조직의 네트워크 액세스가 왕이다: 네트워크 액세스 문제 해결 방법 보고서
전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.
인식트 그룹은 레코디드 퓨처Ⓡ 플랫폼을 사용하여 무단 액세스의 수익화 메커니즘에 대한 심층적인 인사이트를 제공하고, 보안 인텔리전스를 사용하여 무단 액세스에 대응하기 위한 광범위한 위험 완화 전략을 마련했습니다. 이 보고서는 무단 액세스와 위험 감소를 위한 대응 방법론에 관심이 있는 기업에게 유용할 것입니다.
Executive Summary
과거에는 설치당 과금 (PPI) 서비스가 상품 봇넷 운영자의 지하 경제(UE)에서 주요 수익 창출 경로였습니다. 봇넷이 PPI 서비스를 계속 공급하는 가운데, Recorded Future의 데이터에 따르면 지하 포럼에서 직접 판매 또는 경매를 통한 수익 창출 기회가 커지면서 무단 접속 제공이 증가하고 있는 것으로 나타났습니다.
인식트 그룹은 레코디드 퓨처 분석을 기반으로 UE에서 직접 무단 액세스에 대한 수요가 계속 증가하여 기회주의적 표적 공격이 확대될 것으로 중간 정도의 확신을 가지고 평가합니다. UE 내 포럼에서 판매 및 경매를 관찰하고 위협 행위자들과 소통한 결과, Insikt Group은 초기 무단 액세스(지하 포럼에서 판매)가 주로 피싱, 인증정보 재사용, 웹 셸 배치 또는 잘못 구성되거나 취약한 소프트웨어의 악용을 통해 이루어진다고 평가합니다.
주요 판단
설치당 과금(PPI) 서비스 광고와 무단 액세스 직접 판매 광고는 2017년에 3배 이상 증가했으며, 시간이 지남에 따라 계속 증가하고 있습니다.
마찬가지로 2017년에는 PPI 서비스 및 무단 액세스를 광고하는 고유 모니커의 수가 3배 이상 증가했으며, 매년 증가 추세에 있습니다.
매년 증가하는 무단 접속 판매 건수를 보면 범죄 행위자들은 개별 판매 또는 경매를 통해 다른 범죄 행위자에게 판매하여 수익을 극대화할 것이라는 결론을 내렸습니다.
공공 부문과 기업 조직은 특정 무단 네트워크 액세스에 대한 수요를 충족시키려는 공격자가 늘어나면서 표적 공격과 기회주의적 공격이 증가할 가능성이 높습니다.
정보 보안 실무자는 피싱, 인증정보 재사용, 웹 셸 배치, 알려진 소프트웨어 취약점 악용 등 초기 무단 액세스를 위한 네 가지 주요 메커니즘을 예방하고 탐지하는 데 집중해야 합니다.
배경
지하경제(UE)는 범죄 상품과 서비스의 구매, 판매, 거래를 용이하게 하는 온라인 행위자와 기술의 총체입니다. UE는 수익을 극대화하고 기소를 피하기 위해 지속적으로 혁신하고 발전해 왔습니다. 역사적으로 UE의 대부분은 도난당한 결제 카드 데이터를 획득하고 수익을 창출하는 데 집중했지만, 2007년 제우스와 같은 다양한 기능을 갖춘 HTTP 기반 봇넷이 등장하면서 설치당 지불(PPI)이라는 인기 있는 가내수공업이 탄생했습니다.
설치당 과금(PPI) 생태계.
PPI는 구매자가 멀웨어 페이로드 및/또는 기타 잠재적으로 원치 않는 애플리케이션(PUA)을 설치하기 위해 피해자 컴퓨터에 대한 무단 액세스 비용을 지불하는 자동화된 플랫폼에 의존합니다. 침해된 각 컴퓨터에 부과되는 가격은 일반적으로 피해 컴퓨터가 위치한 국가의 구매자 수요에 따라 달라집니다. PPI 플랫폼(제휴 네트워크라고도 함)은 대규모 감염(봇넷 또는 익스플로잇 킷) 수익 창출을 위한 자연스러운 제3자 통로입니다. PPI 모델은 간단하지만, PPI 플랫폼을 사용하면 의도적으로 부정확한 설치 통계로 인해 봇넷 운영자에게 위험을 초래하여 PPI 플랫폼 소유자의 수익을 증가시킬 수 있습니다.
마찬가지로 PPI 플랫폼은 구매자가 대량의 손상된 컴퓨터에 빠르게 액세스하여 뱅킹 트로이목마, 랜섬웨어, 애드웨어 또는 스파이웨어와 같은 추가 페이로드를 설치할 수 있는 편리한 메커니즘입니다. PPI 모델은 정부, 기업, 주거 등 피해자 조직에 관계없이 모든 감염/침해를 일반 상품으로 취급합니다. 전통적으로 유일한 가격 차별화 요소는 지역입니다.
범죄 언더그라운드에서 설치당 과금(PPI) 서비스 광고. (출처: 레코딩된 미래)
반대로 UE 액터들은 특정 유형의 시스템에 대한 무단 액세스가 수익화 잠재력을 높일 수 있다는 점을 인식하고 있습니다. 액터들은 UE 포럼을 통해 무단 액세스를 직접 판매(또는 경매)하는데, 이는 더 많은 시간과 인내가 필요할 수 있지만 상품 PPI 서비스보다 수익성이 더 높습니다.
수익화 잠재력의 차이는 극명합니다. 1,000대의 디바이스에 멀웨어를 설치할 수 있는 공격자는 감염된 호스트의 지리적 위치에 따라 감염당 0.05달러에서 0.20달러의 PPI 서비스 비용을 지불할 것으로 예상할 수 있습니다(감염된 호스트의 지리적 위치에 따라 다름). 이 범위의 최상위권에서도 일일 PPI 수익은 200달러(월 6,000달러)입니다. 이 모델은 감염이 발생하는 위치에 관계없이 모든 감염을 일반 상품으로 취급합니다.
반대로, 하나의 시스템 또는 네트워크(주로 유명 브랜드 기업이나 정부 기관)에 대한 액세스 권한을 직접 판매하거나 경매를 통해 수익을 극대화할 수 있습니다. 예를 들어, Fxmsp Group은 무단 액세스를 많이 판매하는 업체로, 한 조직에 대한 액세스 권한으로 2만 달러를 확보하는 경우가 많습니다.
특정 네트워크 액세스를 더 높은 가격대에 판매합니다. (출처: 레코딩된 미래)
위협 분석
PPI 및 무단 액세스 광고 증가
레코디드 퓨처의 과거 UE 데이터에 따르면 2016년부터 PPI와 무단 접속 광고 모두에서 전년 대비 증가세를 보이고 있습니다. 아래 차트는 2019년까지 계속될 것으로 예상되는 광고 증가 추세를 보여줍니다(올해 데이터는 8월에 측정한 것입니다). 광고 콘텐츠로 측정할 때와 고유한 작성자 닉네임으로 측정할 때 측정 지표는 일관성을 유지합니다.
인식트 그룹은 언더그라운드 포럼 참조 및 저자에 대한 데이터를 수집하기 위해 Recorded Future 플랫폼에서 'PPI'와 '무단 액세스'에 대한 언급 쿼리를 만들었습니다. 이 쿼리는 PPI 판매 또는 시스템에 대한 무단 액세스와 관련된 공통 실체를 기반으로 수행되었으며, 여러 언어로 된 다양한 판매 용어에 대한 텍스트 일치를 기반으로 수행되었습니다. 기존 쿼리를 변경하여 데이터 세트에서 오탐을 걸러냈습니다. 예를 들어, '액세스' 카드 인증 값에 대한 판매 언어는 여러 쿼리에서 흔히 발생하는 오탐지였습니다. 따라서 이러한 참조를 의도적으로 제외하도록 쿼리가 변경되었습니다.
무단 액세스 쿼리 예시. (출처: 레코딩된 미래)
PPI 영어 쿼리 예제. (출처: 레코딩된 미래)
또한 인식트 그룹은 오탐을 최대한 줄이면서 PPI 또는 무단 액세스를 언급하는 행위자의 수를 계산하기 위해 여러 포럼에서 작성자 이름을 자동으로 집계하는 작업을 수행했습니다. 사전에서 흔히 볼 수 있는 단어가 아닌 5글자 이상의 유사한 작성자 닉네임과 여러 포럼에서 PPI 또는 무단 액세스에 대해서만 게시한 게시물이 집계되었습니다. 집계된 별명 중 일부는 실제로 동일한 행위자가 아닐 수도 있지만, 인식트 그룹은 중복된 행위자 별명 및 콘텐츠를 기반으로 대부분의 별명이 진성인 것으로 중간 정도의 확신을 가지고 평가했습니다. 또한 허위 중복이 더 이상 계산되지 않기 때문에 데이터 세트는 무단 액세스 판매 게시물 대비 실제 PPI 수의 잠재적 하한을 나타냅니다.
범죄 지하 포럼에서 무단 액세스 또는 PPI를 언급한 연도별 작성자 수입니다.
데이터를 기반으로 2014년 1월부터 2019년 9월까지 언더그라운드 포럼에서 무단 접근과 PPI를 언급한 작성자 수를 추출할 수 있었습니다. PPI와 무단 액세스를 광고하는 고유 모니커가 크게 증가하고 있으며, 2019년 1월부터 9월까지의 작성자 수는 비슷한 9개월 동안의 전년도 작성자 수와 비슷한 수준입니다.
범죄 지하 포럼에서 무단 액세스 또는 PPI를 언급하는 연도별 게시물 수입니다.
마찬가지로 인식트 그룹은 2014년 1월부터 2019년 9월까지 언더그라운드 포럼에서 무단 액세스 및 PPI와 관련된 게시물을 수집했습니다. 또한 데이터에 따르면 PPI 광고와 무단 접속 광고의 수가 꾸준히 증가하고 있는 것으로 나타났습니다.
중요한 글로벌 액세스
인식트 그룹은 포럼에서 광고된 무단 액세스에 대한 레코디드 퓨처의 수집 자료를 바탕으로 타깃팅이 주로 공공 부문 또는 민간 부문 기업에 집중되어 전 세계 조직에 영향을 미친다고 중간 정도의 신뢰도를 가지고 평가합니다. 2016년 12월에 미국 선거 지원 위원회(EAC) 에 비인가 액세스 권한을 판매하는 러시아어권 범죄자에 대한 인식트의 이전 보고 이후, 인식트 그룹은 지하 범죄자들의 비인가 액세스 권한 판매를 정기적으로 모니터링하고 있습니다. 다음은 광고되는 액세스 수준과 조직에 부정적인 영향을 미칠 수 있는 잠재력을 기준으로 주목할 만한 판매 또는 경매를 선별한 것입니다. 대부분의 행위자가 광고하는 액세스 권한은 일반적으로 모호하며 피해 단체의 구체적인 이름이 포함되어 있지 않습니다.
아래의 판매 게시물, 위협 행위자의 참여, 지난 4년간 Insikt Group에서 수행한 무단 액세스 경매 분석을 통해 Insikt Group은 다음 네 가지 공격 벡터가 초기 무단 액세스에 사용되는 주요 방법이라는 것을 중간 정도의 확신을 가지고 평가할 수 있습니다(특별히 중요한 순서는 아님).
피싱(Phishing)
자격증명 재사용
웹 셸 배치
알려진 소프트웨어 취약점 악용
| 날짜 | 배우 | 액세스 |
|---|---|---|
| 2016년 12월 | 라스푸틴 | 미국 선거 지원 위원회(EAC) |
| 2017년 10월 | A_violent_god | 200만 명의 독자를 보유한 미국 뉴스 웹사이트 |
| 2017년 12월 | Kindunkind | 540개의 미국 미디어 회사 웹 셸과 15개의 EU 미디어 리소스 관리자 패널($22,000) |
| 2018년 5월 | 마클라우드 | 모스크바 경찰 교통 데이터베이스($25,000) |
| 2018년 12월 | Zifus | 이탈리아 전자 상거래 웹 셸 300개($3,000) |
| 2019년 1월 | 텅스텐 | 아시아 이커머스 웹사이트($10,000) |
| 2019년 3월 | asadi64 | 미국 대형 석유 회사에 대한 원격 데스크톱 프로토콜(RDP) 액세스 |
| 2019년 3월 | BigPetya (Fxmsp) | 아시아 자동차 제조업체 |
| 2019년 4월 | vestl | 미국 9개 호텔의 22개 컴퓨터에 대한 VNC 액세스 |
| 2019년 4월 | Aaaakkkka | 이탈리아 은행의 내부 대출 컴퓨터($2,000) |
| 2019년 5월 | 마크폴로 | 무기 공장에 대한 웹 셸 액세스 |
| 2019년 6월 | 트루니거 | 이탈리아 지자체에 대한 관리 권한이 있는 RDP 액세스 |
| 2019년 6월 | 스틸러스 | 뉴질랜드 투자 회사의 고객 관계 관리(CRM) 시스템($10,000) |
| 2019년 6월 | AD0 | 국제 온라인 소매업체의 기업 네트워크($25,000) |
| 2019년 6월 | Aaaakkkka | 불특정 전력 회사의 서버에 대한 액세스 권한 판매($600) |
| 2019년 8월 | 보안관 | 호주의 대형 상업용 건설 회사의 데이터베이스에 대한 관리자 액세스($12,000) |
| 2019년 8월 | B.Wanted | 20개의 루이지애나 의료 클리닉에 있는 19,000대의 PC를 포함하는 네트워크에 대한 도메인 관리자 권한 |
| 2019년 8월 | bc.monster | 미국 에너지 공기업 네트워크 |
| 2019년 8월 | 존 셔록, 인포쉘 | 다국적 의료 회사의 네트워크에 대한 SSH(보안 셸) 액세스 |
| 2019년 8월 | -TMT- | 브라질 대형 마트 체인의 네트워크에 대한 관리자 액세스 |
| 2019년 8월 | VincentVega | 중국 대형 금융 회사(5BTC) |
| 2019년 9월 | 카타바샤 | 뉴질랜드 총기 및 탄약 액세서리 이커머스 사이트 |
| 2019년 9월 | 안토니 모리콘, (Fxmsp) | 10개의 도메인 컨트롤러를 포함한 독일 장식 조명 회사의 기업 네트워크 |
| 2019년 9월 | 유벤투스1 | 아시아 항공사의 관리 웹 패널 |
| 2019년 9월 | Gabrie1 | 미국 석유 및 가스 탐사 회사의 네트워크(1,000대 이상의 컴퓨터 포함)($24,000) |
| 2019년 9월 | 0x4C37 | 트래픽이 많은 안티바이러스 웹사이트($8,000) |
무단 액세스 경매 및 판매 선택. (2016-2019)
2명의 무단 액세스 판매자 프로파일링: VincentVega 및 Fxmsp
다음 두 가지 사례 연구는 타겟팅 및 기회주의적 액세스의 수익화 잠재력을 보여줍니다.
VincentVega
러시아에서 활동하는 유명 범죄 지하 포럼의 회원인 빈센트베가는 기회주의적 접근을 이용하는 행위자의 대표적인 예입니다. 이 공격자는 중국 최대 투자 은행 및 보안 회사 중 하나(2015년 매출 376억 위안)의 인터넷 대면 시스템에서 표적화되지 않은 방식으로 RDP를 브루트포싱하여 액세스 권한을 획득했습니다.
중국 기업의 내부 네트워크에 액세스하는 빈센트베가 광고. (출처: 레코딩된 미래)
2019년 8월, 빈센트베가는 5비트코인에 중국 대기업의 현지 네트워크에 대한 외부 원격 액세스를 제공한다고 광고했습니다. 이 공격자는 게시글에서 처음에 RDP 액세스를 통해 IP를 무차별 대입하여 네트워크에 액세스했다고 주장했습니다. 그들은 로컬 네트워크에 20,000개의 작동 중인 로컬 IP가 있으며, 이 중 약 865개는 RDP 액세스 권한을 가지고 있고, 피해 호스트 중 500개는 관리자 액세스 권한도 가지고 있다고 주장했습니다. 이 게시물에서 그들은 액세스 권한이 가치가 있다는 것은 알지만 어떻게 수익을 창출할지 모르기 때문에 액세스 권한을 판매한다고 주장했습니다.
인식트 그룹은 이러한 미확인 정보로 인해 빈센트베가가 비밀번호가 제대로 보호되지 않은 RDP 서비스를 사용하는 IP를 찾아내려고 시도하다가 회사를 우연히 발견한 것이라고 높은 확신을 가지고 평가하고 있습니다. 하지만 네트워크의 규모와 기능에 따라 네트워크 자체에 대한 액세스를 수익화하고 판매할 수 있는 다양한 방법이 있다는 사실을 깨달았습니다.
Fxmsp 그룹
반면에 Fxmsp 그룹은 조직이 어떻게 대규모로 무단 침입을 수행하여 막대한 수익을 창출할 수 있는지 명확하게 보여줍니다. 이 그룹은 러시아어와 영어를 사용하는 사이버 범죄 집단으로 금융, 전자상거래, 산업 조직, 정부 기관 등 다양한 글로벌 피해자를 대상으로 무단 네트워크 액세스를 표적으로 삼아 판매합니다. Fxmsp 그룹은 다른 사이버 범죄자에게 재판매할 목적으로 네트워크를 대량으로 손상시키는 경우가 많습니다. 2017년부터 Fxmsp 그룹은 글로벌 기업 및 정부 네트워크를 손상시킨 후 수백 달러에서 10만 달러가 넘는 금액에 무단 액세스를 판매했습니다.
다양한 조직에 속한 네트워크에 대한 액세스 권한을 판매하는 Fxmsp Group의 Nikolay의 게시물입니다.
Fxmsp 그룹은 팀원들 간에 인내심과 협동심을 발휘합니다. 'Fxmsp'라는 닉네임을 사용하는 공격자는 네트워크를 손상시키는 혐의를 받고 있으며, 'Lampeduza', 'Antony Moricone', 'Nikolay', 'BigPetya' 등의 닉네임을 사용하는 공격자는 무단 액세스 수익 창출을 극대화하는 역할을 담당하고 있습니다.
저희는 Fxmsp 그룹이 더 많은 구매자 풀을 대상으로 판매 스레드 또는 경매를 준공개적으로 생성하기 전에 개인 연락처 네트워크를 통해 무단 액세스를 통해 수익을 창출하려고 시도하는 것으로 중간 정도의 확신을 가지고 평가합니다. 이는 Fxmsp 그룹이 시작한 포럼 경매가 특정 시점에 Fxmsp 그룹이 수익을 창출하려고 시도하는 무단 액세스 중 일부에 불과하다는 것을 시사합니다.
전망
당사는 무단 액세스 및 피해자가 인지되는 직접 판매의 규모가 당분간 계속 증가할 것이라고 높은 확신을 가지고 평가합니다. 멀웨어 관련 PPI 제휴 서비스는 UE 내에서 범죄적 가치를 계속 제공하겠지만, 멀웨어 감염은 기회주의적이고 표적화된 무단 액세스보다 PPI 시스템에서 수익성이 떨어집니다.
정보 보안 전문가는 피싱, 인증정보 재사용, 웹 셸 배치, 취약점 악용 등 초기 무단 액세스를 설정하는 다음 네 가지 주요 방법에 대한 내부 사전 탐지 노력과 함께 예방 모범 사례를 구현하고 검토하는 데 집중해야 합니다.
위험 완화
보안 인텔리전스는 위협 헌팅 방법론을 통해 초기 무단 액세스를 신속하게 탐지하는 데 필요합니다. 이러한 방법론은 운영 실무자가 적의 전술과 내부 네트워크 환경에 대한 지식이 증가함에 따라 시간이 지남에 따라 발전해야 합니다. 새로운 방법론은 자동화/오케스트레이션(SOAR) 워크플로우를 통해 지속적인 헌팅 구현으로 이어져야 합니다. 이 섹션에서는 인식트 그룹에서 발견한 네 가지 주요 초기 액세스 방법론에 대한 완화 권장 사항을 제공합니다.
피싱(Phishing)
예를 들어, 이메일 보안 게이트웨이에서 격리된 이메일 콘텐츠와 첨부 파일을 검토하면 이전에 실패했던 공격자의 전술에 대한 기본적인 인식을 얻을 수 있으며, 향후 파생 기술을 수정하여 성공할 수 있는 중요한 사례를 제시할 수 있습니다. 이메일 보안 어플라이언스는 특정 인바운드 파일첨부파일1 (예: "hta" - HTML 실행 파일)을 차단하도록 구성할 수 있지만 타사 웹사이트 링크가 포함된 악성 이메일은 차단하지 못합니다.
따라서 이 경우 피싱 헌팅 방법론의 초점은 피싱에 사용될 가능성이 있는 새로운 도메인(이메일 본문 콘텐츠)을 식별하는 것으로, 해당 도메인이 다량의 클라우드 제공업체 도메인(예: DocuSign, Google 메일 서비스, Microsoft Office365, Amazon 스토리지 등)과 어휘적으로 근접한지를 기준으로 합니다. 보안 인텔리전스는 DNS 원격 분석 또는 웹 프록시 어플라이언스 확인에서 이메일 보안 게이트웨이 콘텐츠 검사 및 탐지를 개선하는 데 사용해야 하는 새로운 도메인 후보를 제공합니다.
새로운 피싱 도메인을 식별하기 위해 미래 쿼리를 기록했습니다.
자격증명 재사용
자산 관리에 주의를 기울이고 멀티팩터 인증 없이 애플리케이션을 실행하는 인터넷 연결 시스템을 제거하면 자격증명 재사용을 방지할 수 있으며, RDP의 경우 무차별 대입 공격도 예방할 수 있습니다. 보안 인텔리전스는 주로 데이터베이스 침해로 인해 손상된 자격 증명을 드러내어 공격자의 자격 증명 재사용 위험을 줄여줍니다. 해당 SOAR 워크플로에서는 새로 검색된 자격 증명 집합과 일치하는 사용자를 찾기 위해 Active Directory를 검색해야 합니다. 자격증명 집합에서 유효한 사용자를 찾을 때마다 비밀번호 재설정이 시작됩니다.
웹 셸 배치
공격자는 일반적으로 소프트웨어 취약점이나 잘못된 구성을 통해 웹 서버에 웹 셸을 설치합니다. 웹 셸은 종종 웹 애플리케이션 방화벽(WAF)을 우회하여 하나 이상의 웹 서버에서 장기간 지속될 수 있습니다. 공격자는 웹 셸을 사용하여 정보 리소스를 악용하거나 추가 시스템에 대한 무단 액세스를 얻습니다. 보안 인텔리전스는 웹 쉘 헌팅의 중요한 구성 요소로, 새로운 웹 쉘을 지속적으로 식별하고 관련 기능을 평가해야 합니다. 예를 들어, 구형 웹 셸은 네트워크 원격 분석에서 쉽게 식별할 수 있는 기본, 형식 또는 다이제스트 HTTP 인증을 사용합니다(Zeek는 네트워크 프로토콜 구문 분석 및 분석을 위한 유용한 오픈 소스 도구입니다).
또한 YARA 규칙은 파일 조건(일반적으로 문자열)을 기반으로 특정 웹 셸을 식별하는 또 다른 오픈 소스 리소스입니다.
새 웹 셸을 표시합니다. (출처: 레코딩된 미래)
알려진 소프트웨어 취약점 악용하기
기업 환경에서 지속적인 패치 우선순위 지정 및 실행은 어려운 일이지만, 보안 인텔리전스는 특히 '야생에서' 악용된 증거를 통해 새로운 NVD 이전 취약점을 발견하고 기존 취약점을 보강하여 도움을 줄 수 있습니다.
기록된 미래 인텔리전스 카드에서 제공하는 추가 취약성 컨텍스트™. (출처: 레코딩된 미래)
각주
관련