º¸¾È´º½º

AD ȯ°æÀ» ³ë¸° ·£¼¶¿þ¾î °ø°Ý, ¾î¶»°Ô ´ëÀÀÇØ¾ß Çϳª

ÀÛ¼ºÀÏ 2021-06-08 Á¶È¸¼ö : 4,037

ADȯ°æÀ» °ø°ÝÇÑ °ø°ÝÀÚµéÀÇ µ¿ÀÏÇÑ TTP ºÐ¼®...´ëÀÀ¹æ¾È ¸ð»öÇÑ º¸°í¼­ ³ª¿Í

2019³â°ú 2020³â, AD(Active Directory)¸¦ »ç¿ëÇÏ´Â ±â¾÷À» ´ë»óÀ¸·Î ÇÑ »çÀ̹ö °ø°ÝÀÌ ´Ã¾î³ª¸é¼­ ÀÌ¿¡ ´ëÇÑ ´ëÀÀ À̽´°¡ Ä¿Áö°í ÀÖ´Ù. AD´Â ´Ù¼öÀÇ ½Ã½ºÅÛÀ» °ü¸®ÇÏ´Â µ¥ È¿À²ÀûÀÌÁö¸¸, ¹Ì¼÷ÇÑ °èÁ¤ °ü¸®·Î ÀÎÇØ °ü¸®ÀÚ ±ÇÇÑÀÌ Å»ÃëµÈ´Ù¸é Àüü ³»ºÎ¸ÁÀÌ Àå¾Ç´çÇÒ ¼ö Àֱ⠶§¹®ÀÌ´Ù.


AD´Â À©µµ¿ì 2000 ¼­¹ö ÀÌ»óÀÇ Á¦Ç°±º¿¡¼­ Áö¿øÇÏ´Â ±â´ÉÀ¸·Î, ½±°Ô ¼³¸íÇÏ¸é ±â¾÷ÀÌ »ç¿ëÇÏ´Â ¼­¹ö³ª ÄÄÇ»ÅÍ°¡ »ç¿ëÇÏ´Â ÀÀ¿ë ÇÁ·Î±×·¥À» °ü¸®ÇÏ´Â ±â´ÉÀÌ´Ù. Æí¸®ÇÑ API(Application Programming Interface)¸¦ ±â¹ÝÀ¸·Î, °ü¸®ÀÚ°¡ ´Ù¾çÇÑ ¼­¹ö¸¦ °ü¸®ÇÒ ¼ö Àֱ⠶§¹®¿¡ ¸Å¿ì Æí¸®ÇÏÁö¸¸, ¹Ý´ë·Î AD¸¦ Å»Ãë´çÇÒ °æ¿ì ¸ðµç ¼­¹ö¿Í ½Ã½ºÅÛÀÇ ¿î¿µ±ÇÇÑÀ» °ø°ÝÀÚ¿¡°Ô »©¾Ñ±æ ¼ö ÀÖ´Ù.

2019³â »ó¹Ý±â¿Í 2020³â ÇϹݱâ, ±¹³» AD ȯ°æÀÇ ·£¼¶¿þ¾î °¨¿°»ç°í°¡ ¹ß»ýÇßÀ¸¸ç, ÀÌ¿¡ °æ°¢½ÉÀ» ´À³¤ ±â¾÷µéÀº Áß¿ä µ¥ÀÌÅ͸¦ ¹é¾÷ÇÏ´Â µî ´ëÃ¥ ¸¶·Ã¿¡ ³ª¼¹´Ù. ÀÌ¿¡ °ø°ÝÀÚµéÀº ·£¼¶¿þ¾î´Â ¹°·Ð ±â¾÷ÀÇ ³»ºÎ Á¤º¸¸¦ À¯ÃâÇØ À¯ÃâÇÑ ÀڷḦ ÀÎÁú·Î »ï¾Æ ¸ö°ªÀ» ¿ä±¸Çϱ⠽ÃÀÛÇß´Ù.

Çѱ¹ÀÎÅͳÝÁøÈï¿øÀº ÀÌ·¯ÇÑ »ç°íµéÀÇ Ä§Åõ±â¾÷ÀÌ AD ȯ°æ ±¸¼º ¹æ½Ä¿¡ µû¶ó Á¶±Ý¾¿ Â÷ÀÌ°¡ ÀÖ±â´Â ÇÏÁö¸¸, 2019³âºÎÅÍ ¹ß»ýÇÑ AD ȯ°æÀÇ ·£¼¶¿þ¾î °¨¿°»ç°íµéÀ» ºÐ¼®ÇÑ °á°ú ´ëºÎºÐÀº µ¿ÀÏÇÑ TTP(Tactic, Technique, Procedure)¸¦ »ç¿ëÇßÀ½À» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù°í ¹àÇû´Ù.

¾Æ¿ï·¯ °ø°ÝÀÚÀÇ TTP´Â ¾ðÁ¦³ª ¹æ¾î ȯ°æÀÇ Æ¯¼º°ú ¸Â¹°·Á Àֱ⠶§¹®¿¡ °ø°ÝÀÇ È帧°ú °úÁ¤À» ÆÐÅÏÀ̳ª ±â¹ýÀÌ ¾Æ´Ñ Àü·« Àü¼ú °üÁ¡¿¡¼­ ºÁ¾ß ÇÑ´Ù°í °­Á¶Çß´Ù. ÀÌ·¯ÇÑ °¡¿îµ¥ KISA´Â AD ȯ°æÀ» ³ë¸° °ø°Ý¿¡¼­ °ø°ÝÀÚÀÇ TTP¸¦ ÆľÇÇÏ°í, ±× °úÁ¤°ú ´ëÀÀ¹æ¾ÈÀ» ¡®ATT&CK Framework(½ÇÁ¦ °ø°Ý¿¡ »ç¿ëµÈ Àü¼ú ¹× ±â¼ú°ú ±×¿¡ ´ëÇÑ ´ëÀÀÀ» ³ªÅ¸³½ ¸ÅÆ®¸¯½º)¡¯ ±â¹ÝÀ¸·Î ÀÛ¼ºÇÑ º¸°í¼­¸¦ ¹ßÇ¥Çß´Ù.



AD ȯ°æÀ» ³ë¸° °ø°ÝÀÚÀÇ TTP¿Í ´ëÀÀ¹æ¾È
1. Reconnaissance
Á¤Âû ´Ü°è¿¡¼­ Email Stealer ¾Ç¼ºÄڵ带 ÀÌ¿ëÇÏ¿© ±âÁ¸¿¡ °¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ¾Æ¿ô·è µ¥ÀÌÅÍ ÆÄÀÏÀ» À¯ÃâÇØ À̸ÞÀÏ Á¤º¸¸¦ ¼öÁýÇÑ´Ù. ÀÌ·¸°Ô ¼öÁýÇÑ À̸ÞÀÏ °èÁ¤ Áß ÀϺδ ±â¾÷À» Ç¥ÀûÀ¸·Î ÇÑ APT °ø°Ý¿¡ »ç¿ëµÈ´Ù.

2. Resource Development
AD ȯ°æ¿¡¼­ ³»ºÎ À̵¿À» À§ÇØ »ó¿ë µµ±¸ÀÎ Cobalt Strike¿Í Ammyy Admin, Tiny Met µî ¾Ç¼ºÄڵ带 ÁÖ·Î »ç¿ëÇÑ´Ù. ¶ÇÇÑ, ¸í·ÉÁ¦¾î ¼­¹ö³ª ¾Ç¼ºÄÚµå À¯Æ÷Áö·Î »ç¿ëÇÒ ÀÚ¿øÀ» ¹Ì¸® È®º¸ÇÏ°í SMB Ãø¸é À̵¿À» À§ÇÑ °ø°Ý µµ±¸µµ ÀÚü Á¦ÀÛÇÑ´Ù.

3. Initial Access
»çÀü¿¡ Å»ÃëÇÑ ¸ÞÀÏ °èÁ¤À» ´ë»óÀ¸·Î ¾Ç¼º ÆÄÀÏÀ̳ª ¾Ç¼º ¸µÅ©°¡ ÷ºÎµÈ ½ºÇǾîÇÇ½Ì ¸ÞÀÏÀ» ¹ß¼ÛÇÑ´Ù. Á¤»óÀûÀÎ ¸ÞÀÏ·Î À§ÀåÇϱâ À§ÇØ °ø°Ý ´ë»óÀÇ ¾÷¹«¿Í ±â¾÷ÀÇ Æ¯¼ºÀ» È°¿ëÇϱ⠶§¹®¿¡ ÇÇ½Ì ¸ÞÀÏÀÇ ÇüÅÂ¿Í ³»¿ëÀº ¸Å¹ø ´Þ¶óÁø´Ù.

4. Execution
¿ø°ÝÁ¦¾î ¾Ç¼ºÄڵ带 ÅëÇØ ´Ù¾çÇÑ ¿ø°Ý ¸í·ÉÀ» ¼öÇàÇÏ¸ç µµ¸ÞÀÎ ³» ½Ã½ºÅÛµé »çÀÌ¿¡ ÆÄÀÌÇÁ¸¦ »ý¼ºÇÏ¿© ¸í·ÉÀ» ¼öÇàÇÑ´Ù. ÀÌÈÄ SMB Æ÷Æ®¸¦ ÅëÇØ ADÀÇ Á¶ÀÎµÈ ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¸í·ÉÀ» ½ÇÇàÇÏ°í ¾Ç¼ºÄڵ带 ¼­ºñ½º¿¡ µî·ÏÇÑ´Ù. ±×¸®°í WMI¿Í ÆÄ¿ö¼Ð µîÀ» ÅëÇÏ¿© ¿ø°Ý ½Ã½ºÅÛ¿¡ ¸í·ÉÀ» ½ÇÇàÇÑ´Ù.

5. Persistence
°¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ¿ø°ÝÁ¦¾î ¾Ç¼ºÄÚµåÀÇ Áö¼Ó¼ºÀ» À¯ÁöÇϱâ À§ÇØ ¼­ºñ½º¿Í ·¹Áö½ºÆ®¸® µî·ÏÀ» ÅëÇØ ÀÚµ¿ ½ÇÇàµÇµµ·Ï ÇÑ´Ù. ¶ÇÇÑ, AD¿¡ Á¶ÀÎµÈ ¸ðµç ½Ã½ºÅÛÀ» µ¿½Ã¿¡ ¾Ç¼ºÄڵ忡 °¨¿°½ÃÅ°±â À§Çؼ­ AD DC(Domain Controller)¸¦ Àå¾ÇÇØ ±×·ì Á¤Ã¥À» ¹èÆ÷ÇÑ´Ù.

6. Command and Control
°ø°ÝÀÚ´Â Ammyy RAT, Amadey Bot ¾Ç¼ºÄڵ带 »ç¿ëÇÏ¿© ¿ÜºÎ C2 ¼­¹ö¿¡¼­ °¨¿°µÈ ½Ã½ºÅÛÀ¸·Î ´Ù¾çÇÑ ¿ø°Ý ¸í·ÉÀ» ¼öÇàÇÏ°í Ãß°¡ ¾Ç¼º ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù. °ÅÁ¡ ¼­¹ö¸¦ Àå¾ÇÇÑ ÀÌÈÄ¿¡´Â SMB ±â´ÉÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛÀ¸·Î Ãß°¡ ¸í·ÉÀ» ¼öÇàÇÏ°í ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå ¹× ½ÇÇà½ÃŲ´Ù.

7. Privilege Escalation
»ç¿ëÀÚ ¹× °ü¸®ÀÚ µµ¸ÞÀÎ °èÁ¤Á¤º¸¸¦ Å»ÃëÇÏ¿© AD¿¡ Á¶ÀÎµÈ ´Ù¸¥ ½Ã½ºÅÛ¿¡ Á¢¼ÓÇÑ´Ù. ¶ÇÇÑ, ·£¼¶¿þ¾î °ø°Ý ½Ã °øÀ¯ Æú´õ ¾Ïȣȭ¸¦ À§ÇØ ¿ø°Ý µ¥½ºÅ©Åé ¼¼¼Ç Á¤º¸¸¦ Å»ÃëÇϱ⵵ ÇÑ´Ù.

8. Credential Access
°ø°ÝÀÚ´Â ³»ºÎ À̵¿À» À§ÇØ Æнº¿öµå ´ýÇÁ ÇÁ·Î±×·¥À» »ç¿ëÇÏ¿© ¼öÁýÇÑ AD ¼­¹ö °ü¸®ÀÚ °èÁ¤Á¤º¸³ª Ãß°¡ »ý¼ºÇÑ °èÁ¤À» »ç¿ëÇÑ´Ù.

9. Defense Evasion
¹é½Å µî º¸¾È ÇÁ·Î±×·¥ ŽÁö ¿ìȸ¸¦ À§ÇØ ÀÎÁõ¼­ ¼­¸íµÈ ¾Ç¼ºÄڵ带 »ç¿ëÇϰųª ¾ÏȣȭÇßÀ¸¸ç, msiexec¸¦ ÅëÇØ ¾Ç¼ºÄڵ带 ½ÇÇàÇÑ´Ù. °ø°ÝÀÌ ³¡³­ ÈÄ »ç¿ëÇß´ø ¾Ç¼ºÄÚµå ¹× À̺¥Æ® ·Î±× µî ÈçÀûÀº »èÁ¦ÇÑ´Ù.

10. Discovery
ÃÖÃÊ Ä§Åõ ½Ã µµ¸ÞÀÎ Á¤º¸¸¦ ¼öÁýÇÏ°í ÆÄÀÏ µð·ºÅ͸® °Ë»öÀ̳ª ³×Æ®¿öÅ© °øÀ¯ Ž»öÀ» ÅëÇØ ³»ºÎ¸Á ±¸Á¶¸¦ ÆľÇÇÑ´Ù. ÀÌÈÄ ³»ºÎ À̵¿À» ÅëÇØ °¨¿°µÈ ½Ã½ºÅÛÀÇ Á¤º¸¸¦ ¼öÁý ÈÄ À¯ÃâÇϸç, ·£¼¶¿þ¾î °¨¿°À» À§ÇØ ÇÁ·Î¼¼½º³ª ¼­ºñ½º Á¤º¸¸¦ ¼öÁýÇϱ⵵ ÇÑ´Ù.

11. Lateral Movement
°ø°ÝÀÚ´Â È®º¸µÈ AD °èÁ¤À» »ç¿ëÇØ Å¸ ½Ã½ºÅÛ¿¡ RDP Á¢±ÙÀ» ½ÃµµÇϸç ÁÖ·Î À©µµ¿ì ÆÄÀÏ °øÀ¯ ÇÁ·ÎÅäÄÝ(SMB) ±â´ÉÀ» ÀÌ¿ëÇÏ¿© ¾Ç¼ºÄڵ带 ÀüÆÄÇÏ°í Ãß°¡ °¨¿°½ÃŲ´Ù. ÆÄ¿ö¼ÐÀ» ÅëÇØ ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¿ø°Ý ¸í·ÉÀ» ½ÇÇàÇÏ¿© ¿ÜºÎ °ø°ÝÀÚ À¯Æ÷Áö ¼­¹ö·ÎºÎÅÍ Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå ¹× ½ÇÇàÇϰųª °ÅÁ¡ ¼­¹öÀÇ °øÀ¯ Æú´õ¿¡ ¾Ç¼ºÄڵ带 ¸ð¾Æ³õ°í À©µµ¿ì °ü¸®ÀÚ °øÀ¯ ±â´ÉÀ» »ç¿ëÇØ ´Ù¸¥ ½Ã½ºÅÛ¿¡ º¹»ç ¹× ½ÇÇàÇÑ´Ù.

12. Collection
°ø°ÝÀÚ´Â ÃÖÃÊ Ä§Åõ ÈÄ AD °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÏ°í °ÅÁ¡ ¼­¹ö¸¦ Àå¾ÇÇÒ ¶§±îÁö ³»ºÎ À̵¿À» Çϸç Ping castle, powerkatz µî »ó¿ëµµ±¸¸¦ »ç¿ëÇÏ¿© ÇÁ·Î¼¼½º, ³×Æ®¿öÅ©, °èÁ¤Á¤º¸ µîÀ» ¼öÁýÇÑ´Ù. ÀÌÈÄ ¿ø°ÝÁ¦¾î ¾Ç¼ºÄڵ带 ÅëÇØ ÇÇÇØ ½Ã½ºÅÛÀÇ Á¤º¸¸¦ ¼öÁýÇÏ°í, ¼öÁýµÈ µ¥ÀÌÅ͸¦ ÀÚü ±¸ÇöÇÑ XOR·Î ÀÎÄÚµù ÈÄ À¯ÃâÇÑ´Ù.

13. Exfiltration
°¨¿°µÈ ½Ã½ºÅÛÀÇ ¸Þ¸ð¸®¿¡¼­ ¼öÁýµÈ µ¥ÀÌÅ͸¦ ÇϳªÀÇ ÆÄÀÏ·Î ÀúÀåÇÏ¿© °ø°ÝÀÚÀÇ C&C(¸í·ÉÁ¦¾î) ¼­¹ö·Î À¯ÃâÇÑ´Ù. Á¤Âû´Ü°è¿¡¼­ °¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ¼öÁýµÈ À̸ÞÀÏ°ú °èÁ¤Á¤º¸ ¶ÇÇÑ °ø°ÝÀÚÀÇ C&C ¼­¹ö·Î À¯ÃâÇÑ´Ù.

14. Impact
·£¼¶¿þ¾î ¹èÆ÷ Àü ŽÁö ¿ìȸ¸¦ À§ÇØ ½ÇÇà ÁßÀÎ ¼­ºñ½º ¹× ÇÁ·Î¼¼½º¸¦ Á¾·áÇÑ´Ù. ÀÌÈÄ AD °ü¸®ÀÚ ±ÇÇÑÀ» »ç¿ë, AD DCÀÇ Á¤Ã¥¹èÆ÷¸¦ ÅëÇØ ·£¼¶¿þ¾î¸¦ ¹èÆ÷Çϰųª, SMB ÇÁ·ÎÅäÄÝÀ» ÅëÇØ ¼­ºñ½º¿¡ µî·ÏÇÏ´Â ¹æ½ÄÀ¸·Î ·£¼¶¿þ¾î¿¡ °¨¿°½ÃŲ´Ù.

º¸°í¼­¿¡ µû¸£¸é, °ø°ÝÀÚ´Â ½ºÇǾîÇǽÌÀ» ÅëÇØ ³»ºÎ¿¡ ħÅõÇß°í, °èÁ¤À» Å»ÃëÇÑ ÈÄ¿¡ DC ¼­¹ö Àå¾Ç°ú SMB ±â´ÉÀ» ÅëÇÑ ³»ºÎ À̵¿ÀÇ °úÁ¤À» ÅëÇØ ·£¼¶¿þ¾î¿¡ °¨¿°½ÃÄ×´Ù. ÀÌ·¯ÇÑ °ø°ÝÀº °ø°ÝÀÚ°¡ ¿ä±¸ÇÏ´Â ¸ö°ª°ú ±â¾÷ À̹ÌÁö ¼Õ»ó¿¡ µû¸¥ ÇÇÇØ, ½Ã½ºÅÛ º¹±¸ºñ¿ë µî ¸·´ëÇÑ ¼Õ½ÇÀÌ ¹ß»ýÇÒ »Ó¸¸ ¾Æ´Ï¶ó, ADÀÇ Æ¯¼º»ó ½Ã½ºÅÛ Àüü°¡ Àå¾Ç ´çÇØ ±â¾÷ÀÇ ÁÖ¿ä Á¤º¸°¡ À¯ÃâµÇ´Â µî Ãß°¡ ÇÇÇصµ ¹ß»ýÇÑ´Ù.

¾Æ¿ï·¯ º¸°í¼­´Â ±â¾÷¸¶´Ù ¸Á ±¸¼º¹æ½Ä°ú ±ÇÇÑ °ü¸®, º¸¾È Á¤Ã¥ÀÌ ¼­·Î ´Þ¶ó ħÅõ¹æ½ÄÀ̳ª ¼¼ºÎÀûÀÎ °ø°Ý ¹æ¹ýÀº º¯°æµÉ ¼ö ÀÖÀ¸³ª, ¡â±ÇÇÑ»ó½Â ¡â°èÁ¤Å»Ãë ¡âSMB¸¦ ÅëÇÑ ³»ºÎ À̵¿ µîÀº ´ëºÎºÐÀÇ AD °ø°Ý¿¡¼­ È®ÀεǴ °øÅëÀûÀΠƯ¼ºÀ̶ó°í °­Á¶Çß´Ù. ÀÌ¿¡ AD ȯ°æÀ» »ç¿ëÇÏ´Â ±â¾÷Àº °èÁ¤°ü¸®¿Í ¸ð´ÏÅ͸µÀÌ Á¦ÀÏ Áß¿äÇÏ´Ù°í Á¶¾ðÇß´Ù.

ƯÈ÷, ÃÖÃÊ Ä§Åõ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â °ü¸®ÀÚ °èÁ¤ Å»Ã븦 ¸ñÇ¥·Î ³»ºÎ¸ÁÀ» Ž»öÇÏ°í À̵¿ÇÏ°Ô µÇ´Âµ¥, À̶§ ÀÏ¹Ý »ç¿ëÀÚ °èÁ¤À» ¾Æ¹«¸® ¸¹ÀÌ Å»ÃëÇÏ´õ¶óµµ ³»ºÎ¸Á Àå¾Ç¿¡ µµ¿òÀÌ µÇÁö ¾Ê´Â´Ù. ÀÌ ¶§¹®¿¡ °èÁ¤ÀÌ Å»ÃëµÇ´õ¶óµµ AD DC(Domain Controller) ¼­¹ö¸¦ Àå¾ÇÇÒ ¼ö ¾øµµ·Ï »ç¿ëÀÚ ¹× ¼­ºñ½º °èÁ¤µéÀÇ ±ÇÇÑÀ» ºÐ¸®ÇØ °ü¸®ÇØ¾ß ÇÑ´Ù°í ¼³¸íÇß´Ù.

¶ÇÇÑ, °ü¸®ÀÚ ±×·ì°èÁ¤ »ç¿ëÀ» ÃÖ¼ÒÈ­ÇÏ°í ºÒ°¡ÇÇÇÏ°Ô °ü¸®ÀÚ °èÁ¤À» »ç¿ëÇÏ´Â ½Ã½ºÅÛµéÀº ÁÖ±âÀûÀ¸·Î ¸ð´ÏÅ͸µ ÇØ¾ß Çϸç, AD DCÀÇ °æ¿ì µî·ÏµÈ ¼­ºñ½º¿Í ±×·ì Á¤Ã¥ ¸ñ·Ï¿¡ Àǽɽº·¯¿î »çÇ×Àº ¾ø´ÂÁö ÁÖÀǸ¦ ±â¿ï¿©¾ß ÇÑ´Ù´Â °Í. ¶ÇÇÑ, ÁÖ¿ä ½Ã½ºÅÛ ·Î±×´Â ÁÖ±âÀûÀ¸·Î ¹é¾÷ÇÏ°í °èÁ¤ Å»Ãë µµ±¸°¡ ŽÁöµÇ°Å³ª, ÆÄÀÌÇÁ Åë½Å ¹ß°ß ½Ã Áï½Ã Àü»ç ½Ã½ºÅÛÀ» Á¡°ËÇØ ºÁ¾ß ÇÑ´Ù°í Á¶¾ðÇß´Ù.


Ãâó: º¸¾È´º½º https://www.boannews.com/media/view.asp?idx=98083&page=1&kind=1
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]

¸ñ·Ï