APT대응_웹센스_TRITON
Download
Report
Transcript APT대응_웹센스_TRITON
We Can Prove IT!
로얄 베이비:
왕위 계승 서열 3위, 위협 유인으로서 서열 1위!
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
© 2013 Websense, Inc.
Page 1
知彼知己 百戰不殆 - 해커의 공격 방법
로얄 베이비: 왕위 계승 서열 3위, 위협 미끼로서 서열 1위!
정찰
누구나 대상
사람의 관심을
끄는 새로운
이야기를 활용
(로얄 베이비)
유인
리다이렉트
한 시간 동안에
웹센스
ThreatSeeker는
동일 제목으로된
60,000개 이상의
이메일 유인 발견:
해킹된 웹사이트의
좋은 평판을
악용하여
숨겨진 난독화된
악성 코드가
삽입되거나
조작된 합법적인
웹사이트를
대상으로
리다이렉트
“로얄 베이비:
라이브 업데이트”
모든 링크는
악의적인 웹으로
연결
취약점 공격 킷
드로퍼 파일
블랙홀 취약점 공격 3개의 알려진
킷(Blackhole
악의적인 사이트와
Exploit Kit) 과 함께 통신
플래시 업데이트
바이러스
토탈(Virus Total)은
다음과 같은 AV
탐지율을 보여줌:
1/39, 1/39, 4/19.
cmd.exe 생성
데이터 유출
콜홈
다수의 C&C 통신
개인식별정보
유출(PII)
유출된 상세한
개인 정보들은 더
많은 피해 공격의
전조
AV 로는 보호가
제공되지 못함
다른 캠페인들도
감지
© 2013 Websense, Inc.
http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx
Page 2
1 단계: 정찰
정찰
누구나 대상
사람의 관심을
끄는 새로운
이야기를 활용
(로얄 베이비)
© 2013 Websense, Inc.
• 캠브리지 공작과 공작
부인은 7월 23일에 태어난
장래 영국 왕위를 승계할
남자 아기의 자랑스러운
부모가 되었다.
• 그들이 가족의 기쁨에
빠져 있는 동안, 사이버
범죄자들은 뉴스에
편승하여 다양한 악의적인
캠페인을 제공하기 바빴다.
Page 3
2 단계: 유인
이메일 유인: URL 리다이렉트 링크 제공
미끼
한 시간 동안에
웹센스
ThreatSeeker는
동일 제목으로된
60,000개 이상의
이메일 유인 발견:
“로얄 베이비:
라이브 업데이트”
모든 링크는
악의적인 웹으로
연결
이메일 유인 : 악의적인 첨부 파일 ...
다른 캠페인들도
감지
© 2013 Websense, Inc.
Page 4
3 단계: 리다이렉트
사이트는 희생자를 속여서 가짜 어도비 플래시 플레이어
업데이트를 설치하도록 사회적 공학 방법을 이용하였다.
리다이렉트
해킹된 웹사이트의
좋은 평판을
악용하여
숨겨진 난독화된
악성 코드가
삽입되거나
조작된 합법적인
웹사이트를
대상으로
리다이렉트
© 2013 Websense, Inc.
Page 5
4 단계: 취약점 공격 킷(Exploit Kit)
취약점 공격 킷
블랙홀 취약점 공격
킷(Blackhole
Exploit Kit) 과 함께
플래시 업데이트
© 2013 Websense, Inc.
Page 6
5 단계: 드로퍼 파일
• 취약점 공격이 성공적으로 수행되면, 드로퍼 파일 및/또는
다운로더 파일이 희생자의 PC안에 추가 악성 페이로드의
설치에 사용된다.
드로퍼 파일
3개의 알려진
악의적인 사이트와
통신
바이러스
토탈(Virus Total)은
다음과 같은 AV
탐지율을 보여줌:
1/39, 1/39, 4/19.
cmd.exe 생성
AV 로는 보호가
제공되지 못함
© 2013 Websense, Inc.
Page 7
6 & 7 단계: 콜 홈 & 데이터 유출
콜홈
다수의 C&C 통신
데이터 도난
개인식별정보
유출(PII)
유출된 상세한
개인 정보들은 더
많은 피해 공격의
전조
© 2013 Websense, Inc.
• 일단 희생자의 컴퓨터에 악의적인 페이로드가
설치가 되면, "콜 홈(call home)" 통신을
시도하고 캠페인을 가장한 해커의 명령을
수행하기 위하여 C&C 인프라에 접속한다.
• 데이터 유출 - 개인 식별 정보(PII), 회사 기밀
데이터 또는 심지어 잠재적인 로얄 베이비
이름의 목록 등이 일반적인 공격자의 최종
목표가 된다.
Page 8
웹센스 TRITON는 당신의 비지니스를 어떻게 보호하는가?
로얄 베이비: 왕위 계승 서열 3위, 위협 유인으로서 서열 1위!
정찰
Websense
Security Labs
(WSL)과
ThreatSeeker는
범죄 커뮤니티에
대한 정찰 수행함
고객은 새로운
위협에 대한 최신
정보를 유지하는
WSL 블로그를
팔로우할 수 있음
© 2013 Websense, Inc.
유인
이메일 유인은
이메일 보안
솔루션에 의해
차단됨.
웹/소셜 미디어
유인은 웹 보안
솔루션으로 차단됨
Defensio는 웹
사이트에 게시된
웹 및 소셜 미디어
유인을 차단
리다이렉트
이메일 보안
솔루션은 클릭
시점에서의 보호를
제공하기 위하여
URL
래핑(wrapping)을
사용하여
리다이렉트 차단
웹 보안 솔루션은
Websense ACE
사용하여 악의적인
웹 리다이렉트를
차단함
취약점 공격 킷
웹 보안 솔루션은
Websense ACE
엔진을 사용하여
알려진 취약점
공격과 알려지지
않는 취약점
공격을 동시에
식별
드로퍼 파일
웹 보안 솔루션은
Websense ACE
엔진을 사용하여
알려진 드로퍼 파일
과 알려지지 않은
드로퍼 파일을 식별
ThreatScope는
샌드박스(sandbox)
분석을 수행하여
알려지지 않은
위협을 인식하기
위하여 실행 및
문서 파일의 대응
콜홈
웹 보안 솔루션은
Websense ACE
엔진을 사용하여
알려진 C&C
사이트와 알려진
C&C 프로토콜과
알려지지 않은
C&C 프로토콜을
동시에 인식
http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx
데이터 유출
ESGA는 이메일
채널에 대한 완벽한
데이터 보안 보호
기능을 제공
WSGA는 웹 채널에
대한 완벽한 데이터
보안 보호 기능을
제공
DSS는 다양한
네트워크 채널,
엔드포인트 뿐만
아니라 그 이상의
완벽한 데이터 보안
보호 기능을 제공
Page 9
APT 방어 범위: 웹센스 TRITON vs 경쟁사
정찰
© 2013 Websense, Inc.
미끼
리다이렉트
취약점 공격 킷
드로퍼 파일
콜홈
데이터 유출
Page 10
TED LEE
[email protected]
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
© 2013 Websense, Inc.
Page 11