2011년 2월 17일 목요일

글로벌 에너지 사이버공격 : Night Dragon 분석 보고서

맥아피에서 글로벌 에너지를 대상으로 한 사이버공격에 대한 보고서를 하나 발표하였다.

이름하여 "Night Dragon" 이다. Night Dragon 은 맥아피에서 지칭하는 공격 이름으로
타겟티드 대상에 다양한 공격을 통해 주요 정보를 훔쳐내는 것이다.
형태를 보면 한때 구글 해킹과 관련해 많이 알려진 오로라(Aurora) 및 기타 APT(Advanced
 Persistent Threat)와 비슷하지만 Night Dragon 은 소셜엔지니어링과의 결합, Targeted,
트로이목마를 이용한 사이버공격, 기타 악성코드, 원격제어 소프트등을 종합적으로 어우러져
있는 것으로 뜻하고 있다.

Anatomy Of The Night Dragon Attack
[출처: 맥아피] Night Dragon

다음 보고서는 글로벌 에너지사를 대상으로 한 공격에 대해서 기술한 것으로 한번 읽어 보면
도움이 될것 같아 공유한다.

http://www.mcafee.com/us/resources/white-papers/wp-global-energy-cyberattacks-night-dragon.pdf

내용중 보면 'Network Communication' 부분이 있다. 감염이 되면 C&C 서버와의 통신에 사용되는
메시지를 보내는데 TCP 패킷 offset 0x42 지점에서 \x68\x57\x24\x13 의 공통적인 패턴을
사용한다고 한다. 통신과정마다의 트래픽 데이터를 보여주고 있으므로, 필요하면 여러분들은
이 데이터를 통해 스노트와 같은 패턴 형태로 만들 수 있다. GUI 화면을 보면, 쉽게
와이어샤크를 사용하고 있음을 알 수도 있다.

여하튼 이런 패킷 데이터는 사전에 파악된 정보없이 패킷 데이터만 가지고 이 데이터가
무엇인지 파악해 내는 것은 쉽지 않다. 그렇기 때문에 이런 형태와 같은 알 수 없는 통신의
트래픽이 내부에서 관찰된다면 네트워크 포렌직 같은 형태를 통해 분석을 해내야 한다.
사실 네트워크 관점만에서만 판단은 힘들어지며, 내부의 감염 머신을 찾아 실제 주고 받는
프로세스의 바이너리등을 분석해 내면 통신의 내용에 대해서 더욱 명확히 찾아낼 수 있다.
최근 악성코드의 형태를 보면, 통신데이터를 쉽게 알지 못하게 하기 위해 암호화를 하거나
난독화와 같은 다양한 방법을 사용하고 있기 때문이다.

이런 것들을 파악해 낼 수 있도록 패킷인사이드에서는 네트워크 포렌직 및 기타 다양한 관점의
분석방법에 대해서 소개할 예정이다. 그리고, 계속 변화하는 트랜드를 알고 있어야만
준비할 수 있다.


@Rigel

댓글 없음:

댓글 쓰기