최근 시스코 클라우드 기반의 유출 감지 및 애널리틱스 기술인 CTA(Cognitive Threat Analytics)는 20여개 기업의 사용자 50명에게 특정 악성코드에 대한 경고를 보냈습니다. 바로 그 악성코드가 사용자들의 컴퓨터에서 기가바이트 단위로 데이터를 유출하고 있었기 때문인데요, 우선 아래 그림을 통해 그 예를 함께 살펴보겠습니다.
이 사례에서는 악성코드 감염 시 흔히 발생하는 C&C(command & control) 활동 외에, 수상한 목적지로 2.3기가바이트 상당의 데이터가 전송되는 것을 확인할 수 있습니다.
해당 악성코드는 HTTPS를 위해 배정된 TCP 포트 443을 이용하는 커스텀 프로토콜(custom protocol)을 사용하고 있습니다. 기업들의 10% 미만만이 HTTPS 트래픽을 검토한다는 점을 고려하면 얼마나 위험한 악성코드인지 감이 오시죠?
CTA 통계에 따르면 이 악성코드에 감염된 호스트의 100%, 즉 전체가 클릭 사기(Click Fraud) 증상을 겪었다고 합니다. 위험성이 낮다는 이유로 이런 클릭 사기 또는 부정 클릭을 무시하고 넘어가기 일쑤지만, 함께 살펴보았듯이 이런 비위협적인 활동이 매우 위험한 상황을 초래할 수 있으니 조심하고 또 조심해야겠습니다.
세부 데이터 유출 행동 감지
글로벌 CTA 데이터는 이 악성코드에 감염된 호스트의 30% 정도가 데이터 유출을 겪었다고 보여줍니다. CTA는 트래픽량, 빈도, 목적지 및 여타 특징들을 참고하여 데이터 유출이 일어났는지 감지했는데요, 아래 그림은 감염된 7개의 다른 호스트들의 데이터 업로드 활동을 일부 보여줍니다.
통신은 TCP 포트 443 상의 커스텀 프로토콜을 통해 이뤄졌으며, 데이터는 도티드 쿼드(Dotted Quad)로 전송 되었습니다. 과거에 확인된 감염 사례들과는 무관한 커스텀 프로토콜 또는 데이터 업로드로 확인이 되었고요. 확인된 목적지의 IP 주소는 다음과 같습니다.
136.243.4.68
136.243.4.69
148.251.80.145
148.251.80.172
217.23.6.72
93.190.140.144
또한 CTA는 같은 목적지로 네트워크 트래픽을 전송하는 [CYMRU] 샘플을 확인할 수 있었습니다. 위 IP 주소들은 [1-3].jsservices[.]org 및 [1-5].web-counter[.]info 호스트네임에 DNS 관련 엔트리가 있는 것으로 확인되었습니다. [MS-SEC-PORTAL]와 같은 아티클(articles)은 해당 호스트네임을 Miuref 또는 Boaxxe 패밀리로 분류하는데, [SOPHOS]와 같은 다른 리소스도 Symmi를 Miuref의 에일리어스(alias, 가명)으로 구분하고 있습니다.
Miuref 는 유저 트래픽을 생성하고, 감염된 엔드포인트에 원치 않는 애플리케이션과 악성코드를 추가로 다운로드할 수 있는 악성코드입니다. Miuref의 일반적인 수익 모델은 클릭 사기이며, 앞서 살펴보았듯이 데이터 유출이라는 더욱 위험한 상황으로 발전할 수 있습니다. 이런 위협은 기업들에게 매우 커다란 리스크를 안기기 때문에 반드시 트래픽을 차단하고, 감염 기기의 풀 스캔(full scan)과 재설정(reimage)를 권장합니다.
수많은 종류의 악성코드가 탄생해도 시스코 CTA를 따라올 수는 없겠죠? 앞으로도 시스코 CTA의 활약을 기대해 주세요!
※ 시스코 CTA(Cognitive Threat Analysis)가 정확히 무엇인가요? 특수 보안 부서인가요? 아니면 소프트웨어인가요?
CTA는 클라우드 기반의 유출 감지 및 애널리틱스 기술로 악성코드의 C&C 활동을 확인해 새로운 위협들을 찾아냅니다. CTA는 시스코 클라우드 웹 시큐리티 시스템(Cisco Cloud Web Security, CWS), 시스코 웹 시큐리티 어플라이언스(Cisco Web Security Appliance, WSA) 또는 블루코트 ProxySG(Blue Coat ProxySG)와 같은 써드파티 웹 프록시의 웹 접속 로그를 처리합니다. 행동 분석 및 이상징후 감지를 통해 악성코드 감염 및 데이터 유출 증상을 발견해 경계 기반 보안 (perimeter-based defenses)의 허점을 보완하는데요. CTA 기술은 첨단 통계 모델링과 머신 러닝에 의존해 독자적으로 새로운 위협을 감지하고, 확인하는 자료와 지나간 정보를 바탕으로 꾸준히 학습할 수 있습니다.
추가적인 상관관계 분석을 바탕으로 CTA는 100% 확실한 데이터 유출을 확인해주기 때문에 보안 부서들은 빠르게 감염 기기를 치료하는 데 집중할 수 있습니다. 또한 C&C 활동 감지에 집중함으로써 CTA는 웹 보안 단계에서 감염 매개로 분류되지 않은 보안 위협(이메일, 감염된 USB 메모리, BYOD 등을 통해 감염되는 경우)도 발견해 보안 가시성을 한층 끌어올려줍니다.
이번 포스팅은 시스코 CTA 연구원인 가얀 드 실바(Gayan de Silva)와 마틴 포스피실(Martin Pospisil)이 작성한 Malware stealing gigabytes of your data as seen by Cognitive Threat Analytics 포스팅을 바탕으로 준비되었습니다.
