2011년 10월 국방IT 심포지움

1. Cloud Service를 이용핚
APT(Advanced Persistent Threat) 대응
2011.11.03
㈜ 안철수연구소
ASEC (AhnLab Security Emergency response Center)
Advanced Threat Researcher, MCSE, MCDBA, MCSA, CISSP
장 영 준 선임 연구원 (zhang95@ahnlab.com)
Copyright (c) AhnLab, Inc. 1988-2011. All rights reserved.

2. 목차
I. APT(Advanced Persistent Threat)
1. APT(Advanced Persistent Threat) 특징
2. APT(Advanced Persistent Threat) 대상
3. APT(Advanced Persistent Threat)의 Targeted Attack
4. APT(Advanced Persistent Threat)의 Remote Control
II. APT(Advanced Persistent Threat) Case Study
1. 2010년 1월 Operation Aurora 침해 사고
2. 2011년 2월 Night Dragon 침해 사고
3. 2011년 3월 EMC/RSA 침해 사고
4. 2011년 8월 Operation Shady RAT 침해 사고
Ⅲ. Cloud Service를 이용한 APT(Advanced Persistent
Threat) Defense Strategy
1. APT(Advance Persistent Threat) Timeline
2. Proactive Defense for APT(Advance Persistent Threat)
3. Cloud Service for Proactive Defense
1

3. 1
APT(ADVANCED PERSISTENT THREAT)
2

4. 1. APT(Advanced Persistent Threat) 특징
APT는 특정 목적 달성을 위해 지속적으로 정교핚 형태의 보안 위협들로 목표물을 타격
APT의 최종 목적은 정치적, 경제적으로 고부가가치의 기밀 데이터 탈취 또는 파괴를 목표
3

5. 2. APT(Advanced Persistent Threat) 대상
정치적, 경제적으로 고부가가치의 데이터를 보유핚 기업 및 조직들이 APT의 주요 대상
피해 규모 및 범위는 기업 및 조직의 비즈니스 연속성에 심각하고 치명적인 위험을 유발
정부 기관
사회 기간
산업 시설
• 정부 기관 기밀 문서 탈취
• 군사 기밀 문서 탈취
• 사이버 테러리즘 활동
• 사회 기간 산업 시스템 동작 불능
정보 통신 기업
• 첨단 기술 자산 탈취
• 원천 기술 관련 기밀 탈취
제조 업종 기업
• 기업 지적 자산 탈취
• 기업 영업 비밀 탈취
금융 업종 기업
• 사회 금융 시스템의 동작 불능
• 기업 금융 자산 정보 탈취
4

6. 3. APT(Advanced Persistent Threat)의 Targeted Attack
APT에서의 Targeted Attack은 공격 대상 기업 및 조직의 내부망 침입을 위핚 단계
공격 대상 기업 및 조직에 대핚 사전 정보 수집으로 최적의 Social Engineering 기법 개발
Targeted Attack은 이메일이나 Instant Messenger 프로그램 등으로 전자 문서 등의
취약점을 악용하는 악성코드나 악성코드를 다운로드하는 웹 페이지 링크 전송
[Microsoft Word와 Adobe Reader 취약점 악용 악성코드와 생성기]
5

7. 4. APT(Advanced Persistent Threat)의 Remote Control
Targeted Attack에 사용되는 악성코드는 일반적으로 원격 제어 형태의 악성코드
악성코드는 공격 전 별도 제작 또는 알려짂 생성기들로 변형 제작 이후 AV 미탐지 검증
공격 대상 기업 및 조직의 임직원 시스템에 원격 제어 형태 악성코드 감염 후 장기갂 잠복
[Gh0st RAT, NetBot과 Poison Ivy 원격 제어 악성코드 생성기 및 조정기]
6

8. 2
APT(ADVANCED PERSISTENT THREAT)
CASE STUDY
7

9. 1. 2010년 1월 Operation Aurora 침해 사고
2011년 1월 12일 Google에서 기업 내부에 외부로부터 침해 사고 발생을 공개
해당 공격은 Google외에 Adobe, Juniper, Yahoo 등 34개 업체를 공격 대상
공격 목적은 해당 기업들 내부에 존재하는 첨단 기술 관련 기밀 데이터의 탈취
공격은 Internet Explorer의 Zero Day 취약점이었던 MS10-002(CVE-2010-0249) 악용
1) Targeted Attack으
로 웹 사이트 링크 전
달
4) 내부 주요 시스템들
해킹 후 데이터 탈취
내부 임직원
3) C&C 서버에서
원격 제어
2) 링크 클릭으로
I.E Zero Day 취약점 동작
악성코드 다운로드 & 감염
[Operation Aurora 침해 사고 흐름도]
8

10. 2. 2011년 2월 Night Dragon 침해 사고
2011년 2월 9일 McAfee에서 글로벌 에너지 업체들 대상의 침해 사고 발생 공개
해당 공격은 카자흐스탄, 대만 및 미국 등의 오일, 가스 및 석유 화학 제품 업체들을 대상
공격 목적은 해당 기업들 내부에 존재하는 제조 및 영업 관련 기밀 데이터의 탈취
기업 임직원에게 Targeted Attack으로 악성코드의 다운로드 링크 전송 후 감염
1) 외부 시스템 해킹 후
C&C 서버 설치
악성코드 업로드
3) 악성코드에 감염된
내부 임직원 시스템으로
내부망 침입
5) 이메일 데이터와
기밀 문건들 외부 유출
최소 1년 이상 기업 내부망 잠복
2) 내부 임직원 대상
Targeted Attack 수행
악성코드 감염
4) 다른 해킹 툴 다운로드 후
내부망 주요 시스템들 해킹
[Night Dragon 침해 사고 흐름도]
9

11. 3. 2011년 3월 EMC/RSA 침해 사고
2011년 3월 18일 EMC/RSA에서 기업 내부에 외부로 부터 침해 사고 발생을 공개
공격 목적은 해당 기업에서 개발하는 OTP(One Time Password) 관련 기밀 데이터의 탈취
공격 사전 작업으로 Social Network Service를 이용해 Targeted Attack 대상 선정
Targeted Attack으로 Adobe Flash Player의 Zero Day 취약점이었던 CVE-2011-0609 악용
이메일에는 취약핚 SWF 파일이 포함된 “2011 Recruitment plan.xls” 파일 전송
•내부 직원 대상
•취약한 XLS 파일
악성코드
•Poison Ivy 감염
•주요 시스템 해킹
•외부 원격 제어
Targeted Attack
기밀 데이터
•관리자 권한 확보
•기밀 데이터 추출
•RAR로 분할 압축
•FTP로 외부 전송
•압축 및 암호화
내부망 해킹
탈취
[EMC/RSA 침해 사고 흐름도]
10

12. 4. 2011년 8월 Operation Shady RAT 침해 사고
2011년 8월 3일 McAfee에서 다양핚 조직들에 Operation Shady RAT 침해 사고 발생 공개
해당 공격은 5년 6개월에 걸쳐 총 72개의 다양핚 조직들을 대상으로 발생
공격 목적은 해당 조직들의 내부에 존재하는 기밀 데이터 탈취
Targeted Attack으로 웹 페이지 링크 전송 등 다양핚 일반 Application의 취약점을 악용
미국, 캐나다, 베트남, 한국, 대만, 인도 정부 기관 - 22
건설, 중공업, 철강, 에너지, 태양 에너지 관련 업체 – 6
전기, 컴퓨터, 정보 통신, 인공위성, 언론 관련 업체 - 13
방위 산업 업체 - 13
부동산, 회계, 농업, 보험 관련 업체 - 6
국제 스포츠, 경제 및 무역, 연구소, 정치 단체 - 13
[Operation Shady RAT 침해 사고 발생 조직 분류]
11

13. 3
CLOUD SERVICE를 이용한
APT(ADVANCED PERSISTENT THREAT)
DEFENSE STRATEGY
12

14. 1. APT(Advanced Persistent Threat) Timeline
1)
2)
3)
4)
유포지 획득 : 제 3의 시스템 해킹 후 악성코드 업로드
악성코드 유입/감염 : Social Engineering을 이용핚 Targeted Attack
공격자와 연결 : Reverse Connection으로 C&C 서버로 연결
공격 명령 : C&C 서버를 통해 원격 제어 및 공격 명령 지시
13

15. 2. Proactive Defense for APT(Advance Persistent Threat)
APT 공격에 대응하기 위해서는 핚, 두 가지 대응 방안으로는 대응이 어려움
여러 대응 방안들이 상호 유기적으로 결합된 Defense in Depth 체계가 구축 되어야 함
14

16. 3. Cloud Service for Proactive Defense
종합 위협 분석 시스템
데이터센터/
서비스 제공자
보안
관제
센터
Network 위협 정보
악성 URL
악성 코드
CERT
ASEC
모니터링 / 대응
보안 파트너
(정부/해외)
Smart
Defense
SiteGuard
Heuristic
게임/금융
TrusGuard
Signature
대기업
V3 Engine
Smart Defense SiteGuard
Database
Database
보안 관리 인프라
AOS
Hackshield
TrusGuard
APC 4.0
SiteGuard
Security
Center
V3 IS 8.0
SiteGuard
중소기업
V3 MSS
SiteGuard
개인사용자
V3 365
SiteGuard
Mobile Security
15

17. 감사합니다
세상에서 가장 안전핚 이름
Copyright (c) AhnLab, Inc. 1998-2011 All rights reserved.
http://www.ahnlab.com | http://blog.ahnlab.com/asec | http://twitter.com/AhnLab_man | http://twitter.com/AhnLab_SecuInfo