AhnLab EDR을 활용한 리눅스 SSH 서비스 대상 공격 탐지
Secure SHell (SSH)은 보안 터미널 연결을 위한 표준 프로토콜로서 일반적으로 원격에 위치한 리눅스 시스템을 제어하기 위한 목적으로 사용된다. 개인 사용자들이 데스크톱 목적으로 사용하는 윈도우 운영체제와 달리 리눅스 시스템은 주로 웹이나 데이터베이스, FTP, DNS 등의 서비스를 제공하는 서버로서의 역할을 담당한다. 물론 윈도우 또한 데스크톱만 지원하는 것이 아니라 이러한 서비스를 제공하는 서버로서의
AhnLab EDR을 활용한 MS-SQL 서버 대상 공격 탐지
외부 인터넷에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버는 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 스캐닝 한 후 무차별 대입 공격이나 사전 공격을 통해 관리자 권한으로 로그인할 수 있다. 여기까지의 과정이 끝나면 공격자들은 다양한 방식을 통해 악성코드를 설치하여
AhnLab EDR을 활용한 IIS 웹 서버 대상 초기 침투 단계 탐지
현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고
AhnLab EDR을 활용한 웹 브라우저 계정 정보 탈취 악성코드 탐지
웹 브라우저는 PC를 사용하는 사용자들이 가장 많이 그리고 자주 사용하는 프로그램들 중 하나이다. 사용자들은 주로 검색이나 이메일 수신/발신, 인터넷 쇼핑 등의 웹 서비스를 이용하기 위해 사용하며 이는 개인 사용자뿐만 아니라 기업에서 업무를 수행하는 직원들도 동일하다. 일반적으로 이러한 서비스를 이용하기 위해서는 자신의 계정으로 로그인하는 과정이 필요한데, 각각의 서비스를 매번 사용할 때마다
AhnLab EDR을 활용한 방어 회피 기법 탐지
일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우
AhnLab EDR을 활용한 Kimsuky 그룹의 스피어 피싱 공격 탐지 (AppleSeed, AlphaSeed)
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를
AhnLab EDR을 활용한 데이터 유출 단계 탐지 (랜섬웨어 공격자들)
랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 랜섬웨어를 배포해 시스템들을 암호화하며 복구를 위한 금전을 요구하는 방식으로 수익을 얻었다. 하지만 최근에는 시스템들을 암호화하는 것 외에도 조직의 내부 데이터를 유출한 이후 대가를 지불하지 않을 시 이를 공개하겠다는 협박을 함께 사용하고 있다. 일반적으로 랜섬웨어 공격자들은 데이터들을 수집한 이후 이를 압축하고 외부에 유출한다. 데이터를
EDR을 이용한 다양한 LSASS 자격 증명 덤핑 방식들 탐지
AhnLab SEcurity intelligence Center(ASEC)은 “도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지” [1] 블로그를 통해 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 자격 증명 정보를 탈취하는 다양한 방식들을 다루었다. 여기에서는 자격 증명 정보 탈취 방식 중 LSASS 프로세스의 메모리에 저장되어 있는 NT Hash(NTLM 인증 프로토콜에서 사용하는 해시)를
도메인 환경에서 EDR을 활용한 자격 증명 정보 탈취 단계 탐지
“도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지” [1] 포스팅에서는 공격자가 액티브 디렉터리 환경에 속한 시스템을 장악한 이후 내부 네트워크를 정찰하여 정보를 수집하는 과정을 EDR을 활용하여 탐지하는 사례들을 다루었다. 조직의 인프라가 액티브 디렉터리(Active Directory)를 사용하는 환경인 경우 공격자는 내부 정찰 단계를 거쳐 도메인 환경의 정보를 수집하고 자격 증명 정보를 탈취한
도메인 환경에서 EDR을 활용한 내부 정찰 단계 탐지
공격자는 초기 침투 과정을 거쳐 코인 마이너나 랜섬웨어를 설치하여 수익을 얻을 수 있지만 백도어 또는 RAT 악성코드를 설치하여 먼저 감염 시스템에 대한 제어를 획득하는 경우가 많다. 인포스틸러 악성코드는 시스템에 존재하는 사용자의 정보들을 탈취하는 것이 목적이지만 이후 공격자가 탈취한 정보를 기반으로 이후 시스템에 대한 제어를 획득하여 최종적으로 코인 마이너나 랜섬웨어를 설치하는
