APT 지능형 지속 공격

APT(Advanced Persistent Threat) 지능형 지속 공격

오랜 기간에 걸친 지속적인 해킹 시도를 통해 개인정보와 같은 중요한 데이터를 유출하는 형태의 공격

주된 목표: 민감한 정보를 획득하여 전략적 우위를 점하는 것

• 예시 국내에서 벌어진 게임업체, 은행권, 온라인 쇼핑몰 등의 개인정보 유출 피해 사례의 대부분이 APT 공격과 관련돼 있다는 점에서 그 위험성을 실감할 수 있다. 2016년 최악의 악성코드로 등극했던 랜섬웨어도 APT 공격의 형태를 띠기 시작했다. 과거에는 서버를 해킹해 대량으로 악성코드를 유포하는 방식이었다면, 최근에는 특정 기업을 타깃으로 삼고 의사결정권을 가진 특정인의 PC를 탈취해 악성코드를 배포하는 형태로 진화한 것이다.
  

특징

• 특정 공격 대상 및 명확한 목적 주로 중요한 디지털 자산을 가진 정부나 연구 기관등을 목표로 한다. (주요 타겟: 교육, 금융, 하이테크, 정부, 컨설팅 회사, …)

  • 기존의 해킹 공격: 최소한의 노력으로 최대한의 효과를 얻기 위해 가능한 다양한 대상을 공격

  • APT 공격: 오직 특정한 대상만으로 목표로 하여 공격의 범위가 제한되어 있다.

    주로 전략적 우위를 점하거나 경쟁에서 앞서나가기 위해 필요한 디지털 자산을 대상으로 함 (국가 비밀/지적 재산/거래 기밀/…)

• 조직적이고 풍부한 자원을 가진 해커집단 재정/기술적 측면에서 풍족한 자원을 가지고 있고, 이는 이런 해킹그룹의 지속적인 공격의 기반이 되어 다양한 제로 데이 취약점 및 해킹 툴에 대한 접근을 가능하게 한다. (정부의 지원을 받을 경우, 군이나 정보기관의 지원을 바탕으로 한 공격을 수행할 수도 있다)
  
• 지속적이고 반복적인 시도 시도가 실패하였을 경우에도 원하는 결과를 얻을 때까지 반복적으로 공격을 시도한다. ****전통적인 공격과는 차별화된 특징이다.
  
• 은밀한 회피형 공격 기술 해커들은 조직의 네트워크 안에서 탐지되지 않고 머물 수 있는 능력을 가지고 있으며, 목적 수행을 위한 최소한의 활동만을 수행한다. ex) APT 해커들은 패턴을 기반으로 한 (signature-based) 침입탐지시스템을 우회하기 위해 zero-day exploits을 사용하고 암호화 채널을 이용하여 통신한다. (기존의 공격방식은 일종의 smash and grab 방식으로 보안 시스템이 잘 갖춰진 조직에서는 방어자가 공격을 충분히 인지할 수 있다.)
  

수행 단계

정보 수집 → 전달 → 초기 침투 → 명령 및 제어 → 수평적 이동 → 데이터 추출

• 자세히 보기

  • 정보 수집(Reconnaissance or Information gathering)

    사회공학적 기법이나 OSINT(Open Source Intelligence gathering)이 주로 사용된다.
    

  • 전달: Exploits(malware)을 공격대상에 전달

    • 직접 전달: 웹 서버 해킹, 사회공학적 공격, 스피어 피싱
    • 간접 전달: 공격자가 신뢰하는 제3의 기관을 이용한다. ex) 목표가 되는 조직에 서버를 납품하는 업체를 해킹 후, 새로 구매될 서버에 악성코드를 심어 목표 조직의 네트워크에 침투하는 방식

  • 초기 침투

    허가되지 않은 접속을 연결하는 과정을 의미한다.
    공격자는 이전 단계에서 전달된 악성코드가 성공적으로 동작하는지 확인하고 이를 이용하여 대상 컴퓨터에 접속한다.
    

  • 명령 및 제어 단계 (Command & Control)

    최초의 접속을 획득한 후 해커는 C&C 방식을 이용해 해킹된 컴퓨터에 대한 제어를 획득한다. 이는 추가적인 네트워크 침투를 가능하게 한다.
    침입 탐지에 대응하기 위해, 해커는 다양한 합법적인 서비스와 공용 프로그램을 점진적으로 설치하여 이를 통한 공격을 수행한다.
    

  • 수평적 이동 (Lateral Movement) - 장기간

    해킹된 시스템과 C&C 서버와의 통신 채널이 성공적으로 확립되면 이를 이용해 내부 네트워크에서 공격을 확장해 나가는 단계를 의미. 목표 조직 내의 더 많은 시스템에 대한 제어를 얻게 된다.

    • (1) 내부 네트워크에 대한 정찰을 수행 → 이와 관련된 지식 습득
    • (2) 추가적인 사용자 계정 및 더 높은 권한을 가진 계정을 획득
    • (3) 목표가 되는 가치있는 디지털 자산을 식별하고 수집

    해커의 침입이 더 깊어질수록, 그들의 활동을 탐지하는 것이 어려워진다.
    

  • 데이터 추출 - 가장 중요

    주로 데이터는 암호화되고 압축되어 내부의 수송 서버(Staging Server)로 전달되고 이후 공격자의 통제 아래 외부의 서버로 전달되어진다.

    전달 과정을 숨기기 위해 공격자는 주로 SSL/TLS 같은 암호 프로토콜을 사용하며, 토르 네트워크(Tor Network, 익명 네트워크)를 통해 익명성을 확보한다.