네트워크 공격 사례 분석
랜섬웨어는 시스템을 감염시켜 피해자에게 협박하는 데 사용되는 악성 소프트웨어로, 다수의 사용자가 피해를 입었으며, 현재까지도 활발하게 많이 활용되는 요소 중 하나다.
상업적 해킹
- 랜섬웨어(Ransonware)
1) 의미
- 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어
- 컴퓨터로의 접근이 제한되어 해제하기 위해 해당 프로그램 개발자에게 지불을 강요받음
- 몸값을 뜻하는 Ransom과 소프트웨어의 영어인 Software의 합성어
2) 랜섬웨어의 현재
- FBI 분석결과에 따르면 공격자는 20202년 이전 6년간 비트코인 지갑과 랜섬노트 분석 결과 1억 4천만 달러 지불하는 등의 수익을 냄
- 가장 큰 피해를 준 조직은 북한의 라자루스 그룹이 개발한 것(류크 랜섬웨어:Ryuk ransomware)
SMB 취약성과 WannaCry 랜섬웨어 - 2017
> NSA가 가지고 있던 취약성 및 관리 도구가 유출되면서 발생
> 공격자가 SMB 취약성을 이용 (이터널블루 프로젝트)
> 자동으로 랜섬웨어(WannaCry)를 감염시키는 웜(Worm) 악성코드를 제작
> 이러한 공격 방식으로 전 세계가 긴장함 (약 23만 대가 감염된 것으로 추정)
> 다양한 나라 언어로 랜섬 노트를 제작 (구글 번역기 사용)
인터넷나야나 호스팅 서버 랜섬웨어 감염 - 2017
> 인터넷 호스팅 서버가 랜섬웨어 일종인 에레버스(Erebus) 리눅스 변종에 감염
> 6월 10일 토요일 새벽에 감염 사실을 인지
> 4천여대의 사이트가 피해, 153대의 리눅스 서버가 감염
> 서버 1대당 5.4 비트코인을 요구, 당시 시세로 1천755만 원 -> 서버 153대이기에 약 26억 원
나라장터 접속 PC해킹 - 2018
> 자료 전송 기능이 있는 '입찰 적격 심사 자동계산 프로그램'을 나라장터 시스템에 도입
> 나라장터를 통해 입찰하기 위한 공공기관 PC에서 프로그램 다운 및 설치
> 자료전송 기능을 이용하여 설치한 이용자 PC 내 내부 자료를 공급한 A사 회사로 전송
> 전국 289개 지자체를 대상으로 배포 (14,213 건설사들의 경영 상태, 신용등급 등 조달청 서버에 보관 중인 정보 수집)
> 정보 판매를 이용하여 29억의 부당이익을 냄
'코로나19' 사태 악용한 김수키 조직 사이버 공격 발견
> 우리나라 한수원을 대상으로 공격 정황 포착, 김수키(Kimsuky) 조직의 수행으로 추정
> 이메일 내 첨부파일을 이용한 피싱 공격 (shouturl.at/bmFX4)
금융당국, 코로나19 보이스피싱 대응 강화
> 보이스피싱 시도가 증가
> 보이스피싱 피해가 발생했다는 문자 메시지를 유포해 링크 클릭 후 악성 앱을 실행하도록 유도(shorturl.at/CQY68)
인터파크 개인정보 유출 사건
> 2016년 5월, 사건건수 : 25,000,000건
> 당시 개인정보처리자 PC가 내부 업무망, DB 계정 관리 프로그램에 접속을 유지한 채로 방치
> 사유 없이 개인정보 유출 사실을 신고하지 않았다는 것 또한 지적
> 불복 소송 1심을 진행했지만 원고의 청구를 기각
> 과징금 부여 기준 : 매출액의 3% 수준 44억 8천만 원
우리은행, 크리덴셜 스터핑(Credential stuffing)
> 2018년 6월, 피해 규모 : 56,000건의 고객 정보에 접근하는데 성공
> 타 기관 또는 사이트에서 수집한 정보를 이용하여 우리은행에 로그인 시도
> 하나의 아이디와 패스워드를 여러 사이트에서 활용하는 허점을 이용해 공격 수행
> 비상정적인 접근에 탐지를 못한 점과 사용자의 계정 관리 부주의의 의견과 대립
* 크리덴셜 스터핑 : 공격자가 이미 확보한 로그인 정보를 다른 계정들에 무작위로 대입하는 방식
수족관 온도계를 이용한 해킹 - 2017
> 2018년 4월 다크트레이스의 니콜 이건이 WSJ CEO 협의회에서 발표하여 이슈화됨
> 수족관 온도계를 해킹하여 도박 자금을 빼돌린 사건
> 온도계의 네트워크를 침입하여 데이터베이스를 해킹
> Arbor 네트워크에 따르면 2017년 270억 장비들이 인터넷에 연결되어 있으며, 이후 2030년에는 1250억 개의 장비가 인터넷에 연결될 것으로 전망
[Network] 3. ATT&CK 전략과 네트워크 위협
[Network] 3. ATT&CK 전략과 네트워크 위협
ATT&CK와 TTPsTTPs 방법론여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨 TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용 특정
infoofit.tistory.com
[Network] 5. 네트워크 스캐닝
스캐닝이란? - 특정 시스템 또는 인프라에서 어떤 단말 또는 서비스가 존재하는지 확인하기 위한 단계 - 침투를 하기 위한 사전 단계로서 주로 활용 - ATT&CK 메트릭스에서 Discovery 전략 단계로 구
infoofit.tistory.com