기업의 네트워크를 노리는 표적 공격의 징후를 알수있는 7가지

마지막 표적 형 공격에 대한 일반적인 오해에 대한 블로그 기사 에서는 모든 표적 공격에 대처할 수있는 전능 한 보안 대책이 아님을 재차 설명했습니다. 이번에는 자신에 대한 표적 공격의 징후를 놓치지 않는 데 필요한 포인트에 대해 설명합니다.

표적 공격은 표적으로 한 네트워크에 적용되는 보안 정책과 대책을 회피하도록 설계되어 있습니다. 따라서 표적 형 공격 탐지 어려운 경우가 많아 대책의 큰 과제입니다. 기업은 공격을 탐지하는 보안 제품을 원하는 위치에 도입하며 IT 관리자를 배치하여 네트워크에서 이상을 발견하면 즉시 행동에 옮길 수 있도록하고 기업 자신을 보호해야합니다 .

네트워크의 이상을 검출하기 위해 IT 관리자는 먼저 무엇을 경계해야 하는가를 몰라서는 안됩니다. 표적 공격은 일반적으로 흔적을 전혀 또는 거의 남기지 않도록 설계되어 있기 때문에 침입의 가능성을 나타내는 것이 어디에서 확인할 수 있는지를 아는 것이 중요합니다.

■ 조작에 의해 통합 된 DNS 레코드가 없는지 확인
공격자는 종종 DNS 레코드를 변경합니다. 이것은 자신의 명령 및 제어 (C & C) 서버와의 통신이 차단되지 않았는지 확인하기 위해서입니다. 공격자가 내장 된 가능성이있는 DNS 레코드가 없거나, IT 관리자는 다음의 징후에서 확인하실 수 있습니다.

1. 다음 IP 주소에 위치한 의심스러운 도메인의 존재. 공격자는 일반적으로 이러한 IP 주소를 C & C 서버의 대안으로 이용하는
• 127.0.0.1, 127.0.0.2
• 255.255.255.254
• 255.255.255.255
• 0.0.0.0
• 1.1.1.1
2. 최근 (3 일)에 등록 된 의심스러운 도메인 (Whois 정보에서 확인 가능)
3. 임의의 문자로 구성되어있는 것 같습니다 도메인 (예 : aeeqvsfmtstjztqwlrqknoffmozu.com, zxcmpfwqwgqnbldzhdqsrqt.com 등)
4. 유명한 기업을 모방 한 것으로 보인다 도메인 (예 : microsoft-dot .com, goooogle.com 등)

■ 실패한 로그인 또는 불규칙한 시간에 로그인 한 계정을 관찰
공격자는 네트워크 침입에 성공하여 C & C 서버와의 통신을 설정하면 「정보 검색」의 단계에 들어갑니다. 공격자는 Active Directory와 메일 서버, 파일 서버를 발견하고, 그들에 액세스 할 수 있습니다. 그 때, 서버에 존재하는 취약점을 이용한 공격이 시작될 수도 있습니다. 그러나 취약점에 대해 IT 관리자가 이미 업데이트를 적용하고 중요한 서버를 보호하고 경우 공격자가 관리자 계정의 암호를 무력 (무차별) 공격이나 사전 공격 등의 방법으로 돌파하려는 것입니다. 이러한 방법의 단점은 많은 로그온 실패로 기록 될 것입니다. 따라서 IT 관리자에게 로그인 기록은 이러한 공격을 시각화하는 가장 좋은 참고 자료가됩니다. 실패한 로그인과 불규칙한 시간에 성공한 로그인을 조사하여 네트워크에서 정보 검색을하려고 한 공격자의 음모를 밝힐 수 있습니다.

■ 보안 제품의 경고를 재확인
보안 제품이있는 파일에 대해 "유해"경고를해도 사용자가 잘못된 경고 판단하고 경고를 무시할 수 있습니다. 경고 된 파일이 사용자의 잘 아는 파일이거나 무해하게 보이는 것입니다. 그러나 실제로 이러한 경고 기능을 통해 조사를 실시하는 것으로, 공격자가 네트워크에있는 것이 확인 된 사례가 많다는 것을 우리는 확인하고 있습니다. 또한 공격자는 PC 및 네트워크를 진단하기위한 도구와 Microsoft가 제공하는 "PsExec」나 「Sysinternals"라는 정규 관리 도구를 악용 할 수 있습니다. 보안 제품 중에는 이러한 무해 도구도 사용자의 PC에 원래 설치되어 있지 않으면 경고를주는 것이 있습니다. IT 관리자가 이러한 도구를 사용하는 이유를 사용자에게 확인함으로써 공격자가 네트워크를 탐색하고있는 사실이 판명 할지도 모릅니다.

■ 큰 의심스러운 파일에주의
시스템에서 발견 된 큰 의심스러운 파일은 네트워크에서 절취 한 정보가 포함되어있을 수 있기 때문에 확인하는 것이 좋습니다. 공격자는 정보 전달 전에 표적으로 한 시스템에 파일을 저장하고보기 정상적인 파일 이름이나 파일 종류에 은폐하는 일이 자주 있습니다. IT 관리자는 파일 관리자를 통해 이러한 파일을 확인할 수 있습니다.

■ 비정상적인 연결을 찾기 위해 네트워크 모니터링 로그를 감시
네트워크 모니터링 로그를 지속적으로 확인하는 것이 중요합니다. 네트워크의 비정상적인 연결을 발견하는 데 도움이됩니다.이를 위해 IT 관리자는 네트워크와 네트워크 내에서 언제 어디서나 일어나는 활동에 대해 충분히 잘해야 할 것입니다. 정상적인 상태의 네트워크를 아는 IT 관리자 만이 비정상적으로 알 수 있습니다. 예를 들어, 트래픽이 적은 것으로 생각된다 시간대에 네트워크 활동이 확인 된 경우에는 어떠한 공격 징후 가능성이 있습니다.

■ 비정상적인 프로토콜을 확인
비정상적인 연결에 관련하여 IT 관리자는 이러한 연결에 사용되는 프로토콜을 확인 할 필요도있을 것입니다. 특히 네트워크에 들어오는 프로토콜은주의가 필요합니다. 공격자는 네트워크에서 허용되는 프로토콜 을 바탕으로 사용하는 프로토콜을 선택할 수 자주 있습니다. 따라서 일반 프로토콜이 사용되는 경우에도 연결을 확인하는 것이 중요합니다.

트렌드 마이크로에서는 공격자가 HTTPS (443 포트) 프로토콜을 이용하여 외부에 접속 한 예를 확인하고 있습니다. 통신 내용을 분석하면 HTTPS 포트를 사용하고있는 것에도 불구하고, 암호화되지 않은 HTTP 정보 만 포함되어있었습니다. IT 관리자는 정규 포트를 통해 통신 내용을 확인하고 본래와 다른 프로토콜 내용이 포함되어 있지 않은지 확인하는 것을 게을리하지 않도록하십시오.

■ 급증하는 E 메일에주의
IT 관리자는 메일 로그를 확인하고 특정 인물에 대해 이상한 메일 급증이 없는지를 확인 할 수 있습니다. 메일 비정상적인 증가는 그 인물이 스피어 피싱 메일의 표적이되고있을 가능성이 있기 때문에 조사하는 것이 좋습니다. 예를 들어, 공격자가 사전 조사를하고있는 직원이 중요한 회의에 참석할 수 알면, 그 회의의 3 ​​개월 전부터 스피어 피싱 메일을 보낼 수 있습니다. 이것도 표적 형 공격을 탐지하는 하나의 단서입니다.

이상 7 점에 대해 언급했지만, IT 관리자는이 먼저 힘든 일이 기다리고 있다고 생각하는 것입니다. 물론, 그것은 부정하지 않습니다. 표적 형 공격으로부터 네트워크를 보호하는 것은 어려운 과제입니다. 당사는 기업 네트워크를 보호하기 위해 IT 관리자에게 충분한 권한을 부여 것에 대해 말씀 드렸습니다 만, 지금 바로 그것을 실행해야 할 때입니다. 표적 공격을 완화하기위한 비용은 표적 공격에 대비하기위한 비용을 쉽게 상회합니다. 방어의 제일선에있는 IT 관리자에게 충분한 장비를시키는 것은 기업에게 매우 중요합니다.

■ 트렌드 마이크로의 바이러스
보안 제품의 전통적인 블랙리스트 설정은 표적 형 공격으로부터 기업 네트워크를 보호하기 위하여 더 이상 충분하지 않습니다. 이러한 보안 위협을 완화하기 위해 기업은 " 사용자 정의 디펜스 '를 실천하는 것이 필요합니다. "사용자 정의 디펜스 '는 최첨단 위협을 탐지하는 기술과 제품간에 공유 된"침입의 흔적 (Indicators of Compromise, IOC) "의 인텔리전스를 이용하여 정상적인 보안 제품에서는 찾을 수없는 공격 을 감지, 분석, 적응, 대처하는 보안 대책입니다.

다양한 표적 공격에 대한 정보와 대책의 생각은 다음의 정보를 참조하십시오 :

• 국내 표적 형 사이버 공격 분석
• 트렌드 마이크로가 제창하는 차세대 보안 "Next Generation Threat Defense"
• '철벽 수비'는 존재하지 않는다! ? 위협의 변화를 포착 차세대 대책이란
• 보안 매거진 TREND PARK : 표적 공격 최신 동향과 대책
• Threat Intelligence Resources on Targeted Attacks (영문)

참고 기사 :

" 7 Places to Check for Signs of a Targeted Attack in Your Network " 
by Ziv Chang (Director, Cyber ​​Threat Solution)