we can prove it!
DESCRIPTION
We Can Prove IT!. 로얄 베이비 : 왕위 계승 서열 3 위 , 위협 유인으로서 서열 1 위 !. 知彼知己 百戰不殆 - 해커의 공격 방법. 로얄 베이비 : 왕위 계승 서열 3 위 , 위협 미끼로서 서열 1 위 !. 해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트. 블랙홀 취약점 공격 킷 ( Blackhole Exploit Kit ) 과 함께 플래시 업데이트. - PowerPoint PPT PresentationTRANSCRIPT
© 2013 Websense, Inc. Page 1
TRITON STOPS MORE THREATS. WE CAN PROVE IT.
We Can Prove IT!
로얄 베이비 : 왕위 계승 서열 3 위 , 위협 유인으로서 서열 1 위 !
© 2013 Websense, Inc. Page 2
知彼知己 百戰不殆 - 해커의 공격 방법
정찰 유인 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출
누구나 대상
사람의 관심을 끄는 새로운 이야기를 활용( 로얄 베이비 )
한 시간 동안에 웹센스 ThreatSeeker 는 동일 제목으로된 60,000 개 이상의 이메일 유인 발견 :
“ 로얄 베이비 : 라이브 업데이트”
모든 링크는 악의적인 웹으로 연결
다른 캠페인들도 감지
해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트
블랙홀 취약점 공격 킷 (Blackhole Exploit Kit) 과 함께 플래시 업데이트
3 개의 알려진 악의적인 사이트와 통신
바이러스 토탈(Virus Total) 은 다음과 같은 AV 탐지율을 보여줌 : 1/39, 1/39, 4/19. cmd.exe 생성
AV 로는 보호가 제공되지 못함
다수의 C&C 통신
개인식별정보 유출(PII)
유출된 상세한 개인 정보들은 더 많은 피해 공격의 전조
로얄 베이비 : 왕위 계승 서열 3 위 , 위협 미끼로서 서열 1 위 !
http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx
© 2013 Websense, Inc. Page 3
1 단계 : 정찰
• 캠브리지 공작과 공작 부인은 7 월 23 일에 태어난 장래 영국 왕위를 승계할 남자 아기의 자랑스러운 부모가 되었다 .
• 그들이 가족의 기쁨에 빠져 있는 동안 , 사이버 범죄자들은 뉴스에 편승하여 다양한 악의적인 캠페인을 제공하기 바빴다 .
정찰
누구나 대상
사람의 관심을 끄는 새로운 이야기를 활용( 로얄 베이비 )
© 2013 Websense, Inc. Page 4
이메일 유인 : URL 리다이렉트 링크 제공
2 단계 : 유인
미끼
이메일 유인 : 악의적인 첨부 파일 ...
한 시간 동안에 웹센스 ThreatSeeker 는 동일 제목으로된 60,000 개 이상의 이메일 유인 발견 :
“ 로얄 베이비 : 라이브 업데이트”
모든 링크는 악의적인 웹으로 연결
다른 캠페인들도 감지
© 2013 Websense, Inc. Page 5
3 단계 : 리다이렉트
리다이렉트
사이트는 희생자를 속여서 가짜 어도비 플래시 플레이어 업데이트를 설치하도록 사회적 공학 방법을 이용하였다 .
해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트
© 2013 Websense, Inc. Page 6
4 단계 : 취약점 공격 킷 (Exploit Kit)
취약점 공격 킷
블랙홀 취약점 공격 킷 (Blackhole Exploit Kit) 과 함께 플래시 업데이트
© 2013 Websense, Inc. Page 7
5 단계 : 드로퍼 파일
• 취약점 공격이 성공적으로 수행되면 , 드로퍼 파일 및 /또는 다운로더 파일이 희생자의 PC 안에 추가 악성 페이로드의 설치에 사용된다 .
드로퍼 파일
3 개의 알려진 악의적인 사이트와 통신
바이러스 토탈(Virus Total) 은 다음과 같은 AV 탐지율을 보여줌 : 1/39, 1/39, 4/19. cmd.exe 생성
AV 로는 보호가 제공되지 못함
© 2013 Websense, Inc. Page 8
6 & 7 단계 : 콜 홈 & 데이터 유출
• 일단 희생자의 컴퓨터에 악의적인 페이로드가 설치가 되면 , " 콜 홈 (call home)" 통신을 시도하고 캠페인을 가장한 해커의 명령을 수행하기 위하여 C&C 인프라에 접속한다 .
• 데이터 유출 - 개인 식별 정보 (PII), 회사 기밀 데이터 또는 심지어 잠재적인 로얄 베이비 이름의 목록 등이 일반적인 공격자의 최종 목표가 된다 .
콜 홈 데이터 도난
다수의 C&C 통신
개인식별정보 유출(PII)
유출된 상세한 개인 정보들은 더 많은 피해 공격의 전조
© 2013 Websense, Inc. Page 9
웹센스 TRITON 는 당신의 비지니스를 어떻게 보호하는가 ?
정찰 유인 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출
Websense Security Labs (WSL) 과 ThreatSeeker는 범죄 커뮤니티에 대한 정찰 수행함
고객은 새로운 위협에 대한 최신 정보를 유지하는 WSL 블로그를 팔로우할 수 있음
이메일 보안 솔루션은 클릭 시점에서의 보호를 제공하기 위하여 URL 래핑(wrapping) 을 사용하여 리다이렉트 차단
웹 보안 솔루션은 Websense ACE 사용하여 악의적인 웹 리다이렉트를 차단함
웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 취약점 공격과 알려지지 않는 취약점 공격을 동시에 식별
웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 드로퍼 파일 과 알려지지 않은 드로퍼 파일을 식별
ThreatScope 는 샌드박스(sandbox) 분석을 수행하여 알려지지 않은 위협을 인식하기 위하여 실행 및 문서 파일의 대응
웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 C&C 사이트와 알려진 C&C 프로토콜과 알려지지 않은 C&C 프로토콜을 동시에 인식
ESGA 는 이메일 채널에 대한 완벽한 데이터 보안 보호 기능을 제공
WSGA 는 웹 채널에 대한 완벽한 데이터 보안 보호 기능을 제공
DSS 는 다양한 네트워크 채널 , 엔드포인트 뿐만 아니라 그 이상의 완벽한 데이터 보안 보호 기능을 제공
http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx
이메일 유인은 이메일 보안 솔루션에 의해 차단됨 .
웹 / 소셜 미디어 유인은 웹 보안 솔루션으로 차단됨
Defensio 는 웹 사이트에 게시된 웹 및 소셜 미디어 유인을 차단
로얄 베이비 : 왕위 계승 서열 3 위 , 위협 유인으로서 서열 1 위 !
© 2013 Websense, Inc. Page 10
APT 방어 범위 : 웹센스 TRITON vs 경쟁사
정찰 미끼 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출
