1 / 11

We Can Prove IT!

We Can Prove IT!. 로얄 베이비 : 왕위 계승 서열 3 위 , 위협 유인으로서 서열 1 위 !. 知彼知己 百戰不殆 - 해커의 공격 방법. 로얄 베이비 : 왕위 계승 서열 3 위 , 위협 미끼로서 서열 1 위 !. 해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트. 블랙홀 취약점 공격 킷 ( Blackhole Exploit Kit ) 과 함께 플래시 업데이트.

osma
Download Presentation

We Can Prove IT!

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. We Can Prove IT! 로얄 베이비: 왕위 계승 서열 3위, 위협 유인으로서 서열 1위!

  2. 知彼知己 百戰不殆 - 해커의 공격 방법 로얄 베이비: 왕위 계승 서열 3위, 위협 미끼로서 서열 1위! 해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트 블랙홀 취약점 공격 킷(Blackhole Exploit Kit) 과 함께 플래시 업데이트 3개의 알려진 악의적인 사이트와 통신 바이러스 토탈(Virus Total)은 다음과 같은 AV 탐지율을 보여줌: 1/39, 1/39, 4/19. cmd.exe 생성 AV 로는 보호가 제공되지 못함 다수의 C&C 통신 개인식별정보 유출(PII) 유출된 상세한 개인 정보들은 더 많은 피해 공격의 전조 한 시간 동안에 웹센스 ThreatSeeker는 동일 제목으로된 60,000개 이상의이메일 유인 발견: “로얄 베이비: 라이브 업데이트” 모든 링크는 악의적인 웹으로 연결 다른 캠페인들도 감지 누구나 대상 사람의 관심을 끄는 새로운 이야기를 활용 (로얄 베이비) 정찰 유인 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출 http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx

  3. 1 단계: 정찰 • 캠브리지 공작과 공작 부인은 7월 23일에 태어난 장래 영국 왕위를 승계할 남자 아기의 자랑스러운 부모가 되었다. • 그들이 가족의 기쁨에 빠져 있는 동안, 사이버 범죄자들은 뉴스에 편승하여 다양한 악의적인 캠페인을 제공하기 바빴다. 누구나 대상 사람의 관심을 끄는 새로운 이야기를 활용 (로얄 베이비) 정찰

  4. 2 단계: 유인 이메일 유인: URL 리다이렉트 링크 제공 한 시간 동안에 웹센스 ThreatSeeker는 동일 제목으로된 60,000개 이상의이메일 유인 발견: “로얄 베이비: 라이브 업데이트” 모든 링크는 악의적인 웹으로 연결 다른 캠페인들도 감지 미끼 이메일 유인 : 악의적인 첨부 파일...

  5. 3 단계:리다이렉트 사이트는 희생자를 속여서 가짜 어도비 플래시 플레이어 업데이트를 설치하도록 사회적 공학 방법을 이용하였다. 해킹된 웹사이트의 좋은 평판을 악용하여 숨겨진 난독화된 악성 코드가 삽입되거나 조작된 합법적인 웹사이트를 대상으로 리다이렉트 리다이렉트

  6. 4 단계: 취약점 공격 킷(Exploit Kit) 블랙홀 취약점 공격 킷(BlackholeExploit Kit) 과 함께 플래시 업데이트 취약점 공격 킷

  7. 5 단계:드로퍼 파일 • 취약점 공격이 성공적으로 수행되면, 드로퍼 파일 및/또는 다운로더 파일이 희생자의 PC안에 추가 악성 페이로드의 설치에 사용된다. 3개의 알려진 악의적인 사이트와 통신 바이러스 토탈(Virus Total)은 다음과 같은 AV 탐지율을 보여줌: 1/39, 1/39, 4/19. cmd.exe 생성 AV 로는 보호가 제공되지 못함 드로퍼 파일

  8. 6 & 7 단계:콜 홈 & 데이터 유출 • 일단 희생자의 컴퓨터에 악의적인 페이로드가 설치가 되면, "콜 홈(call home)" 통신을 시도하고 캠페인을 가장한 해커의 명령을 수행하기 위하여 C&C 인프라에 접속한다. • 데이터 유출 - 개인 식별 정보(PII), 회사 기밀 데이터 또는 심지어 잠재적인 로얄 베이비 이름의 목록 등이 일반적인 공격자의 최종 목표가 된다. 다수의 C&C 통신 개인식별정보 유출(PII) 유출된 상세한 개인 정보들은 더 많은 피해 공격의 전조 콜 홈 데이터 도난

  9. 웹센스 TRITON는 당신의 비지니스를 어떻게 보호하는가? 로얄 베이비: 왕위 계승 서열 3위, 위협 유인으로서 서열 1위! 이메일 보안 솔루션은 클릭 시점에서의 보호를 제공하기 위하여 URL 래핑(wrapping)을 사용하여리다이렉트 차단 웹 보안 솔루션은 Websense ACE 사용하여 악의적인 웹 리다이렉트를 차단함 웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 취약점 공격과 알려지지 않는 취약점 공격을 동시에 식별 웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 드로퍼 파일 과 알려지지 않은 드로퍼 파일을 식별 ThreatScope는 샌드박스(sandbox) 분석을 수행하여 알려지지 않은 위협을 인식하기 위하여 실행 및 문서 파일의 대응 웹 보안 솔루션은 Websense ACE 엔진을 사용하여 알려진 C&C 사이트와 알려진 C&C 프로토콜과 알려지지 않은 C&C 프로토콜을 동시에 인식 ESGA는 이메일 채널에 대한 완벽한 데이터 보안 보호 기능을 제공 WSGA는 웹 채널에 대한 완벽한 데이터 보안 보호 기능을 제공 DSS는 다양한 네트워크 채널, 엔드포인트 뿐만 아니라 그 이상의 완벽한 데이터 보안 보호 기능을 제공 이메일 유인은 이메일 보안 솔루션에 의해 차단됨. 웹/소셜 미디어 유인은 웹 보안 솔루션으로 차단됨 Defensio는 웹 사이트에 게시된 웹 및 소셜 미디어 유인을 차단 Websense Security Labs (WSL)과 ThreatSeeker는 범죄 커뮤니티에 대한 정찰 수행함 고객은 새로운 위협에 대한 최신 정보를 유지하는 WSL 블로그를 팔로우할 수 있음 정찰 유인 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출 http://community.websense.com/blogs/securitylabs/archive/2013/07/24/royal-baby-third-in-line-to-the-throne-first-in-line-as-a-threat-lure.aspx

  10. APT 방어 범위: 웹센스 TRITON vs경쟁사 정찰 미끼 리다이렉트 취약점 공격 킷 드로퍼 파일 콜 홈 데이터 유출

  11. TED LEE telee@websense.com

More Related