연구(Insikt)

위협 행위자가 인터넷 서비스를 활용하여 데이터 도난을 강화하고 보안 방어를 약화시키는 방법

게시일: 2023년 8월 16일
작성자: Insikt Group

insikt-group-logo-updated-3-300x48.png

Insikt의 새로운 연구에 따르면 위협 행위자들이 정상적인 인터넷 트래픽 내에서 악의적인 활동을 숨기기 위해 Google 드라이브, OneDrive, Notion, GitHub와 같은 신뢰할 수 있는 플랫폼을 점점 더 많이 악용하는 새로운 추세가 나타나고 있습니다. 이 전술은 데이터 도난 및 운영의 효율성을 높이는 동시에 기존 방어 체계를 약화시킵니다. 지능형 지속 위협(APT) 그룹이 이 전략의 선두에 서 있으며, 덜 정교한 그룹이 그 뒤를 따르고 있습니다. 이는 위협 행위자의 혁신과 함께 진화하는 적응형 방어 전략의 필요성을 강조합니다.

이 보고서는 멀웨어 카테고리 전반에 걸쳐 합법적인 인터넷 서비스(LIS) 악용에 대한 체계적인 개요를 제공함으로써 이해의 중요한 격차를 해소합니다. 이 보고서는 위협 행위자가 누리는 이점과 방어자가 직면한 어려움으로 인해 LIS 남용이 더욱 증가할 것으로 예측합니다. 포괄적인 보고가 부족하기 때문에 추세를 명확하게 정량화하기는 어렵지만, 잘 알려진 멀웨어 군의 LIS 악용, 새로운 변종에 의한 이러한 방법의 채택, APT 그룹의 빠른 혁신은 모두 공격자 인프라에 대한 LIS 악용이 증가하는 추세를 시사합니다.

threat-actors-leverage-internet-services-to-enhance-data-theft-and-weaken-security-defenses-body.png LIS를 사용한 전체 C2 인프라 설정 개요

위협 공격자의 전술이 계속 진화함에 따라 IOC(침해 지표) 차단 및 기본 탐지와 같은 기존의 방어 방식은 그 효과가 떨어질 것입니다. 네트워크, 파일 및 로그 기반 탐지 방법을 포괄하는 다각적인 접근 방식이 제안됩니다. 또한 방어자는 잠재적으로 취약한 인터넷 서비스를 선제적으로 파악하고 공격 시뮬레이션을 수행하여 한발 앞서 나가야 합니다.

이 보고서에서 400개 이상의 멀웨어 패밀리를 분석한 결과, 25%가 LIS를 어느 정도 악용하고 있으며, 이 중 68.5%는 두 개 이상의 LIS를 악용하는 것으로 나타났습니다. 인포스틸러는 데이터 유출 목적과 인프라 설정의 용이성 때문에 LIS를 가장 많이 악용할 가능성이 높습니다(37%). 멀웨어 카테고리마다 다른 인프라 체계를 채택합니다. 구글 드라이브와 같은 클라우드 스토리지 플랫폼이 가장 많이 악용되고 있으며, 텔레그램이나 디스코드와 같은 메시징 앱이 그 뒤를 잇고 있습니다.

단기적으로, 방어자는 자신의 환경 내에서 사용되지는 않지만 악의적으로 사용되는 것으로 알려진 LIS를 식별하고 차단하는 것이 좋습니다. 장기적인 보안을 위해 조직은 특정 서비스의 합법적인 사용과 악의적인 사용을 모두 이해하는 데 리소스를 투자해야 합니다. 이러한 이해는 보다 효과적이고 미묘한 탐지 방법의 개발을 촉진할 것입니다. TLS 네트워크 차단과 같은 기술은 가시성 향상을 위해 관련성이 높아지고 있지만, 개인정보 보호 및 규정 준수 문제를 야기하기도 합니다.

이러한 어려움에도 불구하고 방어자는 악성 LIS 사용 차단 또는 플래그 지정, 선제적 위협 헌팅, 다양한 탐지 방법에 집중하는 등의 조치를 구현할 수 있습니다. 효과적인 탐지 메커니즘과 전반적인 보호를 위해서는 합법적인 서비스 사용과 악의적인 서비스 사용에 대한 포괄적인 이해가 중요합니다. 이 시리즈의 다음 보고서에서는 악성 인프라로 사용되는 특정 LIS 카테고리의 악용 사례에 대해 자세히 살펴볼 예정입니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

관련 뉴스 & 연구