APT 의 정의
APT 공격에 대한 이해 및 차단 전략
2
Advanced persistent threat
A : IT 인프라와 관련된 다양한 기술들을 이용
P : 목적 달성할때까지 지속적 공격
T : 자동화된 툴을 사용하는 것이 아닌 표적 분석을 통한 다양한 공격 시도

 

APT 공격의 특징

APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다

1.공격대상만을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용한다.
2.보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다.
3.주요 목적은 군사, 정치, 경제 분야의 국가 기밀정보를 수집하기 위함이다.
4.공격에 동원되는 제로데이 취약점이나 루트킷 기법 등은 충분한 자금과 인력 지원을 필요로 한다는 점으로 미루어 볼 때 APT 공격은 군 또는 국가 정보기관의 지원을 받는 것으로 보인다.
5.일반 기업체가 아닌 정부기관, 방산업체, 글로벌 제조업체, 국가 핵심 기간산업 운용업체 및 관련 협력사 등 전략적으로 중요한 기관을 표적으로 삼을 가능성이 크다.

 

-. APT(Advanced Persistent Threat) Attack (1/3)

초기감염경로

Spear Phishing - 관심 있는 사람에게 E메일을 보냄.

Watering Hole attack - 공격대상이 좋아할 만한 웹사이트를 먼저 감염시킨 후 , 그들이 올 때까지 기다림.

 

- APT Attack (2/3) - Spear Phishing 동작 원리

 

 

 

- APT Attack (3/3) – Watering Hole Attack 동작 원리

 

 

 

APT 의 공격 프로세스

 

1. 침투

공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투.

2. 검색

침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획.

3. 수집

보호되지안흔 시스템상의 데이터 수집 또는 시스템 운영방해.

4.유출

공격자의 근거지로 데이터 전송 시스템 운영 방해 또는 장비 파괴.

 

-공격방법

소셜 엔지니어링 , 제로데이 취약점 , SQL인젝션

 

APT 공격에 대한 보호 방안

 

APT 공격에 대한 symantec 대응 전략.

 

SWG, SMG

-악성코드 유입 경로인 Web 접근시 악성 URL 접근 차단 및 모니터링
-Malware 다운로드 시 백신엔진과 평판기능을 통한 차단 및 모니터링
-좀비PC 감염 탐지 및 C&C 서버와의 통신 차단
-악성코드, 악의적 URL이 첨부된 메일에 대한 차단

 

SEP

-취약점을 이용한 네트웍 공격시 IPS 기능을 이용한 차단
-파일 다운로드 및 검사시 평판 기능을 이용한 차단
-파일 PC 저장 시 시그니쳐 및 휴리스틱 기반의 바이러스 차단
-파일이 실행될 때 행위 기반의 분석을 통한 탐지 및 차단

 

CSP

-허용되지 않은 변경 방지
-등록되지 않은 프로세스/파일/레지스트리에 대한 실행 통제,
-확장자 및 정의한 파일에 대한 파일 변조 차단

 

CCS

-취약점을 이용한 공격 예방을 위한 사전 점검
-위험에 대한 가시성 확보
-위험 분석을 통한 대응 우선순위 결정

 

SEP 인사이트

 

 

3세대 안티바이러스 솔루션

 

 

 

 

 

 

 

APT 공격에 대한 SYMANTEC 대응전략

Web gateway

강력한 symantec web gateway 보호기술

 

 

 

Malicious Activity Assessment

 

 

Symantec Web Gateway 어플라이언스

 

 

 

진단결과

 

 

봇넷 감염 PC 상세정보 (1) – 203.252.197.149

 

 

클라이언트 어플리케이션 보고서 (상세)

 

 

바이러스 다운로드

- 기간 내 총 1,246 건의 바이러스 다운로드 탐지

 

APT 공격의 효율적인 대응 방안

 

 

 

전석준 | 기업영업부
Email: sjjun@impl.co.kr | Phone: 02 501 0223 | Direct: 070 8796 7538 | Mobile: 010 3287 4003 | Fax: 02 6937 0223

Software & Solution News: www.mplsoft.co.kr

 

저작자 표시
신고
Posted by 엠플 (주)엠플

대다수의 응용프로그램이 해커들에 의해 Crack되고 있습니다.

힘들게 개발하여 상용화에 성공한 지적재산권의 보호를 위해, Crack을 막아줄 수 있는 Oreans Technologies의 Themida를 소개합니다.

일반적으로 해커들이 작업하는 Crack 과정을 설명하고, Crack을 막을 수 있는 솔루션을 제시하겠습니다.

우선 Crack은 디컴파일을 하면서 작업하기 때문에 컴파일 과정부터 순서대로 설명하겠습니다.

일반적으로 응용프로그램 개발과정은 아래와 같습니다.
 

먼저, Source Code를 여러개의 기계어(Object File)로 컴파일을 한후에, 각각의 Object File을 Link를 걸어, 최종적으로 실행파일을 생성합니다.

위와 역순으로, 응용프로그램은 다시 Source Code로  변환할 수 있으며, 이 때 Dissembler 또는 Decompiler를 사용하여 변환작업을 합니다.

해커는 Dissembler를 이용하여 Crack File을 작업하며, Dissembler를 이용하여 Source Code로 변환시킬 때 프로그램밍의 일정한 규칙 등을 파악할 수 있다. 이러한 알고리즘 파악으로 소프트웨어의 Trial 기간을 연장하거나 무상으로 사용하게 만들 수 있습니다.

이러한 Crack에 대비하기 위해, 많은 Software Protector가 개발되었지만, 물고 물리는 먹이사슬처럼 해커들 역시 Protector를 뚫기 위해 여러방면의 공격이 이루어져 결국 많은 Software Protector가 유명무실해지고 있습니다.

Software Protector의 로직은 보안설정이 된 응용프로그램이 실행될 때, Software Protector는 먼저 운영체제의 CPU를 통제하고, Cracking tool(Dissembler)이 실행되고 있는지 체크합니다.  그 후에, 보안설정된 응용프로그램을 복호화 할 수 있도록 CPU 통제를 해제하는 방식으로 Protection을 유지하며 아래 그림과 같습니다. 

하지만, Software Protector가 유명무실해지는 이유는 Software Protector는 운영시스템에 의해 제약 받는 제한사항이 많아 일반적인 보안등급 설정만 가능하기 때문에 쉽게 해커들한테 보안이 뚫린다는 것이다. 요즘 해커들은 Cracking Tool을 운영체제와 동등한 권한으로 설정하여 실행시킬 수 있고, Software Protector가 작업하는 보안설정 프로세스를 확인할 수 있기 때문에 로직을 뚫을 수 있다.

이러한 일반적인 Software Protection 기술의 한계를 극복한 제품이 Themida이며 아래와 같은 로직으로 구성되었습니다. 

참고: http://www.oreans.com/themida_features.php

 

참고: http://www.oreans.com/secureengine/

Themida를 사용해 볼 수 있는 Demo Version은 아래링크에서 받으세요!

http://www.oreans.com/downloads.php

License의 구매정보는 아래와 같습니다.
License는 유저별로 사용하는 Developer License와 전사적으로 사용할 수 있는 Company License로 구분됩니다.
또한, 지원버전은 Win32와 Win32/.Net 버전으로 나뉩니다.

신고
Posted by 엠플 (주)엠플