멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술
보안 업체 CrowdStrike에서, 2022년 발생한 사이버 공격의 71%가 멀웨어 없이 발생했다고 설명했다.
멀웨어가 없는 공격
(Spider 사이버 공격 단체 예시)
1. 강도 높은 정찰
공격을 실시하기 전에 먼저 표적에 대한 강도 높은 정찰을 진행한다. 공격 표적이 된 회사의 고객센터의 전화를 걸어 한 시간도 넘게 통화를 하며 내부 사정을 파악하는 등, 웹사이트나 소셜미이더에어 얻을 수 있는 정보에 없는 것들을 찾아내는 것을 목표로 정찰을 한다.
2. 특정 사용자를 공격 대상으로 지정
공격 표적이 '한 기업'에서 '한 인물'로 구체화된다. 그 인물과 음성통화를 실시해 크리덴셜이 침해 되었다고 알리고, 악성 링크를 전송해 로그인 크리덴셜과 다중인증 정보를 입력하라고 요구한다.
3. 애니데스크 계정 생성
Tails OS와 Evilginx2 도구를 이용해 애니데스크 계정을 만든다. 애니데스크는 원격 데스크톱 지원 도구 중 하나이다. 공격자가 애니데스크를 통해 접속해도, 피해 기업 입장에서는 직원이 정상적으로 업무 도구를 사용해 접속하고 있는 것 처럼 보인다.
이 외에도 DigitalOcean Droplet과 같은 도구를 일종의 가상기계처럼 활용한다. 이도 정상적인 클라우드 및 가상기계로, 수상하게 보이지 않는다.
-> 정상도구나 피해자가 이미 설치해 사용하고 있는 도구를 활용해 의심가지 않게 활동
방어방법
멀웨어가 없어 엔드포인트 탐지 도구나 최신 멀웨어 탐지 도구는 소용이 없다.
대신 엔드포인트에서부터 클라우드와 관리자 아이덴티티에 이르기까지 가능한 모든 텔레메트리 정보를 수집해 정상적이지 않은 부분을 찾아낸다.
이 작업의 단점은 업무량이 지나치게 늘어난다는 점이다. 해서 인공지능이나 머신러닝을 기반으로 한 도구를 활용하는게 중요하다.
방대한 데이터 속에서 은밀하게 생성된 계정, 수상한 시간에 이상한 주기로 접속하는 직원 등을 찾는 기술이 필요하다.
또한 다중인증 시스템을 유지하는게 중요하다.
+++
Tails OS: 익명성 기능에 특화된 데비안 계열의 리눅스 운영체제
Evilginx2: 오픈소스 피싱 프레임워크
AnyDesk : 독일의 원격 데스크톱 애플리케이션. 호스트 애플리케이션을 실행하는 개인컴퓨터와 기차 장치들에 플랫폼 독립적인 원격 접근을 제공한다. 원격제어, 파일전송 VPN기능을 제공한다.
관련해서 프로젝트를 하면 좋을 것 같다. 확실히 인공지능을 통한 보안은 앞으로 더더욱 중요해질 것 같다. 인공지능 공부 열심히 하자,,, ^,^
방대한 데이터 속에서 어떤 점이 수상하게 보일까? 우선 계정 생성을 제일 중요하게 보는 게 좋을 것 같다. 주기적인 접속 시도,, 또 뭐가 있을까?? 네트워크 내 데이터를 분석해 업무시간이 아닌 시간에 주기적으로 사내 프로그램에 접속한 흔적을 보고, 자동적으로 다중인증 재인증을 보내는 시스템을 만들 수 있을까?!
전에도 다중인증 시스템에 대한 뉴스를 읽은 적이 있는데, 다중인증은 이제 필수적인 것 같다!
출처
https://www.boannews.com/media/view.asp?idx=117673
보안뉴스 문정후 기자님
