메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

웬일인지, 우리는 같은 주제에 관해 계속해서 변주곡을 듣는다. "우리 회사는 주요 업체가 아닙니다. 그것은 공격자에게는 흥미롭지 않을 것입니다. "그러나 인기는 있지만 오해입니다. 다음은 APT 운영자가 공급망 공격에서 소규모 회사를 사용한 방법의 한 예입니다.

이달 초 개최 된 Security Analyst Summit에서 AVAST의 동료들은 작년에 인수 한 작은 영국 회사 인 Piriform의 사례를 발표했습니다. Piriform는 CCleaner 유틸리티로 유명합니다. 잠재적으로 원치 않는 파일 및 잘못된 Windows 레지스트리 항목을 치료하는 소프트웨어입니다. 사실, 그것은 가장 오래된 시스템 청소기 중 하나이며 20 억 회 이상 다운로드되었습니다. 스파이웨어를 확산시키는 방법으로 APT 배우가 선택한 이유 일 것입니다.

CCleaner 공격

초기에 악의적 인 사용자는 프로그램이 구축 된 서버를 감염시킴으로써 Piriform의 컴파일 환경을 손상 시켰습니다. 소스 코드가 명확했지만 컴파일 된 빌드에는 나중에 공격에 사용 된 맬웨어가 포함되어있었습니다. 또한 변경된 컴파일러 라이브러리 덕분에 맬웨어는 합법적 인 Piriform 디지털 서명을 얻을 수있었습니다. CCleaner 5.33.6162 및 CCleaner Cloud 1.7.0.3191이 영향을 받았습니다.

공격 계획 자체는 적어도 3 단계로 구성되어 매우 복잡했습니다. 약 1 억 명의 활성 사용자가있는 인기있는 응용 프로그램에 숨겨진 맬웨어는 한 달 동안 배포되었습니다. 약 227 만명의 사람들이 손상된 프로그램을 다운로드했고, 악성 코드의 최소 165 만 카피가 범죄자 서버와 통신을 시도했습니다. 나중에 발견 된 바와 같이 명령 및 제어 서버에는 희생자가 두 번째 단계의 대상이 될 것인지 결정하는 간단한 스크립트가 포함되어 있습니다. 단지 피해자의 도메인을 살펴보고 하이테크 기술 회사 및 IT 공급 업체에서 근무한 사람들을 선택했습니다. 이 방법으로 40 대의 컴퓨터 만 선택했습니다. 그들은 추가 멀웨어를 받았습니다.

두 번째 단계는 비슷한 목적으로 사용되었습니다. 타겟팅을 조정하는 데 사용되었습니다. 유령자들은 40 대의 컴퓨터로부터 정보를 수집하고 분석하여 가장 흥미로운 목표를 선택했습니다. 이 단계에서 그들은 그룹을 4 명으로 줄였습니다.

그 4 명은 이미 중국어 사용 배우가 사용하는 잘 알려진 악성 코드 인 ShadowPad 의 맞춤형 빌드를 받았다 이것이 바로이 공격의 진정한 목적이었습니다. 유명 회사의 특정 직원에게 백도어를 제공했습니다.

무엇을 할 수 있습니까?

이 사건의 주된 교훈은 이미 언급 했었습니다.이 글의 초반부에 : APT의 흥미로운 목표가 아니더라도, 당신은 여전히 ​​배송 체인에서 사용할 수 있습니다. 특히 수십억 다운로드를 자랑 할 수 있다면. 비즈니스에 미칠 수있는 잠재적 위험을 최소화하려면 대응 및 탐지에서 대응, 취약성 제거 및 가능한 위험 예측과 같은 대상 공격에 대해 완전한 범위의 보호를 제공 할 수있는 전략을 채택해야합니다. 때때로 외부 전문가의 도움을받는 것이 현명 할 수도 있습니다.

안전의 핵심은 위협 수렵입니다. 정교한 표적 공격은 멀웨어를 삽입하여 오랜 시간 동안 레이더에 머무를 수 있습니다 (이 경우 Piriform는 무의식적으로 악성 프로그램을 한 달 이상 전파합니다). 이러한 공격을 방지하려면 숙련 된 위협 원 사냥꾼이 필요합니다. 카스퍼 스키 위협 수렵을 통해 우리가 도울 수있는 곳 입니다. Targeted Attack Discovery 서비스를 통해 우리 전문가는 네트워크에서 현재의 사이버 범죄 및 사이버 범죄 활동을 파악하고 이러한 인시던트의 원인과 가능한 원인을 파악하도록 도와줍니다. 또한 유사한 공격을 피하기 위해 효과적인 완화 활동을 도울 것입니다. 또한 Kaspersky Managed Protection - 24 시간 모니터링 및 사이버 위협 데이터의 지속적인 분석을 제공 할 수 있습니다.

보안 분석가의 고급 위협 탐지에 대한 자세한 내용은 Kaspersky Threat Hunting 웹 페이지를 방문하십시오 .

추천 컨텐츠