지하 경제의 자동화 혁명에 맞서기

자동화는 거의 모든 산업에서 필수적인 부분이 되었으며, 사이버 보안 분야보다 더 중요한 분야는 없습니다. 하지만 안타깝게도 자동화의 이점은 범죄 기업과 방어자 모두에게 똑같이 제공됩니다. 따라서 범죄 조직이 캠페인을 운영하고 수익을 창출하기 위한 도구와 리소스의 생태계를 구축한 반면, SOAR는 방어 인텔리전스 피드를 자동화하고 이를 자동화된 탐지 및 예방과 결합하여 방어자에게 유리하게 균형을 되돌릴 수 있습니다.

Recorded Future의 Insikt Group 에서 진행된 연구는 위협 행위자들이 악성 캠페인과 관련된 작업을 자동화하기 위해 사용하는 도구와 서비스, 그리고 SOAR(Security Orchestration and Automation for Response) 및 통합 위협 관점( ) 솔루션을 통해 제공되는 완화 전략을 Threat Intelligence 탐구했습니다.

지하경제-자동화-1-1.gif

사이버 공격은 종종 위협 행위자가 네트워크에 무단으로 액세스한 후 지하 포럼에서 인증 정보를 판매하여 네트워크 또는 인증 정보 데이터베이스가 손상되는 데서 시작됩니다. 이 액세스 권한은 네트워크 내 권한 상승, 비즈니스 이메일 유출, 랜섬웨어 및 기타 유형의 공격에 사용될 수 있습니다.

완화 전략에는 다음이 포함됩니다:

모든 소프트웨어 및 애플리케이션을 최신 상태로 유지
스팸 이메일 필터링 및 링크와 첨부 파일 면밀히 검토하기
시스템을 정기적으로 백업하고 오프라인에 저장하기
회사에 민감한 데이터 구획화
역할 기반 액세스 설정
데이터 암호화 표준 적용

지하경제-자동화-2-2.gif

데이터 유출로 얻은 인증 정보를 가진 공격자는 체커와 무차별 대입 공격을 활용하여 대규모 자동 로그인 요청을 보내 피해자의 유효성을 확인하거나 수천 개의 계정에 대한 인증 정보 스터핑 공격을 통해 무단 액세스 권한을 얻습니다.

완화 전략에는 다음이 포함됩니다:

비밀번호 관리자 외에 계정에 고유한 비밀번호 사용
로그인 시 추가 세부 정보 요구(예: 보안 문자) 또는 다단계 인증(MFA) 요구
맞춤형 웹 애플리케이션 방화벽 구축
느린 날짜 또는 속도 제한 로그인 트래픽
사용하지 않는 공개 로그인 제거하기
예상치 못한 트래픽을 모니터링하기 위한 트래픽 및 네트워크 요청 기준 설정

지하경제-자동화-3-1.gif

또한 위협 행위자는 백신과 같은 엔드포인트 보안 제품의 탐지를 피하기 위해 로더와 크립터를 적용한 다음 멀웨어와 같은 하나 이상의 악성 페이로드를 다운로드하여 실행합니다.

완화 전략에는 다음이 포함됩니다:

바이러스 백신 소프트웨어를 정기적으로 업데이트하기
악성 페이로드를 탐지하기 위해 안티바이러스 외에 추가적인 대응 및 탐지 제어 구현
피싱 및 관련 위험에 대한 개인 교육 및 훈련

지하경제-자동화-4-1.gif

스틸러와 키로거는 자격 증명, 개인 식별 정보, 결제 카드 정보 등 피해자의 민감한 정보를 유출하고 피해자의 시스템에 2차 페이로드를 설치하는 데 사용됩니다.

완화 전략에는 다음이 포함됩니다:

패치 상태 보고 기능을 제공하는 솔루션에 대한 투자
디바이스에서 악의적인 활동을 경고하도록 네트워크 방어 메커니즘 구성하기
파일 드라이브 및 레지스트리의 의심스러운 변경 사항 모니터링

지하경제-자동화-5-1.gif

위협 행위자는 직접 스크립트를 작성할 필요 없이 프로세스를 자동화함으로써 널리 공개되어 있고 널리 사용되며 강력한 사기 수행 도구인 뱅킹 인젝트를 쉽게 얻을 수 있습니다. 가짜 오버레이 또는 모듈은 뱅킹 트로이 목마와 함께 사용되어 HTML 또는 JavaScript 코드를 삽입하여 합법적인 웹사이트로 리디렉션하기 전에 민감한 정보를 수집합니다.

완화 전략에는 다음이 포함됩니다:

소프트웨어 및 애플리케이션을 최신 상태로 유지
모든 장비의 바이러스 백신 솔루션 설치, 업데이트 예약 및 바이러스 백신 상태 모니터링
SMS 인증 애플리케이션을 통해 MFA 활성화하기
HTTPS 연결만 사용
직원 교육 및 교육 세션 진행
스팸 및 웹 필터 배포
모든 민감한 회사 정보 암호화
HTML 사용 안 함 또는 HTML 이메일을 텍스트 전용 이메일로 변환하기

지하경제-자동화-6-1.gif

익스플로잇 키트는 웹 브라우저 취약점 악용을 자동화하여 성공적인 감염을 극대화하는 데 사용되며 트로이목마, 로더, 랜섬웨어 및 기타 악성 소프트웨어와 같은 악성 페이로드를 전달합니다.

완화 전략에는 다음이 포함됩니다:

Microsoft 제품 및 기술 스택의 이전 취약점 패치 우선 순위 지정
브라우저 설정에서 Adobe Flash Player가 자동으로 비활성화되도록 설정하기
피싱 보안 인식 실시 및 유지 관리

지하경제-자동화-7-1.gif

위협 행위자는 스팸 및 피싱 서비스를 활용하여 수십만 명의 피해자에게 접근하여 멀웨어를 배포하거나 네트워크에 대한 추가 액세스 권한을 얻는 이메일 캠페인을 수행합니다.

완화 전략에는 다음이 포함됩니다:

이메일 주소를 온라인에 공개하거나 스팸 메시지에 답장하지 않기
추가 스팸 필터링 도구 및 바이러스 백신 소프트웨어 다운로드하기
온라인 등록 시 개인 또는 회사 이메일 주소 사용하지 않기
비밀번호 보안 정책 개발
모든 직원에게 암호화 요구
직원 교육 및 교육 세션 진행

지하경제-자동화-8-1.gif

범죄 행위의 지속 시간을 늘리기 위해 위협 행위자는 프록시 및 방탄 호스팅 서비스(BPHS)를 활용하여 자신의 활동을 난독화합니다. BPHS는 운영을 방해하거나 체포될 수 있는 법적 요청에 응하지 않겠다는 약속을 하는 모델을 기반으로 악성 콘텐츠 및 활동에 대한 안전한 호스팅과 익명성을 제공합니다.

완화 전략에는 다음이 포함됩니다:

Recorded Future와 같은 위협 인텔리전스 플랫폼을 활용하여 악의적인 서비스 제공업체 모니터링 지원
악의적인 것으로 알려진 BPHS와 관련된 서버를 블랙리스트에 추가합니다.

지하경제-자동화-9-1.gif

지하 경제에서 스니퍼는 전자상거래 웹사이트의 결제 페이지에서 CNP(카드 미소지) 데이터를 침투하여 훔치도록 설계된 자바스크립트로 작성된 일종의 멀웨어를 말합니다.

완화 전략에는 다음이 포함됩니다:

의심스러운 스크립트 또는 네트워크 동작을 식별하기 위해 웹사이트에 대한 정기적인 감사 수행
외부에서 로드된 비필수 스크립트가 결제 페이지에 로드되지 않도록 방지합니다.
전자상거래 웹사이트의 타사 플러그인을 평가하고 코드 또는 동작의 변경 사항을 모니터링합니다.

지하경제-자동화-10-1.gif

위협 행위자들은 획득한 콘텐츠로 수익을 창출하기 위해 온라인 신용카드 상점, 계정 상점, 마켓플레이스에서 탈취한 데이터를 판매합니다. 은행 계좌, 휴대폰 계정, 온라인 상점 계정, 데이트 계정, 심지어는 손상된 시스템의 디지털 지문을 사고 팔아 추가 침해를 용이하게 하는 방식으로 돈을 벌고 있습니다.

완화 전략에는 다음이 포함됩니다:

기업과 관련된 계정에 대한 상점 및 마켓플레이스 모니터링
상점에서 사용 가능한 계정 수 급증에 따른 조치
비공개 도메인의 자격 증명에 주의하기
SMS 인증 애플리케이션을 통해 MFA 활성화하기

현재 위협 행위자가 작업을 자동화하기 위해 사용하는 10가지 유형의 도구 및 서비스와 방어자가 구현할 수 있는 완화 조치에 대한 자세한 내용은 Recorded Future의 Insikt Group 에서 "지하 경제의 자동화와 상품화" 보고서 전문을 확인하시기 바랍니다.