Transcript Malware 탐지

사이버 위협 대응체계 구축
When malware talks…Damballa listens
About Damballa
Industry Innovator



2006년부터 사이버 위협 연구, 분석, 탐지에 대한 선구적인 역할 수행
미 국토안보부, 미해군 연구소, 미공군연구소, 미육군연구소 및 구글과 공동 연구 수행
6개 특허 출원 중
World-Class Customers
 Over 125 million assets protected worldwide

Global enterprise, ISP/Telco, Higher Education, Government
Premier Integration Partners

SIEM, Web Gateway, Netflow
Solutions Delivery Partners

Network Security “Health Check”, Post-Breach Investigation, Managed Service
2
World Class Customers
Financial & Legal
Services
Technology,
Research &
Science
Telcos & ISPs
Hospitality &
Entertainment
Energy &
Utility
Higher Ed
Healthcare
National Academy
of Sciences
3
Damballa® Failsafe
 1U 하드웨어 일체형
 Management Console & Sensor(s)
 Out-of-band (span or tap)
 외부행 통신, 프록시, DNS 내역을 캡쳐
및 평가하여 알려지지 않은 감염을 탐지
 악의적인 통신 차단 가능
 Management Console은 감염 자산의
정확한 식별 및 네트워크/호스트의 악의적
행위에 대한 포렌식 기능 제공 가능
4
The Problem We Solve
기업망은 언젠가는 침해 당한다.
• 언겐가는 침해 당하므로 신속히 탐지하여 대응하는 것이 매우 중요
보안팀은 항상 격무와 부족한 정보에 고생한다.
• 수백만 라인의 로그 이벤트와 잘못된 경고를 수작업으로 분석하는 현실
신속한 탐지와 빠른 대응은 필수적이다.
• 빠른 대응이란 사고발생이 자료유출로 전이되지 않는 것을 의미
“통상적으로 , 데이터 유출사고가 탐지되기 이전에 공격자는 156일 동안
기업 정보를 접근한다. ”
Trustwave’s Global Security Report 2011
5
APT 공격 대응 시나리오
 APT 공격 대응 시나리오
탐지
• 악성코드
• 감염 PC
• C&C 정보
• 신종/변종
분석
• 위협레벨
• 감염경로
대응
• 차단/격리
• 치료
• 피해유형 등
• 백신 솔루션은 악성코드의 탐지와 치료에 관심 : 알려진 악성코드에 대한 대응
• 가상 머신(Virtual Machine) & Sandbox 솔루션은 신종/변종 악성코드를 자동 분석하여
백신이 탐지 못하는 악성코드에 대한 선제적 대응 방안을 제시
• C&C 인프라의 민첩한 변화와 복잡한 구조로의 진화에 따른 차단 기술의 한계
• 신종/변종 악성코드의 지속적인 등장과 Process Injection 기법 등 최신 악성코드의
진화에 따른 치료기술의 한계
6
APT 공격 대응 시나리오
 Malware 대응의 어려움과 한계
Unknown
: 신종
악성 코드,
탐지 및
치료불가
Known
:특정 백신
업체에서
탐지 및
치료 가능
UnKnown
: 변동
악성코드,
탐지 및
치료불가
Known
:특정 백신
업체에서
탐지 및
치료 가능
시간의 변화에 따른 Malware의 변화
- AV Lab에서 신종악성코드 수집 대응
기술의 변화에 따른 Malware의 진화
- Code 변형, Noise 삽입, 컴파일러& 다양한 패킹 툴의 변화를 줌
- 자동화된 QA툴, 암호화툴, Protector툴의 등장
7
APT 공격 대응 시나리오
 C&C 탐지 및 차단의 어려움
 C&C 서버는 민첩하게 변화 하고, 복잡한 구조로 진화함
 Outbound 통신의 보안 허점 : 기존 보안 솔루션은 Inbound 통신 차단에
주력하여, 내부 사용자가 통신을 요청하는 Outbound 통신 차단 정책의 부재
 암호화된 통신에 대한 모니터링 인프라의 부재 : 터널링/SSL등
8
유출사고의 탐지를 위해서 정확한 지점의 모니터링 실시
Command-and-control (C&C) 는 데이터 유출과 타겟 공격의 핵심
명령 및 지시문 전송
Malware 업데이트/신규 기능 전송
C&C 조종
좀비PC
Command-and-Control
“명령을 기다릴 것”
“사용자 계정을 사용해서 돈을 송금.”
“새로운 악성코드를 설치할 것”
“주요 자산을 탐색할 것”
“ 기획안, 계획서, 예산서를 전송할 것…”
(C&C)
“사용자 PC 감염 성공”
“명령을 기다리겠음”
정보 자산, 기업 주요 정보
주요 정보 유출
현금 송금, 금전 거래 등
프로그램 또는 사용자 신용정보
Example… Malware: “Where is www.badguy.com”
DNS:
“www.badguy.com is at 6.6.6.6”
Malware: “6.6.6.6 – here is stolen data from the victim”
9
Advanced Malware Infection Cycle
악의적인 Command & Control
다수의 C&C 프록시/포털
Malware 업데이트
C&C 목록 업데이트
Agent 무결성 검사
원격 제어(Remote access& control)
Download Payload
Updater
Downloader
진짜 malware 설치
말웨어 업데이트
Malware agent로 동작
말웨어 설치 확인?
혹시 가짜PC는 아닌가?
과거에 설치된 적이 있는가?
Dropper(s)
Repository
Data Repository C&C Portals
개인정보 및 훔친 비밀번호
등을 암호화된 상태로 저장
Post Unpack
PC 보안기능 무력화
(백신/업데이트 비활성화)
Victim
Dropper unpacks on the
Victim machine and runs
Post Agent Install
Dropper/Installer 삭제
로그/이벤트 초기화 등
설치 내역 삭제
C&C Proxies
Malware is
updated/customized
10
Advanced Malware Infection Cycle
Damballa Failsafe는 네트워크 트래픽을 모니터하고 자산이 공격자의
통제하에 있는지 판별하기 위하여 의심스러운 행위들을 연관분석 한다.
분석 후 Malware로 인한 주요 정보 유출을 차단한다.
Updater
Downloader
Repository
Dropper(s)
C&C Portals
C&C Proxies
Victim
Dropper unpacks on the
Victim machine and runs
Malware is
updated/customized
11
Damballa® Failsafe
기업 전산 환경
DNS
Proxy
Egress
Damballa Sensor(s)
Damballa Cyber Threat Intelligence
f(x)
Deep Packet Inspection of All Internet Traffic
목적지가 수상한가?
• 의심스런 목적지, 낮은 신뢰도와 알려진 악성사이트
트래픽이 의심스러운가?
• 의심스런 컨텐츠, 실행파일, 문서파일 감시
자동화된 행위인가?
‘이상징후’의
연관분석은
감염 장비의
정확한 탐지 가능
• 인간에 의한 행위인가 S/W에 의한 자동화된 행위인가?
Damballa Failsafe는 사이버 세상의 공격자와 통신하는
좀비 PC를 탐지하여 ‘알려지지 않은’ 위협을 판별한다.
12
Identifying Criminal Communication
Behaviors Seen & Benefits
DNS
C&C Location
Recursive
Victim
악의적인 DNS 질의
Fast-fluxing detection
신규 도메인 질의
감염 PC 판별
DNS
Authoritative
외부행에 우선 탐지 가능
DNS 질의 차단
Configuration File
Firewall
Dynamic Generation
Algorithm (DGA)
Egress
C&C
Criminal Server
TCP/IP Session
Proxy
Behaviors Seen & Benefits
C&C 연결 시도/성공
URI 판별 (incl. HTTPS)
악의적인 파일 판별 가능 (Malware)
감염PC 판별
패킷의 모든 내용 캡쳐
외부행 우선 탐지 가능
세션 차단
Filtering
Behaviors Seen & Benefits
C&C 연결 시도/성공
URI 판별 (incl. HTTPS)
악의적인 파일 판별 가능 (Malware)
감염 PC 판별
In & Out 모니터링
패킷의 모든 내용 캡쳐
Session termination
13
Identifying Zero Day Malware
1
동작중인 의심 파일 확인
2
클라우드 기반 악성행위 의심 파일 분석
Behaviors Seen & Benefits
Behaviors Seen & Benefits
초기 위협 평가/분석
제로데이 파일 수집 가능
Full malware lifecycle
네트워크&호스트 행위
백신 스캔 결과
Extensive dynamic analysis
Ongoing trace report updates
Behaviors feed Damballa Labs
동작중인 의심스러운 파일
의심스러운 파일 구조
출발지/목적지 확인
Unique victim enumeration
3
말웨어에 대한 완벽한 리포트 확인 가능
(Damballa Failsafe 콘솔)
14
Damballa® Failsafe
Victim
Egress
Proxy
DNS
DAMBALLA SENSOR
Behaviors Seen
Management Console
상호 분석 엔진
f(x)
Each ‘Behavior Seen’
contributes to
Conviction
의심가는 네트워크 행위에 대해
자동화된 수집/분석을 수행,
빠르게 위협을 구분하며
공격자의 원격조종을 차단하고
데이터 유출을 방어하기 위함
DAMBALLA MANAGEMENT CONSOLE
15
Detecting Threats on the Rise
25000
Damballa는
초기 단계의 위협과
C&C를 판별하여
즉시 대응
공격자의 통제에 있는 감염 자산 수
20000
15000
Malware는 계속 시그니처
탐지를 회피하여 활동함
malware가 탐지되기 전에
수주에서 수개월이 지나감
10000
5000
Damballa 고객들
0
Week 0
Week 1
Week 2
초기 설정
Week 3
Week 4
Week 5
Week 6
초기 시험
Week 7
Week 8
Week 9
Week 10
Week 11
공격 시작
Week 12
Week 13
Week 14
Week 15
Week 16
Week 17
Week 18
Malware가
첫번째로 발견됨
Week 19
Week 20
Malware
업데이트
Damball는 보유 지식을 활용하여 초기에 악성코드를 확인하고 대응하지만
다른 기업들은 늦게서야 위협에 대한 분석절차를 시작하게 된다.
16
Actionable Intelligence
17
Actionable Intelligence
18
Strong Points Vs. Sandbox Analysis
 악성의심코드에 대한 단순 Sandbox 결과 표시가 아닌, 실제
유해성 표시  대응방법에 대한 세부 정보 제공
 로컬분석을 통한 파일 Hash 분석, Download URL 분석,
파일구조(Packing 형태분석)
 Cloud 분석을 통해 Sandbox 결과 표시
19
Strong Points Vs. Signature Based Analysis
 단순 도메인/URL 정보에 기반한 탐지 및 차단이 아닌, DNS
정보를 기반으로 DGA, Fast flux 탐지 및 차단
 현재, C&C 탐지회피 기법으로 DGA 및 Fast Flux 기법이 많이 사용
 이와 같은 경우, 알려진 도메인 및 URL만 차단하는 Proxy 형태의
장비는 탐지가 어려움
 DGA에 의해 발생된 도메인은 아래와 같은 NX 도메인 형태임
"ann.no-ip.info","oniichan.ath.cx","fsj.servemp3.com","btwen.dyndns.tv","sina6.noip.info","sharegroundz.dyndns.org","benq1.no-ip.org","benq2.noip.org","tepch.servemp3.com","daily.getmyip.com","bt2008.podzone.net",
"hyh421120.podzone.net","bt.servep2p.com","nge678d.serveftp.com","tr
uth.epac.to","bt002.servemp3.com","cetuam009.dyndns.ws","dodo.myvn
c.com","bqiazua12623.kicks-ass.net","bt001.servemp3.com","bt.noip.net","irza.scieron.com","bezhuanpe25.dyndns.info","canzhahu846.bol
dlygoingnowhere.org","cheqd7571.dynalias.com“……….
20
Strong Points Vs. AV Based Analysis
 악성의심 파일에 대해, 12개의 백신 이용하여 검사(Cloud
분석)
 백신의 기본적인 동작은 알려진 것만 탐지
 하나의 백신엔진에만 의존하여 탐지하는 것이 아닌, 12개의 백신을
사용하여 탐지여부 확인
 Zeroday 일 경우, Zeroday라는 표시와 함께 Sandbox 분석 정보
표시
21
Strong Points Vs. Other Solutions
 대응방법 및 우선순위에 대한 직관적인 인터페이스 제공
 각 발생 이벤트 및 자산에 대해 점수화(TCS & ARF)
 동일 이벤트에 대한 점수가 높아질 경우 해당 이벤트에 대한 점수
Update
 타사 제품의 경우 점수에 대한 기준이 없으며, 단순 나열(유해성
검증은 관리자의 몫)
22
Diagram
모니터링 포인트: Egress, Proxy, & DNS
•모든 Advanced Malware 통신 행위 탐지
• Proxy Aware HTTP(s) Activity
• Non-Proxy Aware HTTP(s) Activity
• Non-HTTP Activity (TCP / UDP)
• Malicious DNS Queries
• Domain Fluxing - Domain Generation Algorithms
(Bobax, Sinowal, Murofet/Zeus, Conficker, etc…)
•Malware 탐지
• 의심스러운 Binary 탐지
• 악성 바이너리 전송 탐지
23
Protection From The ‘Unknown’ Threat
 신속하고 자동화된 침해사고 대응 가능
• 피해자산에 대한 신속하고 정확한 확인 가능
• 자산의 위험도와 위협도에 근거한 우선 순위 대응 가능
• DNS 싱크홀 및 TCP Connection 차단으로 악의적인 통신 차단
 포괄적인 위협 대응 방안 제공
• Platform 비종속적: Windows, Linux, Apple, Android 등 모두 탐지 가능
• Leading academic research and advanced threat intelligence
 보안팀의 생산성 향상 기여
• 수백만 라인의 로그 및 잘못된 경보에 대한 수작업 분석 불필요
• 증거에 대한 자동화된 포렌식/분석 등 감사 증적 정보 생성
- 감염, 위협, 위험 등을 자동으로 판별
- 실제 침해대응에 활용가능한 정보를 제공
• 보안팀은 정책 개선 및 위협 방어에 업무역량 집중이 가능해짐
24