지만, 피해 호스트, 경계 및 유선에서 침입 활동을 탐지하려면 심층적인 방어 접근 방식을 사용하는 것이 좋습니다.

관련