2014년 사이버 공격에 사용된 POS malware 분석 보고서

• 美 보안업체 사이포트(Cyphort)는 2014년 소매 유통업체들을 공격한 POS(Point-of-Sale) malware인 Black
  POS, FrameworkPOS, Backoff를 분석한 보고서를 최초로 발표

주요내용

• 사이포트의 연구원들은 미국 소매 유통업체인 Target, Home Depot, UPS뿐만 아니라 Neiman Marcus 등의 
  업체를 공격한 POS malware 샘플을 분석
  - Backoff는 진화된 malware로 정교하게 설계됨 
  - FrameworkPOS, Backoff은 상용 소프트웨어의 성격을 닮았지만 특정 목표에 맞추어 설계되었으며, 이전
    POS malware 사건과 출처가 다르지만 모방 공격을 하고 있다는 인상이 강함
• (BlackPOS) 2013년 11월 Target사의 POS 시스템이 취약하다는 것을 알린 malware
  - Target의 플랫폼의 보안 조치들이 공격자에게는 영향이 없었다는 것을 분석을 통하여 알아냈으며 이로 인해
    공격자가 Target의 인프라를 매우 잘 알고 있었을 것이라 제시함
• (FrameworkPOS) 가장 최근에 Home Depot를 공격한 POS malware
  - 분석한 샘플은 공격자가 네트워크의 취약한 부분을 완벽히 이해하고 있었다는 것을 보여주고 있음
  - 공격자는 포렌식 분석에 혼란을 주기 위해 저장 데이터가 아닌 바이너리 파일로 보이도록 덤프 파일명을 
    지정하고 시스템 바이너리 파일들이 흔히 저장되는‘system32’디렉토리 아래에 저장함
• (Backoff) UPS가 공격당한 POS malware 
  - 특정 목표를 공격하지 않고 임의의 POS 시스템에서 동작함
  - 독립적인 malware이며 스스로 업데이트가 가능함
  - 광범위한 POS 시스템을 공격하도록 설계되었을 뿐만 아니라 탐지에도 피할 수 있도록 설계됨
• 사이포트는 소매 유통업계와 보안 전문가에게 POS 위협에 대해 효과적인 보안 방어를 구현하기 위해서 아래
  사항을 권고함
  - 보안 기준을 따라서 공격자가 시스템에 침입시 대응할 수 있는 체계 설계
  - 회사 자산에 대한 적절한 위험 평가 
  - 잠재적인 침입의 가능성을 제한하기 위해 불필요한 시스템 기능 제거
  - 디바이스를 인터넷에 연결하기 전에 보안 사항 적용
  - 위협 수준에 우선순위를 매기고, 위험 발생 시 심각한 정도를 인지하고 적시에 대응할 수 있는 훈련 수행
  - 새로운 위협을 주기적으로 체크하고 보안 솔루션을 이용한다면 현재 최신 버전인지 확인
  - 보안팀을 도와 현재의 위협을 최신 상태로 유지하고 심각한 보안 사고일 경우 대응하는 방법을 훈련

[출처]
1. https://www.cyphort.com/who-we-are/news-and-events/press-releases/cyphort-issues-industrys-first-special-report-point-sale-malware-samples-used-2014-cyber-attacks-retailers/