[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] 2019³â°ú 2020³â, AD(Active Directory)¸¦ »ç¿ëÇÏ´Â ±â¾÷À» ´ë»óÀ¸·Î ÇÑ »çÀ̹ö °ø°ÝÀÌ ´Ã¾î³ª¸é¼ ÀÌ¿¡ ´ëÇÑ ´ëÀÀ À̽´°¡ Ä¿Áö°í ÀÖ´Ù. AD´Â ´Ù¼öÀÇ ½Ã½ºÅÛÀ» °ü¸®ÇÏ´Â µ¥ È¿À²ÀûÀÌÁö¸¸, ¹Ì¼÷ÇÑ °èÁ¤ °ü¸®·Î ÀÎÇØ °ü¸®ÀÚ ±ÇÇÑÀÌ Å»ÃëµÈ´Ù¸é Àüü ³»ºÎ¸ÁÀÌ Àå¾Ç´çÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù.
[À̹ÌÁö=utoimage]
AD´Â À©µµ¿ì 2000 ¼¹ö ÀÌ»óÀÇ Á¦Ç°±º¿¡¼ Áö¿øÇÏ´Â ±â´ÉÀ¸·Î, ½±°Ô ¼³¸íÇÏ¸é ±â¾÷ÀÌ »ç¿ëÇÏ´Â ¼¹ö³ª ÄÄÇ»ÅÍ°¡ »ç¿ëÇÏ´Â ÀÀ¿ë ÇÁ·Î±×·¥À» °ü¸®ÇÏ´Â ±â´ÉÀÌ´Ù. Æí¸®ÇÑ API(Application Programming Interface)¸¦ ±â¹ÝÀ¸·Î, °ü¸®ÀÚ°¡ ´Ù¾çÇÑ ¼¹ö¸¦ °ü¸®ÇÒ ¼ö Àֱ⠶§¹®¿¡ ¸Å¿ì Æí¸®ÇÏÁö¸¸, ¹Ý´ë·Î AD¸¦ Å»Ãë´çÇÒ °æ¿ì ¸ðµç ¼¹ö¿Í ½Ã½ºÅÛÀÇ ¿î¿µ±ÇÇÑÀ» °ø°ÝÀÚ¿¡°Ô »©¾Ñ±æ ¼ö ÀÖ´Ù.
2019³â »ó¹Ý±â¿Í 2020³â ÇϹݱâ, ±¹³» AD ȯ°æÀÇ ·£¼¶¿þ¾î °¨¿°»ç°í°¡ ¹ß»ýÇßÀ¸¸ç, ÀÌ¿¡ °æ°¢½ÉÀ» ´À³¤ ±â¾÷µéÀº Áß¿ä µ¥ÀÌÅ͸¦ ¹é¾÷ÇÏ´Â µî ´ëÃ¥ ¸¶·Ã¿¡ ³ª¼¹´Ù. ÀÌ¿¡ °ø°ÝÀÚµéÀº ·£¼¶¿þ¾î´Â ¹°·Ð ±â¾÷ÀÇ ³»ºÎ Á¤º¸¸¦ À¯ÃâÇØ À¯ÃâÇÑ ÀڷḦ ÀÎÁú·Î »ï¾Æ ¸ö°ªÀ» ¿ä±¸Çϱ⠽ÃÀÛÇß´Ù.
Çѱ¹ÀÎÅͳÝÁøÈï¿øÀº ÀÌ·¯ÇÑ »ç°íµéÀÇ Ä§Åõ±â¾÷ÀÌ AD ȯ°æ ±¸¼º ¹æ½Ä¿¡ µû¶ó Á¶±Ý¾¿ Â÷ÀÌ°¡ ÀÖ±â´Â ÇÏÁö¸¸, 2019³âºÎÅÍ ¹ß»ýÇÑ AD ȯ°æÀÇ ·£¼¶¿þ¾î °¨¿°»ç°íµéÀ» ºÐ¼®ÇÑ °á°ú ´ëºÎºÐÀº µ¿ÀÏÇÑ TTP(Tactic, Technique, Procedure)¸¦ »ç¿ëÇßÀ½À» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù°í ¹àÇû´Ù.
¾Æ¿ï·¯ °ø°ÝÀÚÀÇ TTP´Â ¾ðÁ¦³ª ¹æ¾î ȯ°æÀÇ Æ¯¼º°ú ¸Â¹°·Á Àֱ⠶§¹®¿¡ °ø°ÝÀÇ È帧°ú °úÁ¤À» ÆÐÅÏÀ̳ª ±â¹ýÀÌ ¾Æ´Ñ Àü·« Àü¼ú °üÁ¡¿¡¼ ºÁ¾ß ÇÑ´Ù°í °Á¶Çß´Ù. ÀÌ·¯ÇÑ °¡¿îµ¥ KISA´Â AD ȯ°æÀ» ³ë¸° °ø°Ý¿¡¼ °ø°ÝÀÚÀÇ TTP¸¦ ÆľÇÇÏ°í, ±× °úÁ¤°ú ´ëÀÀ¹æ¾ÈÀ» ¡®ATT&CK Framework(½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÈ Àü¼ú ¹× ±â¼ú°ú ±×¿¡ ´ëÇÑ ´ëÀÀÀ» ³ªÅ¸³½ ¸ÅÆ®¸¯½º)¡¯ ±â¹ÝÀ¸·Î ÀÛ¼ºÇÑ º¸°í¼¸¦ ¹ßÇ¥Çß´Ù.
¡ã°ø°Ý °³¿äµµ[ÀÚ·á=KISA]
AD ȯ°æÀ» ³ë¸° °ø°ÝÀÚÀÇ TTP¿Í ´ëÀÀ¹æ¾È
1. Reconnaissance
Á¤Âû ´Ü°è¿¡¼ Email Stealer ¾Ç¼ºÄڵ带 ÀÌ¿ëÇÏ¿© ±âÁ¸¿¡ °¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ¾Æ¿ô·è µ¥ÀÌÅÍ ÆÄÀÏÀ» À¯ÃâÇØ À̸ÞÀÏ Á¤º¸¸¦ ¼öÁýÇÑ´Ù. ÀÌ·¸°Ô ¼öÁýÇÑ À̸ÞÀÏ °èÁ¤ Áß ÀϺδ ±â¾÷À» Ç¥ÀûÀ¸·Î ÇÑ APT °ø°Ý¿¡ »ç¿ëµÈ´Ù.
2. Resource Development
AD ȯ°æ¿¡¼ ³»ºÎ À̵¿À» À§ÇØ »ó¿ë µµ±¸ÀÎ Cobalt Strike¿Í Ammyy Admin, Tiny Met µî ¾Ç¼ºÄڵ带 ÁÖ·Î »ç¿ëÇÑ´Ù. ¶ÇÇÑ, ¸í·ÉÁ¦¾î ¼¹ö³ª ¾Ç¼ºÄÚµå À¯Æ÷Áö·Î »ç¿ëÇÒ ÀÚ¿øÀ» ¹Ì¸® È®º¸ÇÏ°í SMB Ãø¸é À̵¿À» À§ÇÑ °ø°Ý µµ±¸µµ ÀÚü Á¦ÀÛÇÑ´Ù.
3. Initial Access
»çÀü¿¡ Å»ÃëÇÑ ¸ÞÀÏ °èÁ¤À» ´ë»óÀ¸·Î ¾Ç¼º ÆÄÀÏÀ̳ª ¾Ç¼º ¸µÅ©°¡ ÷ºÎµÈ ½ºÇǾîÇÇ½Ì ¸ÞÀÏÀ» ¹ß¼ÛÇÑ´Ù. Á¤»óÀûÀÎ ¸ÞÀÏ·Î À§ÀåÇϱâ À§ÇØ °ø°Ý ´ë»óÀÇ ¾÷¹«¿Í ±â¾÷ÀÇ Æ¯¼ºÀ» È°¿ëÇϱ⠶§¹®¿¡ ÇÇ½Ì ¸ÞÀÏÀÇ ÇüÅÂ¿Í ³»¿ëÀº ¸Å¹ø ´Þ¶óÁø´Ù.
4. Execution
¿ø°ÝÁ¦¾î ¾Ç¼ºÄڵ带 ÅëÇØ ´Ù¾çÇÑ ¿ø°Ý ¸í·ÉÀ» ¼öÇàÇÏ¸ç µµ¸ÞÀÎ ³» ½Ã½ºÅÛµé »çÀÌ¿¡ ÆÄÀÌÇÁ¸¦ »ý¼ºÇÏ¿© ¸í·ÉÀ» ¼öÇàÇÑ´Ù. ÀÌÈÄ SMB Æ÷Æ®¸¦ ÅëÇØ ADÀÇ Á¶ÀÎµÈ ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¸í·ÉÀ» ½ÇÇàÇÏ°í ¾Ç¼ºÄڵ带 ¼ºñ½º¿¡ µî·ÏÇÑ´Ù. ±×¸®°í WMI¿Í ÆÄ¿ö¼Ð µîÀ» ÅëÇÏ¿© ¿ø°Ý ½Ã½ºÅÛ¿¡ ¸í·ÉÀ» ½ÇÇàÇÑ´Ù.
5. Persistence
°¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ¿ø°ÝÁ¦¾î ¾Ç¼ºÄÚµåÀÇ Áö¼Ó¼ºÀ» À¯ÁöÇϱâ À§ÇØ ¼ºñ½º¿Í ·¹Áö½ºÆ®¸® µî·ÏÀ» ÅëÇØ ÀÚµ¿ ½ÇÇàµÇµµ·Ï ÇÑ´Ù. ¶ÇÇÑ, AD¿¡ Á¶ÀÎµÈ ¸ðµç ½Ã½ºÅÛÀ» µ¿½Ã¿¡ ¾Ç¼ºÄڵ忡 °¨¿°½ÃÅ°±â À§Çؼ AD DC(Domain Controller)¸¦ Àå¾ÇÇØ ±×·ì Á¤Ã¥À» ¹èÆ÷ÇÑ´Ù.
6. Command and Control
°ø°ÝÀÚ´Â Ammyy RAT, Amadey Bot ¾Ç¼ºÄڵ带 »ç¿ëÇÏ¿© ¿ÜºÎ C2 ¼¹ö¿¡¼ °¨¿°µÈ ½Ã½ºÅÛÀ¸·Î ´Ù¾çÇÑ ¿ø°Ý ¸í·ÉÀ» ¼öÇàÇÏ°í Ãß°¡ ¾Ç¼º ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù. °ÅÁ¡ ¼¹ö¸¦ Àå¾ÇÇÑ ÀÌÈÄ¿¡´Â SMB ±â´ÉÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛÀ¸·Î Ãß°¡ ¸í·ÉÀ» ¼öÇàÇÏ°í ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå ¹× ½ÇÇà½ÃŲ´Ù.
7. Privilege Escalation
»ç¿ëÀÚ ¹× °ü¸®ÀÚ µµ¸ÞÀÎ °èÁ¤Á¤º¸¸¦ Å»ÃëÇÏ¿© AD¿¡ Á¶ÀÎµÈ ´Ù¸¥ ½Ã½ºÅÛ¿¡ Á¢¼ÓÇÑ´Ù. ¶ÇÇÑ, ·£¼¶¿þ¾î °ø°Ý ½Ã °øÀ¯ Æú´õ ¾Ïȣȸ¦ À§ÇØ ¿ø°Ý µ¥½ºÅ©Åé ¼¼¼Ç Á¤º¸¸¦ Å»ÃëÇϱ⵵ ÇÑ´Ù.
8. Credential Access
°ø°ÝÀÚ´Â ³»ºÎ À̵¿À» À§ÇØ Æнº¿öµå ´ýÇÁ ÇÁ·Î±×·¥À» »ç¿ëÇÏ¿© ¼öÁýÇÑ AD ¼¹ö °ü¸®ÀÚ °èÁ¤Á¤º¸³ª Ãß°¡ »ý¼ºÇÑ °èÁ¤À» »ç¿ëÇÑ´Ù.
9. Defense Evasion
¹é½Å µî º¸¾È ÇÁ·Î±×·¥ ŽÁö ¿ìȸ¸¦ À§ÇØ ÀÎÁõ¼ ¼¸íµÈ ¾Ç¼ºÄڵ带 »ç¿ëÇϰųª ¾ÏÈ£ÈÇßÀ¸¸ç, msiexec¸¦ ÅëÇØ ¾Ç¼ºÄڵ带 ½ÇÇàÇÑ´Ù. °ø°ÝÀÌ ³¡³ ÈÄ »ç¿ëÇß´ø ¾Ç¼ºÄÚµå ¹× À̺¥Æ® ·Î±× µî ÈçÀûÀº »èÁ¦ÇÑ´Ù.
10. Discovery
ÃÖÃÊ Ä§Åõ ½Ã µµ¸ÞÀÎ Á¤º¸¸¦ ¼öÁýÇÏ°í ÆÄÀÏ µð·ºÅ͸® °Ë»öÀ̳ª ³×Æ®¿öÅ© °øÀ¯ Ž»öÀ» ÅëÇØ ³»ºÎ¸Á ±¸Á¶¸¦ ÆľÇÇÑ´Ù. ÀÌÈÄ ³»ºÎ À̵¿À» ÅëÇØ °¨¿°µÈ ½Ã½ºÅÛÀÇ Á¤º¸¸¦ ¼öÁý ÈÄ À¯ÃâÇϸç, ·£¼¶¿þ¾î °¨¿°À» À§ÇØ ÇÁ·Î¼¼½º³ª ¼ºñ½º Á¤º¸¸¦ ¼öÁýÇϱ⵵ ÇÑ´Ù.
11. Lateral Movement
°ø°ÝÀÚ´Â È®º¸µÈ AD °èÁ¤À» »ç¿ëÇØ Å¸ ½Ã½ºÅÛ¿¡ RDP Á¢±ÙÀ» ½ÃµµÇϸç ÁÖ·Î À©µµ¿ì ÆÄÀÏ °øÀ¯ ÇÁ·ÎÅäÄÝ(SMB) ±â´ÉÀ» ÀÌ¿ëÇÏ¿© ¾Ç¼ºÄڵ带 ÀüÆÄÇÏ°í Ãß°¡ °¨¿°½ÃŲ´Ù. ÆÄ¿ö¼ÐÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¿ø°Ý ¸í·ÉÀ» ½ÇÇàÇÏ¿© ¿ÜºÎ °ø°ÝÀÚ À¯Æ÷Áö ¼¹ö·ÎºÎÅÍ Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå ¹× ½ÇÇàÇϰųª °ÅÁ¡ ¼¹öÀÇ °øÀ¯ Æú´õ¿¡ ¾Ç¼ºÄڵ带 ¸ð¾Æ³õ°í À©µµ¿ì °ü¸®ÀÚ °øÀ¯ ±â´ÉÀ» »ç¿ëÇØ ´Ù¸¥ ½Ã½ºÅÛ¿¡ º¹»ç ¹× ½ÇÇàÇÑ´Ù.
12. Collection
°ø°ÝÀÚ´Â ÃÖÃÊ Ä§Åõ ÈÄ AD °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÏ°í °ÅÁ¡ ¼¹ö¸¦ Àå¾ÇÇÒ ¶§±îÁö ³»ºÎ À̵¿À» Çϸç Ping castle, powerkatz µî »ó¿ëµµ±¸¸¦ »ç¿ëÇÏ¿© ÇÁ·Î¼¼½º, ³×Æ®¿öÅ©, °èÁ¤Á¤º¸ µîÀ» ¼öÁýÇÑ´Ù. ÀÌÈÄ ¿ø°ÝÁ¦¾î ¾Ç¼ºÄڵ带 ÅëÇØ ÇÇÇØ ½Ã½ºÅÛÀÇ Á¤º¸¸¦ ¼öÁýÇÏ°í, ¼öÁýµÈ µ¥ÀÌÅ͸¦ ÀÚü ±¸ÇöÇÑ XOR·Î ÀÎÄÚµù ÈÄ À¯ÃâÇÑ´Ù.
13. Exfiltration
°¨¿°µÈ ½Ã½ºÅÛÀÇ ¸Þ¸ð¸®¿¡¼ ¼öÁýµÈ µ¥ÀÌÅ͸¦ ÇϳªÀÇ ÆÄÀÏ·Î ÀúÀåÇÏ¿© °ø°ÝÀÚÀÇ C&C(¸í·ÉÁ¦¾î) ¼¹ö·Î À¯ÃâÇÑ´Ù. Á¤Âû´Ü°è¿¡¼ °¨¿°µÈ ½Ã½ºÅÛ¿¡¼ ¼öÁýµÈ À̸ÞÀÏ°ú °èÁ¤Á¤º¸ ¶ÇÇÑ °ø°ÝÀÚÀÇ C&C ¼¹ö·Î À¯ÃâÇÑ´Ù.
14. Impact
·£¼¶¿þ¾î ¹èÆ÷ Àü ŽÁö ¿ìȸ¸¦ À§ÇØ ½ÇÇà ÁßÀÎ ¼ºñ½º ¹× ÇÁ·Î¼¼½º¸¦ Á¾·áÇÑ´Ù. ÀÌÈÄ AD °ü¸®ÀÚ ±ÇÇÑÀ» »ç¿ë, AD DCÀÇ Á¤Ã¥¹èÆ÷¸¦ ÅëÇØ ·£¼¶¿þ¾î¸¦ ¹èÆ÷Çϰųª, SMB ÇÁ·ÎÅäÄÝÀ» ÅëÇØ ¼ºñ½º¿¡ µî·ÏÇÏ´Â ¹æ½ÄÀ¸·Î ·£¼¶¿þ¾î¿¡ °¨¿°½ÃŲ´Ù.
º¸°í¼¿¡ µû¸£¸é, °ø°ÝÀÚ´Â ½ºÇǾîÇǽÌÀ» ÅëÇØ ³»ºÎ¿¡ ħÅõÇß°í, °èÁ¤À» Å»ÃëÇÑ ÈÄ¿¡ DC ¼¹ö Àå¾Ç°ú SMB ±â´ÉÀ» ÅëÇÑ ³»ºÎ À̵¿ÀÇ °úÁ¤À» ÅëÇØ ·£¼¶¿þ¾î¿¡ °¨¿°½ÃÄ×´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº °ø°ÝÀÚ°¡ ¿ä±¸ÇÏ´Â ¸ö°ª°ú ±â¾÷ À̹ÌÁö ¼Õ»ó¿¡ µû¸¥ ÇÇÇØ, ½Ã½ºÅÛ º¹±¸ºñ¿ë µî ¸·´ëÇÑ ¼Õ½ÇÀÌ ¹ß»ýÇÒ »Ó¸¸ ¾Æ´Ï¶ó, ADÀÇ Æ¯¼º»ó ½Ã½ºÅÛ Àüü°¡ Àå¾Ç ´çÇØ ±â¾÷ÀÇ ÁÖ¿ä Á¤º¸°¡ À¯ÃâµÇ´Â µî Ãß°¡ ÇÇÇصµ ¹ß»ýÇÑ´Ù.
¾Æ¿ï·¯ º¸°í¼´Â ±â¾÷¸¶´Ù ¸Á ±¸¼º¹æ½Ä°ú ±ÇÇÑ °ü¸®, º¸¾È Á¤Ã¥ÀÌ ¼·Î ´Þ¶ó ħÅõ¹æ½ÄÀ̳ª ¼¼ºÎÀûÀÎ °ø°Ý ¹æ¹ýÀº º¯°æµÉ ¼ö ÀÖÀ¸³ª, ¡â±ÇÇÑ»ó½Â ¡â°èÁ¤Å»Ãë ¡âSMB¸¦ ÅëÇÑ ³»ºÎ À̵¿ µîÀº ´ëºÎºÐÀÇ AD °ø°Ý¿¡¼ È®ÀεǴ °øÅëÀûÀΠƯ¼ºÀ̶ó°í °Á¶Çß´Ù. ÀÌ¿¡ AD ȯ°æÀ» »ç¿ëÇÏ´Â ±â¾÷Àº °èÁ¤°ü¸®¿Í ¸ð´ÏÅ͸µÀÌ Á¦ÀÏ Áß¿äÇÏ´Ù°í Á¶¾ðÇß´Ù.
ƯÈ÷, ÃÖÃÊ Ä§Åõ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â °ü¸®ÀÚ °èÁ¤ Å»Ã븦 ¸ñÇ¥·Î ³»ºÎ¸ÁÀ» Ž»öÇÏ°í À̵¿ÇÏ°Ô µÇ´Âµ¥, À̶§ ÀÏ¹Ý »ç¿ëÀÚ °èÁ¤À» ¾Æ¹«¸® ¸¹ÀÌ Å»ÃëÇÏ´õ¶óµµ ³»ºÎ¸Á Àå¾Ç¿¡ µµ¿òÀÌ µÇÁö ¾Ê´Â´Ù. ÀÌ ¶§¹®¿¡ °èÁ¤ÀÌ Å»ÃëµÇ´õ¶óµµ AD DC(Domain Controller) ¼¹ö¸¦ Àå¾ÇÇÒ ¼ö ¾øµµ·Ï »ç¿ëÀÚ ¹× ¼ºñ½º °èÁ¤µéÀÇ ±ÇÇÑÀ» ºÐ¸®ÇØ °ü¸®ÇØ¾ß ÇÑ´Ù°í ¼³¸íÇß´Ù.
¶ÇÇÑ, °ü¸®ÀÚ ±×·ì°èÁ¤ »ç¿ëÀ» ÃÖ¼ÒÈÇÏ°í ºÒ°¡ÇÇÇÏ°Ô °ü¸®ÀÚ °èÁ¤À» »ç¿ëÇÏ´Â ½Ã½ºÅÛµéÀº ÁÖ±âÀûÀ¸·Î ¸ð´ÏÅ͸µ ÇØ¾ß Çϸç, AD DCÀÇ °æ¿ì µî·ÏµÈ ¼ºñ½º¿Í ±×·ì Á¤Ã¥ ¸ñ·Ï¿¡ Àǽɽº·¯¿î »çÇ×Àº ¾ø´ÂÁö ÁÖÀǸ¦ ±â¿ï¿©¾ß ÇÑ´Ù´Â °Í. ¶ÇÇÑ, ÁÖ¿ä ½Ã½ºÅÛ ·Î±×´Â ÁÖ±âÀûÀ¸·Î ¹é¾÷ÇÏ°í °èÁ¤ Å»Ãë µµ±¸°¡ ŽÁöµÇ°Å³ª, ÆÄÀÌÇÁ Åë½Å ¹ß°ß ½Ã Áï½Ã Àü»ç ½Ã½ºÅÛÀ» Á¡°ËÇØ ºÁ¾ß ÇÑ´Ù°í Á¶¾ðÇß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>