연구(Insikt)

Your Organization’s Network Access Is King: Here’s What to Do About It Report

게시일: 2019년 10월 30일
작성자: Insikt Group

insikt-group-logo-updated-2.png

Click Here 를 클릭하여 전체 분석 내용을 PDF로 다운로드하세요.

Insikt Group used the Recorded FutureⓇ Platform to provide deeper insight into the monetization mechanisms for unauthorized access, and lay out extensive risk mitigation strategies for combating unauthorized access by using security intelligence. This report will be of interest to enterprises concerned with unauthorized access and corresponding methodologies for reducing risk.

Executive Summary

Historically, pay-per-install (PPI) services were the primary monetization route in the underground economy (UE) for commodity botnet operators. While botnets continue to feed PPI services, Recorded Future’s data reveals that offerings of unauthorized access are increasing, driven by larger monetization opportunities via direct sales or auctions in underground forums.

인식트 그룹은 레코디드 퓨처 분석을 기반으로 UE에서 직접 무단 액세스에 대한 수요가 계속 증가하여 기회주의적 표적 공격이 확대될 것으로 중간 정도의 확신을 가지고 평가합니다. UE 내 포럼에서 판매 및 경매를 관찰하고 위협 행위자들과 소통한 결과, Insikt Group은 초기 무단 액세스(지하 포럼에서 판매)가 주로 피싱, 인증정보 재사용, 웹 셸 배치 또는 잘못 구성되거나 취약한 소프트웨어의 악용을 통해 이루어진다고 평가합니다.

주요 판단

  • 설치당 과금(PPI) 서비스 광고와 무단 액세스 직접 판매 광고는 2017년에 3배 이상 증가했으며, 시간이 지남에 따라 계속 증가하고 있습니다.

  • 마찬가지로 2017년에는 PPI 서비스 및 무단 액세스를 광고하는 고유 모니커의 수가 3배 이상 증가했으며, 매년 증가 추세에 있습니다.

  • 매년 증가하는 무단 접속 판매 건수를 보면 범죄 행위자들은 개별 판매 또는 경매를 통해 다른 범죄 행위자에게 판매하여 수익을 극대화할 것이라는 결론을 내렸습니다.

  • 공공 부문과 기업 조직은 특정 무단 네트워크 액세스에 대한 수요를 충족시키려는 공격자가 늘어나면서 표적 공격과 기회주의적 공격이 증가할 가능성이 높습니다.

  • 정보 보안 실무자는 피싱, 인증정보 재사용, 웹 셸 배치, 알려진 소프트웨어 취약점 악용 등 초기 무단 액세스를 위한 네 가지 주요 메커니즘을 예방하고 탐지하는 데 집중해야 합니다.

surveying_the_underground-1.jpg

배경

지하경제(UE)는 범죄 상품과 서비스의 구매, 판매, 거래를 용이하게 하는 온라인 행위자와 기술의 총체입니다. UE는 수익을 극대화하고 기소를 피하기 위해 지속적으로 혁신하고 발전해 왔습니다. 역사적으로 UE의 대부분은 도난당한 결제 카드 데이터를 획득하고 수익을 창출하는 데 집중했지만, 2007년 제우스와 같은 다양한 기능을 갖춘 HTTP 기반 봇넷이 등장하면서 설치당 지불(PPI)이라는 인기 있는 가내수공업이 탄생했습니다.

network-access-analysis-1-2.png

설치당 과금(PPI) 생태계.

PPI는 구매자가 멀웨어 페이로드 및/또는 기타 잠재적으로 원치 않는 애플리케이션(PUA)을 설치하기 위해 피해자 컴퓨터에 대한 무단 액세스 비용을 지불하는 자동화된 플랫폼에 의존합니다. 침해된 각 컴퓨터에 부과되는 가격은 일반적으로 피해 컴퓨터가 위치한 국가의 구매자 수요에 따라 달라집니다. PPI 플랫폼(제휴 네트워크라고도 함)은 대규모 감염(봇넷 또는 익스플로잇 킷) 수익 창출을 위한 자연스러운 제3자 통로입니다. PPI 모델은 간단하지만, PPI 플랫폼을 사용하면 의도적으로 부정확한 설치 통계로 인해 봇넷 운영자에게 위험을 초래하여 PPI 플랫폼 소유자의 수익을 증가시킬 수 있습니다.

Similarly, PPI platforms are convenient mechanisms for buyers to quickly access large amounts of compromised computers and install further payloads, such as banking trojans, ransomware, adware, or spyware. The PPI model treats all infections/compromises as a generic commodity, regardless of victim organization — government, corporate, or residential. Traditionally, the only price differentiator is geography.

network-access-analysis-2-1.png

범죄 언더그라운드에서 설치당 과금(PPI) 서비스 광고. (출처: 레코딩된 미래)

반대로 UE 액터들은 특정 유형의 시스템에 대한 무단 액세스가 수익화 잠재력을 높일 수 있다는 점을 인식하고 있습니다. 액터들은 UE 포럼을 통해 무단 액세스를 직접 판매(또는 경매)하는데, 이는 더 많은 시간과 인내가 필요할 수 있지만 상품 PPI 서비스보다 수익성이 더 높습니다.

수익화 잠재력의 차이는 극명합니다. 1,000대의 디바이스에 멀웨어를 설치할 수 있는 공격자는 감염된 호스트의 지리적 위치에 따라 감염당 0.05달러에서 0.20달러의 PPI 서비스 비용을 지불할 것으로 예상할 수 있습니다(감염된 호스트의 지리적 위치에 따라 다름). 이 범위의 최상위권에서도 일일 PPI 수익은 200달러(월 6,000달러)입니다. 이 모델은 감염이 발생하는 위치에 관계없이 모든 감염을 일반 상품으로 취급합니다.

반대로, 하나의 시스템 또는 네트워크(주로 유명 브랜드 기업이나 정부 기관)에 대한 액세스 권한을 직접 판매하거나 경매를 통해 수익을 극대화할 수 있습니다. 예를 들어, Fxmsp Group은 무단 액세스를 많이 판매하는 업체로, 한 조직에 대한 액세스 권한으로 2만 달러를 확보하는 경우가 많습니다.

network-access-analysis-3-1.png

특정 네트워크 액세스를 더 높은 가격대에 판매합니다. (출처: 레코딩된 미래)

위협 분석

PPI 및 무단 액세스 광고 증가

Recorded Future’s historical UE data demonstrates a year-over-year increase, beginning in 2016, in both PPI and unauthorized access advertising. The charts below illustrate the increasing advertising trends, which we expect to continue through 2019 (this year’s data was measured in August). The metrics are consistent when measured by advertisement content, and also when measured by unique author moniker.

To collect data on underground forum references and authors, Insikt Group constructed queries for mentions of “PPI” and “unauthorized access” on the Recorded Future platform. The queries were conducted based on common entities surrounding sales of either PPI or unauthorized access into systems, as well as text matches for various sales terms in multiple languages. False positives were culled from the data set by altering existing queries. For example, sales language for “access to” card verification values were a common false positive in multiple queries. Thus, queries were altered to deliberately exclude those references.

network-access-analysis-4-1.png

무단 액세스 쿼리 예시. (출처: 레코딩된 미래)

network-access-analysis-5-1.png

PPI 영어 쿼리 예제. (출처: 레코딩된 미래)

또한 인식트 그룹은 오탐을 최대한 줄이면서 PPI 또는 무단 액세스를 언급하는 행위자의 수를 계산하기 위해 여러 포럼에서 작성자 이름을 자동으로 집계하는 작업을 수행했습니다. 사전에서 흔히 볼 수 있는 단어가 아닌 5글자 이상의 유사한 작성자 닉네임과 여러 포럼에서 PPI 또는 무단 액세스에 대해서만 게시한 게시물이 집계되었습니다. 집계된 별명 중 일부는 실제로 동일한 행위자가 아닐 수도 있지만, 인식트 그룹은 중복된 행위자 별명 및 콘텐츠를 기반으로 대부분의 별명이 진성인 것으로 중간 정도의 확신을 가지고 평가했습니다. 또한 허위 중복이 더 이상 계산되지 않기 때문에 데이터 세트는 무단 액세스 판매 게시물 대비 실제 PPI 수의 잠재적 하한을 나타냅니다.

network-access-analysis-6-2.png

범죄 지하 포럼에서 무단 액세스 또는 PPI를 언급한 연도별 작성자 수입니다.

데이터를 기반으로 2014년 1월부터 2019년 9월까지 언더그라운드 포럼에서 무단 접근과 PPI를 언급한 작성자 수를 추출할 수 있었습니다. PPI와 무단 액세스를 광고하는 고유 모니커가 크게 증가하고 있으며, 2019년 1월부터 9월까지의 작성자 수는 비슷한 9개월 동안의 전년도 작성자 수와 비슷한 수준입니다.

network-access-analysis-7-2.png

범죄 지하 포럼에서 무단 액세스 또는 PPI를 언급하는 연도별 게시물 수입니다.

마찬가지로 인식트 그룹은 2014년 1월부터 2019년 9월까지 언더그라운드 포럼에서 무단 액세스 및 PPI와 관련된 게시물을 수집했습니다. 또한 데이터에 따르면 PPI 광고와 무단 접속 광고의 수가 꾸준히 증가하고 있는 것으로 나타났습니다.

중요한 글로벌 액세스

Based on Recorded Future collection of unauthorized access advertised in forums, Insikt Group assesses with medium confidence that targeting is largely focused on the public sector and/or private sector enterprises, impacting organizations globally. Since Insikt’s previous reporting on a Russian-speaking criminal selling unauthorized access to the U.S. Election Assistance Commission (EAC) in December 2016, Insikt Group has been regularly monitoring the sales of unauthorized access on the criminal underground. The following are a selection of notable sales or auctions based on the level of access being advertised and the potential for negative organizational impact. The access advertised by most actors are regularly vague and do not contain the specific names of victim organizations.

Analysis of the sales posts below, threat actor engagement, and analysis of unauthorized access auctions conducted by Insikt Group over the last four years, allows Insikt Group to assess with medium confidence that the following four attack vectors are — in no particular order of importance — the primary methods used to accomplish initial unauthorized access.

  • 피싱(Phishing)

  • 자격증명 재사용

  • 웹 셸 배치

  • 알려진 소프트웨어 취약점 악용

날짜 배우 액세스
2016년 12월 라스푸틴 미국 선거 지원 위원회(EAC)
2017년 10월 A_violent_god 200만 명의 독자를 보유한 미국 뉴스 웹사이트
2017년 12월 Kindunkind 540개의 미국 미디어 회사 웹 셸과 15개의 EU 미디어 리소스 관리자 패널($22,000)
2018년 5월 마클라우드 모스크바 경찰 교통 데이터베이스($25,000)
2018년 12월 Zifus 이탈리아 전자 상거래 웹 셸 300개($3,000)
2019년 1월 텅스텐 아시아 이커머스 웹사이트($10,000)
2019년 3월 asadi64 미국 대형 석유 회사에 대한 원격 데스크톱 프로토콜(RDP) 액세스
2019년 3월 BigPetya (Fxmsp) 아시아 자동차 제조업체
2019년 4월 vestl 미국 9개 호텔의 22개 컴퓨터에 대한 VNC 액세스
2019년 4월 Aaaakkkka Italian bank’s internal loan computer ($2K)
2019년 5월 마크폴로 무기 공장에 대한 웹 셸 액세스
2019년 6월 트루니거 이탈리아 지자체에 대한 관리 권한이 있는 RDP 액세스
2019년 6월 스틸러스 뉴질랜드 투자 회사의 고객 관계 관리(CRM) 시스템($10,000)
2019년 6월 AD0 국제 온라인 소매업체의 기업 네트워크($25,000)
2019년 6월 Aaaakkkka Sells access to an unspecified power company’s server ($600)
2019년 8월 보안관 호주의 대형 상업용 건설 회사의 데이터베이스에 대한 관리자 액세스($12,000)
2019년 8월 B.Wanted 20개의 루이지애나 의료 클리닉에 있는 19,000대의 PC를 포함하는 네트워크에 대한 도메인 관리자 권한
2019년 8월 bc.monster U.S. energy corporation’s network
2019년 8월 존 셔록, 인포쉘 다국적 의료 회사의 네트워크에 대한 SSH(보안 셸) 액세스
2019년 8월 -TMT- 브라질 대형 마트 체인의 네트워크에 대한 관리자 액세스
2019년 8월 VincentVega 중국 대형 금융 회사(5BTC)
2019년 9월 카타바샤 뉴질랜드 총기 및 탄약 액세서리 이커머스 사이트
2019년 9월 안토니 모리콘, (Fxmsp) 10개의 도메인 컨트롤러를 포함한 독일 장식 조명 회사의 기업 네트워크
2019년 9월 유벤투스1 아시아 항공사의 관리 웹 패널
2019년 9월 Gabrie1 미국 석유 및 가스 탐사 회사의 네트워크(1,000대 이상의 컴퓨터 포함)($24,000)
2019년 9월 0x4C37 트래픽이 많은 안티바이러스 웹사이트($8,000)

 

Selection of unauthorized access auctions and sales. (2016–2019)

2명의 무단 액세스 판매자 프로파일링: VincentVega 및 Fxmsp

다음 두 가지 사례 연구는 타겟팅 및 기회주의적 액세스의 수익화 잠재력을 보여줍니다.

VincentVega

VincentVega, a member of a high-profile, Russian-language criminal underground forum, is a prime example of an actor taking advantage of opportunistic access. The actor had gained access to one of China’s largest investment banks and security companies (2015 reported revenue of 37.6 billion RMB) by brute-forcing RDP in an untargeted manner on internet-facing systems.

network-access-analysis-8-1.png

VincentVega advertising access to a Chinese company’s internal network. (Source: Recorded Future)

In August 2019, VincentVega advertised external remote access to a large Chinese company’s local network for five Bitcoin. In their post, the actor claimed that they had initially accessed the network by brute-forcing IPs with RDP access. They claimed that the local network contains 20,000 working local IPs, approximately 865 of which have RDP access, while 500 of the victim hosts also have administrator access. In their post, they claimed to be selling the access because, while they understood that the access is valuable, they did not know how to monetize it.

Because of these admitted unknowns, Insikt Group assesses with high confidence that VincentVega, in an untargeted attempt to find IPs with poorly password-protected RDP services, stumbled upon the company. However, once within the company’s network itself, the actor realized that, based on the size and functionality of the network, there were multiple ways to monetize and sell access to the network itself.

Fxmsp 그룹

반면에 Fxmsp 그룹은 조직이 어떻게 대규모로 무단 침입을 수행하여 막대한 수익을 창출할 수 있는지 명확하게 보여줍니다. 이 그룹은 러시아어와 영어를 사용하는 사이버 범죄 집단으로 금융, 전자상거래, 산업 조직, 정부 기관 등 다양한 글로벌 피해자를 대상으로 무단 네트워크 액세스를 표적으로 삼아 판매합니다. Fxmsp 그룹은 다른 사이버 범죄자에게 재판매할 목적으로 네트워크를 대량으로 손상시키는 경우가 많습니다. 2017년부터 Fxmsp 그룹은 글로벌 기업 및 정부 네트워크를 손상시킨 후 수백 달러에서 10만 달러가 넘는 금액에 무단 액세스를 판매했습니다.

network-access-analysis-9-1.png

다양한 조직에 속한 네트워크에 대한 액세스 권한을 판매하는 Fxmsp Group의 Nikolay의 게시물입니다.

Fxmsp Group displays patience and coordination among team members. The actor using the moniker “Fxmsp” is charged with compromising networks, while the actors using the monikers “Lampeduza,” “Antony Moricone,” “Nikolay,” “BigPetya,” and others are responsible for maximizing unauthorized access monetization.

저희는 Fxmsp 그룹이 더 많은 구매자 풀을 대상으로 판매 스레드 또는 경매를 준공개적으로 생성하기 전에 개인 연락처 네트워크를 통해 무단 액세스를 통해 수익을 창출하려고 시도하는 것으로 중간 정도의 확신을 가지고 평가합니다. 이는 Fxmsp 그룹이 시작한 포럼 경매가 특정 시점에 Fxmsp 그룹이 수익을 창출하려고 시도하는 무단 액세스 중 일부에 불과하다는 것을 시사합니다.

전망

당사는 무단 액세스 및 피해자가 인지되는 직접 판매의 규모가 당분간 계속 증가할 것이라고 높은 확신을 가지고 평가합니다. 멀웨어 관련 PPI 제휴 서비스는 UE 내에서 범죄적 가치를 계속 제공하겠지만, 멀웨어 감염은 기회주의적이고 표적화된 무단 액세스보다 PPI 시스템에서 수익성이 떨어집니다.

정보 보안 전문가는 피싱, 인증정보 재사용, 웹 셸 배치, 취약점 악용 등 초기 무단 액세스를 설정하는 다음 네 가지 주요 방법에 대한 내부 사전 탐지 노력과 함께 예방 모범 사례를 구현하고 검토하는 데 집중해야 합니다.

위험 완화

보안 인텔리전스는 위협 헌팅 방법론을 통해 초기 무단 액세스를 신속하게 탐지하는 데 필요합니다. 이러한 방법론은 운영 실무자가 적의 전술과 내부 네트워크 환경에 대한 지식이 증가함에 따라 시간이 지남에 따라 발전해야 합니다. 새로운 방법론은 자동화/오케스트레이션(SOAR) 워크플로우를 통해 지속적인 헌팅 구현으로 이어져야 합니다. 이 섹션에서는 인식트 그룹에서 발견한 네 가지 주요 초기 액세스 방법론에 대한 완화 권장 사항을 제공합니다.

피싱(Phishing)

For example, reviewing email content and attachments quarantined by an email security gateway provides basic awareness of adversary tactics that have previously failed, while also presenting valuable examples where derivative technique modifications may succeed in the future. An email security appliance may be configured to block specific inbound file attachments1 (for example, “hta” — HTML executable), but it fails to block malicious email containing third-party website links.

Thus, the focus of a phishing hunting methodology would in this case entail identifying new domains likely to be used for phishing (email body content) based on the domain’s lexical proximity to prolific cloud provider domains (such as DocuSign, Google mail services, Microsoft Office365, Amazon storage, etc). Security intelligence provides new domain candidates which should then be used for improving email security gateway content inspection and detection in DNS telemetry or web proxy appliance resolution.

network-access-analysis-10-1.png

새로운 피싱 도메인을 식별하기 위해 미래 쿼리를 기록했습니다.

자격증명 재사용

자산 관리에 주의를 기울이고 멀티팩터 인증 없이 애플리케이션을 실행하는 인터넷 연결 시스템을 제거하면 자격증명 재사용을 방지할 수 있으며, RDP의 경우 무차별 대입 공격도 예방할 수 있습니다. 보안 인텔리전스는 주로 데이터베이스 침해로 인해 손상된 자격 증명을 드러내어 공격자의 자격 증명 재사용 위험을 줄여줍니다. 해당 SOAR 워크플로에서는 새로 검색된 자격 증명 집합과 일치하는 사용자를 찾기 위해 Active Directory를 검색해야 합니다. 자격증명 집합에서 유효한 사용자를 찾을 때마다 비밀번호 재설정이 시작됩니다.

웹 셸 배치

공격자는 일반적으로 소프트웨어 취약점이나 잘못된 구성을 통해 웹 서버에 웹 셸을 설치합니다. 웹 셸은 종종 웹 애플리케이션 방화벽(WAF)을 우회하여 하나 이상의 웹 서버에서 장기간 지속될 수 있습니다. 공격자는 웹 셸을 사용하여 정보 리소스를 악용하거나 추가 시스템에 대한 무단 액세스를 얻습니다. 보안 인텔리전스는 웹 쉘 헌팅의 중요한 구성 요소로, 새로운 웹 쉘을 지속적으로 식별하고 관련 기능을 평가해야 합니다. 예를 들어, 구형 웹 셸은 네트워크 원격 분석에서 쉽게 식별할 수 있는 기본, 형식 또는 다이제스트 HTTP 인증을 사용합니다(Zeek는 네트워크 프로토콜 구문 분석 및 분석을 위한 유용한 오픈 소스 도구입니다).

또한 YARA 규칙은 파일 조건(일반적으로 문자열)을 기반으로 특정 웹 셸을 식별하는 또 다른 오픈 소스 리소스입니다.

network-access-analysis-11-1.png

새 웹 셸을 표시합니다. (출처: 레코딩된 미래)

알려진 소프트웨어 취약점 악용하기

Continuous patching prioritization and execution in an enterprise environment is challenging, but security intelligence can help by originating new pre-NVD vulnerabilities and enriching existing vulnerabilities, particularly with evidence of “in the wild” exploitation.

network-access-analysis-12-1.png

Additional vulnerability context provided by Recorded Future Intelligence Cards™. (Source: Recorded Future)

각주

관련 뉴스 & 연구