업데이트 : 2015 년 3 월 23 일
타겟팅 된 공격이라는 용어는 2005 년경에 확산되기 시작했으며, 이것이 US-Cert가 발행 한 "TA05-189A : TARGETED TROJAN 이메일 공격"경고의 방아쇠라고 생각합니다. 또한 2007 년부터 목표 공격에 대한 연구 보고서가 일본에서 발표되기 시작하여 친숙한 용어가되었습니다. 2010 년에 목표 공격도 진화하고 Apt라는 이름으로 널리 알려졌습니다 (고급 지속적인 위협). APT는 "특정 조직 (타겟팅 공격)을 대상으로하고 활동의 기초로 조직 네트워크를 기반으로하는"침략 활동 (억제 방법)의 일반적인 용어입니다. " 특히, 침입 시스템을 원격으로 제어하기위한 프로그램 인 원격 액세스 트로이 목/원격 관리 도구 (RAT)는 APT 세대의 목표 공격에 중요한 역할을합니다.
이 보고서는 외부 연결 통신에 중점을 둔 Windows 환경의 원격 제어 도구의 변경 사항을 소개합니다.
Windows 환경의 원격 제어 도구는 대략 2 세대로 나눌 수 있습니다 : "공격 통화 유형"및 "공격 통화 유형".
여기서는 각 세대의 특성을 살펴 보겠습니다.
그림 1 : 원격 제어 도구 (RAT)의 변화
공격 콜 생성은 클라이언트 (토토사이트 대공원 PC)에서 서버 (토토사이트 대공원 PC)로 통신을 설정 한 다음 토토사이트 대공원 PC의 원격 제어를 지시합니다 (그림 2).
그림 2 : 토토사이트 대공원 사이드 콜 유형
Windows 환경을위한 원격 제어 도구는 1998 년에 Dead Cow의 Cult라는 그룹이 개발 한 "Back Orifice"로 극적으로 움직이기 시작했습니다. Back Orice는 클라이언트 프로그램이 설치된 PC의 GUI에서 서버 프로그램 (기본 포트 번호 31337)을 사용하여 PC를 운영 할 수있는 공격자 통화 원격 제어 도구였습니다. 명령을 실행하고, 파일 목록을 표시하고, 파일 업로드 및 다운로드, 레지스트리 작업, 프로세스 중지 및 프로세스 목록을 표시 할 수있었습니다. 이듬해 1999 년에 Netbus (기본 포트 번호 12345)는 Back Orifice 2000 (BO2K) (기본 포트 번호 54320/TCP, 54321/UDP) 및 Subseven (기본 포트 번호 27374)이 순환되었습니다.
그림 3 : BO2K 클라이언트 프로그램 GUI
그림 3은 BO2K 클라이언트 프로그램의 GUI입니다. IP 주소 192.168.4.169가 나열된 영역, 토토사이트 대공원 할 PC 목록이 표시되며, 이들로부터 PC를 선택하면 통신이 설정되면 원격 제어가 지시됩니다.
토토사이트 대공원의 콜인 생성은 서버 (공격 대상 PC)에서 클라이언트 (토토사이트 대공원 PC)로 연결을 설정 한 다음 토토사이트 대공원 PC의 원격 제어를 지시합니다 (그림 4). 통신 설립 방향의 역전 이유 중 하나는 인터넷과 인트라넷 사이의 경계에 방화벽이 설치되었고 PC에 개인 방화벽이 도입 되었기 때문입니다.
그림 4 : 토토사이트 대공원 사이드 콜 유형
APT 세대의 목표 토토사이트 대공원에 사용되는 전형적인 원격 제어 도구 중 하나는 Poison Ivy입니다. Picen 뒷면 오리피스보다 더 많은 기능이 있습니다.
그림 5는 Poison Ivy Client Program의 GUI입니다. IP 주소 192.168.70.104가있는 화면 중앙의 확대 된보기는 토토사이트 대공원 PC와의 통신을 설정 한 PC 목록입니다. 커뮤니케이션 설정이 이미 완료되었으므로이 중에서 PC를 선택하고 리모컨을 지시하십시오.
토토사이트 대공원적인 호출 유형 생성은 봇이 나타난 후 기간이며 봇의 기능이 확장되었다고 말할 수 있습니다.
그림 5 : Poison Ivy의 고객 프로그램 GUI
토토사이트 대공원의 통화 유형은 공격 PC가 연결된 네트워크 구성의 영향을받습니다. 여기서는 포트 번호, 통신 프로토콜 및 프록시 호환 항목에 영향을 미치는 세 가지 항목의 변경 사항을 살펴 보겠습니다. 인터넷의 인트라넷에 연결된 외부 PC와의 통신 설정에 영향을 미칩니다.
참조 [1] [2]에 따르면, 외부 소스와의 통신을 설정하는 데 사용되는 포트 번호는 일반 53/TCP, 80/TCP, 443/TCP 및 8080/TCP입니다 (그림 6).
그림 6 : 외부와의 커뮤니케이션을 설정하는 데 사용되는 포트 번호
통신 프로토콜의 경우 포트 번호 및 독점 프로토콜에 해당하는 알려진 프로토콜 (HTTP, HTTP 등)이 사용됩니다.
인터넷과 인트라넷 사이의 경계에서 라우터 유형의 방화벽을 사용하는 네트워크 구성에서 53/TCP (DNS, 독점 프로토콜), 80/TCP (HTTP, Proprietary Protocol) 및 443/TCP (HTPP)를 사용하여 외부와의 커뮤니케이션을 설정할 수 있습니다. 또한 프록시가 설치된 경우 Connect에 연결할 수있는 포트 번호가 443/TCP 및 563/TCP로 제한 되더라도 80/TCP (HTTP) 및 443/TCP (HTTPS, Proprietary Protocol)를 사용하여 외부 장치와의 통신을 설정할 수 있습니다.
토토사이트 대공원는 이러한 네트워크 구성 추세를 알고 있다고 가정 할 수 있습니다.
토토사이트 대공원 할 PC가 연결된 다양한 네트워크 구성에서도 외부 소스와의 통신을 가능하게하기 위해 프록시 구성을 지원하기 위해 토토사이트 대공원 통화 유형이 구현되었습니다. Poison Ivy를 사용하면 토토사이트 대공원중인 PC에서 실행되는 서버 프로그램에 대한 프록시 구성 정보를 사전 설정하고 토토사이트 대공원중인 PC의 프록시 구성 정보를 자동으로 훔칠 수 있습니다.
특히 주목할만한 점은 2013 년경에 나타나기 시작한 새 플러스가 구현되어 사용자가 인증 프록시를 통과 할 수 있도록 구현되었다는 것입니다.
2013 년 10 월경에 확산 된 새 플러스는 Internet Explorer의 프록시 인증 정보를 자동으로 훔치는 기능과 Browser Communications 및 Firefox, Chrome 및 Opera와 같은 브라우저의 경우에 프록시 인증 정보를 도둑질하는 기능을 구현했습니다 [3]. 물론, 새 플러스에서 도난당한 프록시에 대한 인증 정보는 HTTP 요청의 헤더 섹션에 설정되어 있지만 HTTP 요청의 헤더 섹션에서 줄이 나오기 때문에 인증 프록시 인증 프로세스가 실패하는 경우를 확인했습니다 (그림 7).
그림 7 : 새 플러스가 보낸 HTTP 요청의 헤더 섹션이 적절하지 않은 경우
또한 2014 년 6 월경에 출시 된 새로운 플러스는 Firefox에 의해 구현되어 대리 인증 정보를 자동으로 훔치기 위해 구현되었습니다 [4].
APT 생성의 목표 공격에 사용되는 원격 제어 도구 (RAT)는 콜인 생성 토토사이트 대공원를위한 도구이며, 방화벽이 인터넷과 인트라넷 사이의 경계에 설치된다고 가정합니다. 원격 제어 도구는 방어 조치를 피할 수있을뿐만 아니라 토토사이트 대공원 자체는 방어의 네트워크 구성 트렌드를 이해함으로써 그가 사용하는 기능을 선택했습니다. APT 세대의 이러한 목표 공격을 퇴치하려면 방어 수준의 방어 내에서 토토사이트 대공원의 활동 추세를 지속적으로 반영해야합니다.
1) 트렌드 마이크로 : 2012 년 상반기 일본 트렌드 (2012)
2) Trend Micro : 2013 년 상반기 일본의 지속적인 표적 토토사이트 대공원 분석 (2013)
3) iij-sect : 새로운 Flugx의 출현 (2013),https : //sect.iij.ad.jp/d/2013/11/197093.html
4) Trend Micro : Targeted Cyberattacks (2014),http : //blog.trendmicro.co.jp/archives/9748
책임 : Terada, Onishi/Hirt
글로벌 사인 :
중요한 전자 문서의 디지털 서명. 홍보에도 유용합니다
