태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 - 2011.11.12
공격자의 전략적인 측면을 살펴 봐야 한다. 지금 개별 단위 보안제품의 대응은 사실상 무장해제 상태라고 봐야 하며 공격자들은 일단 규모로서 압도를 하고 탐지 로직을 우회함으로써 무력화 시키는 상황이다.

네트워크 단위의 보안제품의 한계, 패턴 매칭을 통해 탐지를 하는 AV든 Web Firewall 이든 개별적인 대응 밖에 되지 않고 있는 상황이고 전역적인 대응은 언감생심 꿈도 꾸지 못할 상황이다.

날마다 새로이 나오는 악성코드들을 진단 하기 위해서는 악성코드의 수집이 가장 먼저여야 된다. 그동안의 수집 방법을 보면 상당부분이 사용자의 신고, 허니넷, 허니팟 등을 통해서 이루어 지고 있다. 물론 정보의 공유는 시일이 지나서 각 업체들 끼리 이루어 짐으로 시의적절성 측면에서 늦을 수 밖에 없다. 이 각각에 대해 조금 이면을 살펴보자.

  • 만약 공격자가 공격을 수행 하지 않는다면 허니넷이나 허니팟은 무용지물이 된다.  
  • 또한 사용자가 악성이라고 인식을 하는 대부분의 경우도 설치된 AV에서의 탐지를 근거로 한다. 만약 AV가 탐지 하지 못하는 악성코드라면 사용자가 인지할 방안은 없다.

  • 업체간의 정보공유도 이전과 같은 전통적인 전달 매커니즘인 디스켓, USB를 통한 악성코드의 감염은 지역별 확산에 상당한 시간차가 걸렸고 바다를 건넌다는 것도 어려웠다. 이 매커니즘이 깨진건 웜이라는 매개체를 통해서이며 이 웜 조차도 발생지 근처의 네트웍이 먼저 초토화 된 이후 다른 곳으로 확산 된다.

    웜 이후에 발생된 것은 검색엔진을 통한 특화된 공격, 파일 공유등을 통한 확산이 있었고 일정한 특징을 가지고 있었다. 그렇다면 지금은 어떨까?

간단하게 설명하고 상당부분 축약해서 위의 과정을 언급했지만 각 과정마다 언급하지 않은 많은 상세한 부분들이 있다. 그 특징들에 대해서는 지금까지의 발표자료나 본 사이트의 글들을 참고하면 일정 수준 참고가 가능하다.

지금의 공격은 말하자면 불특정 다수를 겨냥한 무차별적인 악성코드 유포이며 주된 공격 대상은 사용자의 PC에 일반적으로 설치된 써드파티 프로그램을 공격하는 코드들이다.

왜 Adobe는 시도 때도 없이 패치를 하는가? 

그 이유는 현재 사용자 PC의 90% 가량에 Flash player가 설치 되어 있기 때문이고 해외도 비율상 조금 낮은 거 이외에는 별반 차이가 없다. 공격자들은 Flash Player의 취약성을 공격하여 사용자 PC의 권한 획득을 하는 것이 가장 효율적인 방안임을 인지하고 있기 때문에  집중적인 공격을 수행한다.

또한 개별 PC를 공격하는 것이 아니라 사용자들이 방문하는 웹서비스들을 집중하여 공략 함으로써 불특정 다수에 대한 공격을 성공적으로 하고 있다. 언론사뿐 아니라 주요 커뮤니티 서비스들, 파일공유 사이트들을 직접 공격하여 웹서비스의 소스를 변경한다. ( 운영자나 개발자가 눈치 채지 못하게 암호화 하거나 기묘한 곳에 아주 짧게 넣는 것은 기본이다.)


< 웹을 통한 악성 코드 유포와 활용에 대한 컨셉>

위의 이미지와 같이 다양하게 활용 되고 있다. 이중 90% 가량은 개인정보 유출 및 백도어 활용이 가능한 용도의 악성코드를 사용자에게 감염 시키고 5% 가량은 DDos 나 Arp spoofing 행위를 보인다. 나머지 5% 가량이 지난 농협 사례와 같이 내부망으로 공격하는 용도의 악성코드라 할 수 있다. 사실은 90%의 개인정보 유출도 동일하게 활용이 가능할 뿐이다. 사용처에 대해 구분을 하자면 이 정도라는 것일뿐.


2011년 11월 12일 현재의 상황


지난 몇년간을 위험성에 대해서 언급을 했었고 개인 차원에서 할 수 있는 최대한으로 발표와 기고, 컬럼을 통해 언급을 했었지만 아직도 우리는 한참을 더 가야 하고 현 상황을 돌아 보고 반성이 필요하지 않나 생각 된다.
물론 우리뿐 아니라 전 세계적으로 마찬가지지만  ..만약 우리가 대응을 잘한다면 미래에서의 인터넷의 주요 파워를 가지게 되지 않을까? 

단순한 예상으로도 보안 문제는 앞으로 더 심각해 지며 , 악성코드의 갯수는 점점 더 많아 질 것이다라고 예상 할 수 있다. 시만텍과 맥아피도 손을 놓는 상황에서 누가 살아 남을 수 있을 것인가? 핵심은 대량유포 매커니즘을 깨야만 하는 것이고 이 매커니즘을 깨기 위해서는 다각적인 노력이 필요하다. 이 노력은 악성코드 유포에 이용 되는 많은 웹 서비스들의 문제점을 개선하는 측면 하나와 대규모 확산 이전에 차단 하는 노력이 병행 되어야 가능 할 것이다.

모든 웹 서비스들의 문제점을 개선하여 공격자가 인위적으로 웹소스를 변경 하지 못하도록 취약성을 제거 한다면 이 문제는 매우 명백하게 해결 되나 이렇게 될 가능성은 앞으로도 인터넷이 존재하는한 불가능하다. 최소한 방문자가 많은 사이트들에게는 일정 수준의 강요가 되어야 하고 즉시적이고 긴급한 대응이 계속 되어야만 한다.

더불어 길목을 차단하는 것으로 수십여곳 이상의 웹서비스에서 악성코드의 경로가 추가되어 모든 방문자들에게 감염 시도를 하는 것을 예방 할 수 있다. 웹 소스에 추가된 경로를 빠르게 인지하여 대응을 한다면 이게 가능해진다.

경로의 빠른 인지는 아직도 원초적인 ( 이벤트 탐지 방식) 방식에만 의존하고 있는데 이걸 우회하고 무력화 하기 위한 공격자들의 전략도 이미 출현한 상태이고 이 부분은 별도의 글로 남기고자 한다.  
전략을 넘어서기 위해서는 좀 더 다른 방식의 접근이 필요하다.

탐지 체계에서도 다른 형태가 필요하며 대응체계 (주로 AV)도 변화가 필요한데 최소한 선제적인 대응이라도 못한다면 빠른 악성코드의 공유체계와 감시체계라고 존재해야만 효율을 높일 수 있다. 솔직히 한국을 대상으로 직접적으로 악성코드를 유포하고 있음에도 불구하고 한국내의 AV업체가 제대로 대응을 하지 못하는 것은 기회를 잃어 버리는 것과도 동일하다. 해외 보안분야 대기업들과 비교할 필요도 없다. 비교 우위를 가질 수 있는 고난의 시간을 그냥 보내는 것은 비극이다.


그럼 여기 금일자로 최소 50여곳 이상의 서비스들에 추가된 경유지를 살펴 보자. (하루 방문자 1만명만 해도 50만명이 감염 범위에 들어간다. 신규 악성코드라면 성공률은 거의 90%라고 봐야 하지 않을까? 최소한..)

A라는 서비스에 B라는 주소가 인위적으로 소스에 추가되어 있다. 우린 그 B를 추적하여 그 근거지를 보여주는 것이다. 일반적으로 사용자는 A라는 서비스에 브라우저로 연결만 하여도 B의 주소의 것도 같이 실행 되게 되어 감염 되는 것이다. 


두 곳을 올렸다. 한 곳은 국내의 커뮤니티 사이트에 직접 올린 내용이고 또 다른 하나는 공격자가 만든 근거지이다.
현재 이 데이터를 확인 하는 것은 이미 발견 시간이 몇 시간좀 지나긴 했지만 아직도 전 세계에서 두번째가 아닐까 싶다.

만들어둔 공격자 다음으로 말이다.

* 최소 50여곳 이상의 웹서비스에서 악성코드를 사용자에게 배포하고 있슴에도 불구하고 구글의 Block 로직은 전혀 동작하지 않는다. Stopbadware의 데이터는 이전 기록을 가지고 대응하는 것일 뿐이지 지금의 문제는 아닌 것이다. 또한 판단근거가 부족하기에 탐지는 어렵다고 봐야 된다.  구글의 서비스 확장전략에 보안도 들어가 있지만 그것은 필히 실패할 것이다. 지난 6년간 수많은 비용을 들여 축적한 데이터의 신뢰도는 낮다. 그걸 입증하는 것도 어렵지 않다.  앞으로는 규모로 한번 해볼 예정이다. 

그렇다면 이중에서 신규 플래쉬 공격코드로 유포되는 악성코드의 탐지는 어느 정도 되는지 확인해 보자.



단순히 보면 알겠지만 전 세계 주요 백신들 중에서 오직 하나 정도만이 휴리스틱으로 ( 악의성이 있다 정도? ) 탐지가 된다. 나머지는 전멸이다. 여기 백신에는 이름만 들어도 알 수 있는 모든 제품들이 포함 되어 있다.

즉 제대로 진단되는 백신은 하나도 없다는 의미와 동일하다.
( 시만텍이든 맥아피든 마찬가지다...)

서비스를 통한 차단을 하는 구글의 Stopbadware도 차단이 되지 않고 가장 악성코드를 많이 분석하는 회사들이나 모든 백신 회사들의 탐지에도 걸리지 않는다. 이게 지금 우리가 마주한 실질적인 위협이다.


지난 3주 이상을 샘플을 일부 분석해 보고 테스트 해봤지만 평균 탐지율은 10% 미만이다. 우리의 지금 상태가 그렇다. 오늘도 파일공유나 언론사, 커뮤니티 사이트에 대량 추가가 되어 있어서 한국내에서만 이 악성코드의 확산은 100만대를 상회할 것이라 예상된다. Adobe의 패치? 기대를 말자!.

우리를 보호하고 지킬 수 있는 것은 우리 자신 밖에 없다. 아무리 불법적인 사이트를 안가고 패치를 잘하고 보안제품을 쓴다고 해도 이젠 위험에 노출된 상황이다. 인터넷 서핑을 하지 말아야만 위험이 줄어 드는데 그럴 수 있는가? 

다른 형태의 위협대응이 긴급하게 요구되고 즉시 대응이 되어야만 한다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름

* 현재 여기에 올린 이미지의 내용을 인지하고 있는 곳도 없고 악성 공격코드의 최초 확보도 현재로서는 우리쪽에서만 가능하다. 좀 더 조용하고 은밀하게 해야 하지만 이 문제의 심각성에 대해서 인식이 부족하여 노출을 감내하면서도 자료를 일부 오픈 할 수 밖에 없다. 그러나 충분한 인식이 되었다면 우리도 정보 노출을 최대한 하지 않을 생각이다. 


*개인적으로 지난 15년간 ( 벌써 ..후.) 많은 공개문서들과 컬럼, 의견들을 올렸는데 한번쯤 정리를 할 필요성을 느낀다. 여전히 새롭게 이 분야에 들어온 많은 분들이 모르는 것들이 많다. 먼지 쌓인 외장 하드의 전원을 한번쯤 올려야 겠다. History of p4ssion 정도
 
Posted by 바다란

댓글을 달아 주세요


악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.


 


 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)


즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Posted by 바다란

댓글을 달아 주세요

3.26일 오전 12시 현재 p2p 및 빗토런트 사이트들 최소 8곳 이상에서 4종류 이상의 악성코드를 유포하고 있음. 경유지가 4종류이며 사용하는 공격기법도 다 제각각임.

더불어 언론사 홈페이지 몇곳, 유제품 업체, 그룹사 홈페이지등에 대한 악성코드 경유지가 추가 되어 방문자들에게 유포를 하고 있음. 

금일과 어제 새로 발견된 경유지들은 20곳 이상이며 모두 국내사이트에 추가된 경유지들이다. 각 개별 발생 카운트는 정리 하지 않았으며 몇몇 경유지의 경우는 정리할 필요성이 있을것으로 보임.

Mass sqli 도 신규로 추가된 것으로 나옴.

이번 주말도 아주 화끈한 한주를 보낼 것으로 예상됨. p2p만 쳐다 보다 당하는 일 없기를. 근본 문제 수정이 먼저이지만 안되면 차단이라도 빠르게 해야 할듯. 아님 1.25  대란 정도는 수시로 발생 될 것임.


차주중 관련된 컬럼을 작성할 예정.

일단 통계적 수치와 변화도를 나타낼 수 있는 카운트를 가지고 있다.
그냥 말로만 하는 위험성 과 문제제기가 아닐 것이다.

이건 앞으로도 변함이 없을 것이다.~

변화무쌍한 공격자의 행위를 잡아 낼 수 있는건 기본적인 구조에서 잡아야 된다.
그 아래는 변화가 너무 많기 때문에  이전에 잡아야만 문제 해결의 단초를 잡을 수 있다.

지금 이 일을 할 수 있는 곳은 오직 한 곳 밖에 없다.! 아직까지는 ..바로 우리 
Posted by 바다란

댓글을 달아 주세요

12.18일 제로보드에 대한 신규 공격을 발견하고 .. 정확하게는 신규 공격이 아니다. 다만 사용처에 비정상적인 경로가 추가 된 것을 최초 발견 하였고 추적을 할 수 있었다. 

그 이후 대응은 아시다 시피 추가된 문자열의 제거 , 제로보드 버전의 업그레이드등 다양하게 이루어 지고 있지만 과연 충분 할까? 금일자로 또 다시 경유지가 변경이 되어 동일한 문제점을 지닌 곳들에 대규모로 추가가 되었다. 물론 악성코드는 신형으로 다시 내려 온다. 

해외 IP를 이용한 경유지 활용이 아닌 국내에 널린 취약한 웹사이트들 여기저기에 올려두고 경로를 비비 꼬아 둔다.
언론사들.. 온라인 주문이 가능한 쇼핑이나 먹거리 사이트들 등등이 여전한 영향권 내에 있다.

http://blog.websanitizer.com/ko/?p=634  24,25일 추가된 악성코드 유포에 사용되는 경유지들은 몇 가지 특징들이 있다. 어떤 형태는 대규모 자동화된 공격에 의해 발생이 된다는 점이고 또한 링크 중에는 악성코드 다운로드가 없는 비정상적인 경로들도 존재한다.  gifimg.php 라는 녀석인데.. 처음에 한 두개 정도 발견 될때는 무시 하였는데 최근 들어 추가 빈도가 매우 높아 졌다. 따라서 차후 어떤 행위로도 활용이 될 수 있는 부분이라 권고가 필요한 부분이라 할 수 있다.

보안분야에서는 팩트를 중요시 한다. 즉 악성코드가 있어야 실체가 있다고 한다. 반은 맞고 반은 틀리다.
악성코드를 뿌릴 수 있는 경로를 먼저 만들어 두고 나중에 한번에 올린다면? 그 감당을 할 수 있을까?
먼저 뿌릴 수 있는 . 더 많은 사용자를 확보 할 수 있는 경로를 먼저 다수 확보한다. 그 이후에 일시에 악성코드를 올린다.  현재 세계의 대응태세나 특히 국내의 대응태세로는 한계라고 봐야 한다.

공격자들의 심리와 프레임을 알 수 있고 예측 할 수 있어야 싸움이 된다.
지금의 모습은 어른과 동네 꼬마가 무기 없이 1:1 싸움을 하는 형국이다. 물론 무술로 단련된 어른은 공격자다. 대응 할 수 있는 방안은 행위를 예측하고 사전에 막는 수 밖에..



취약성개선에 대한 문제는 일단 나중이라고 치고..
웹 서비스에 대한 반복적인 해킹은 지금껏 알려진바가 없으며 담당자에 의해 몰래몰래 처리 되는게 일반적이였다.

그러다 보니 지금과 같은 상황에 이르게 된 것 아닐까?
대부분 악성코드들은 신규 유형의 코드 이며 또한 경유지 경로로 자유자재로 바꾸어서 취약한 웹서비스들을 농락한다.

공격자는 경유지와 유포지 두 곳 모두를 공격하는 것을 너무나도 쉽고 자연 스럽게 한다. 거기에 비해 대응은?


경유지 증가가 폭발적이고 이중에는 간혹 잔머리를 굴리는 듯한 유형들도 발견이 된다. 그 모든 것을 보고 판단하는 것은 식은죽 먹기다.

내가 보는 눈에서는 식은죽이고 정보의 가치가 매우 높다고 생각 하지만 ( 하다 못해 구글보다 빠른 곳은 없지 않나? 그리고 신고 없이 독자적으로 찾아 내는 것도 신규 악성코드만 있지 경유지는 전 세계에 없지 않나? )

나라는 존재 자체가 받아 들이기에 어려운 뜨거운 감자 인갑다.
물론 앞으로 나아 지겠지만..

존재를 부정 할 수는 없고 받아 들이지나 자신들의 방식에 대한 과오를 인정 하는 형태가 되니..

현명한 선택이든 무엇이든 당장 급하면 해야 할 것이다.
실용적인 태도가 필요한 시점이다. 자존과 얄팍한 계산으로는 지금을 넘지 못한다. 모두가..
Posted by 바다란

댓글을 달아 주세요