CHAMCHICON SEASON 1 – Practical Threat Hunting

드디어 제 1회 참치콘 3주여 앞으로 다가오고 있다. 크지 않은 행사로 조그마하지만 강력한 주제들을 선정해서 제한된 실무 그룹들이 모여서 정보를 공유하는 모임으로 5월 9일과 10일 양일간 저녁 시간에 열린다. 장소는 판교 근처로 섭외중이다. 왜 내가 참치콘을 기획했는지는 김치콘, 참치콘, *치콘을 참고해 보기를 바란다. 연재를 통해서 지금까지 치열한 경쟁을 뚫고 선정된 몇몇 세션들에 대해서 간략하게 설명해 보는 자리를 가질까 한다.


Practical Threat Hunting

  • Speaker: somma
  • Duration: 50 minutes
  • Type: Technical

Threat Hunting을 통해 Living off the land 타입의 공격들을 탐지하는 몇가지 사례들을 알아보고, 엔드포인트 보안 기술의 발전 방향에 대해서 알아봅니다.

Living off the land 공격 기법

“Living off the land”의 원래 의미는 문명에서 벗어나 대자연속에서 살아 가는 삶의 방식, “off the grid”와 비슷한 의미라고 볼 수 있다. 다음 이미지와 같이 혹독한 대자연속에서 기본적인 생존 장비와 무기들만을 갖추고 살아 가는 삶의 형태를 의미한다고 보면 된다.

보안에서의 “Living off the land”는 이와는 약간은 다른 의미를 가진다. 많은 다른 정의가 있겠지만, 시만텍 보고서의 정의에 따르면 다음과 같다.

use of tools already installed on targeted computers or are running simple scripts and shellcode directly in memory
. Creating fewer new files on the hard disk, or being completely fileless

From
https://www.symantec.com/connect/blogs/attackers-are-increasingly-living-land

한마디로 이미 시스템에 인스톨 되어 있는 툴들을 최대한 활용한 공격 기법으로서 파일 생성을 최대한 억제하여 기존의 보안 시스템들 (예를 들어 안티 말웨어 제품들)로 부터 최대한 탐지되는 것을 회피하는 공격 기법이라고 볼 수 있다.

안티 말웨어 내지는 안티 바이러스라는 제품의 기원은 1980년대까지 거슬러 올라간다. 그때의 모든 바이러스 내지는 말웨어는 코드 조각이나 파일 형태를 띠는 것이 일반적이었고, 결국은 파일 인펙션을 통해서 전파 되었다. 그러한 파일, 특히 실행 파일을 생성하는 시류는 그 이후 쭉 계속 되어 왔다. 안티 말웨어 제품이 파일에 집중할 수 밖에 없는 이유였다.

보안 시스템, 제품들의 발전과 더불어 파일 내용의 난독화 (obfuscation)를 통한 cat & mouse 게임은 정점과 동시에 한계에 도달했고, 이제 공격자들은 fileless 말웨어 내지는 “Living off the land” 공격 기법을 통해서 돌파구를 마련했다. 이제 많은 안티 말웨어 제품들은 새로운 도전에 직면하게 되었다.

그렇다면, “Living off the land” 공격 기법에는 어떠한 것들이 있을까? 파워쉘 (PowerShell)이나 WMI (Windows Management Instrumentation)를 이용한 말웨어 코드 전달(delivery) 기법이 그 한 예가 될 수 있겠다. 공격자들에게 있어서 파워쉘과 WMI는 마이크로소프트가 내려 주신 하나의 동아줄과 같은 역할을 해 왔다. 그에 상응하여 방어자의 입장에서도 AMSI (Antimalware Scan Interface) 등을 이용한 방어책 구축이 이뤄지고 있다. AMSI가 어떻게 파워쉘 threat 등을 효과적으로 방어할 수 있는지는 “Out of sight but not invisible: Defeating fileless malware with behavior monitoring, AMSI, and next-gen AV” 블로그를 통해서 학습해 보기를 권한다. 파워쉘의 경우 AMSI를 통해서 그나마 visibility 확보가 가능하지만, 여전히 WMI의 경우에는 많은 보안 프러덕트들이 가장 기본적인 visibility에 대해서도 문제를 가지고 있다. “Living off the land” 공격 기법의 공간에서도 cat & mouse 게임이 진행 되고 있는 것이다. 🙂

“Living off the land” 공격 기법의 다른 예로는 “Reflective DLL Injection” 기법이 있다. 가장 좋은 레퍼런스로는 Pwn2Own 우승자인 Stephen FewerReflectiveDLLInjection 파워쉘 기반 툴킷을 참조할 수 있다. 이 기법은 PE 파일을 파일 시스템에 드랍하지 않고 그대로 다른 프로세스나 자신의 프로세스에 LoadLibrary 등의 API를 사용하지 않고, 직접 메모리 조작을 통해서 바로 로딩할 수 있는 기술이다. 생각해 보면 윈도우즈 프로세스의 특성상 당연히 될 수 밖에 없는 방법이지만, 탐지는 생각보다 어렵다. 여러 APT 액터들을 비롯해서 많은 공격자들의 필수 공격 기법의 하나라고 볼 수 있다.

이렇게 “Living off the land” 공격 기법들은 기존 안티말웨어 제품으로 탐지하는데에 여러 장애물이 있는 경우가 많고, 방어 기법들이 이제 공격 기법들을 따라 잡고 있는 경우가 많다. 그리고, 지속적으로 새롭거나 기존 공격 기법을 개량한 형태의 공격들이 나오고 있다.

Threat Hunting 이란?

Threat hunting이란 무엇인가? 아직 한국에는 명확하게 개념이 잡히지 않고 있는 것 같다. 사실 한국을 떠나서 미국에서도 어지간히 보안 조직이 잘 되어 있지 않은 이상, threat hunting 을 별도 조직에서 소화하기 보다는 일종의 SOC의 일부로 생각하는 경우가 많다. 반은 맞고 반은 틀리다. 이에 대해서는 차후에 다른 블로그로 의견을 남기고자 한다.

어쨌든 일반적인 기업 환경의 경우 threat hunting을 하고 있다고 한다면, 아직까지는 잘해 봐야 SIEM (Security Information and Event Management) 정도를 도입하고 잘 사용하고 있다면 성공한 사례가 아닐까. SIEM의 가장 큰 문제점은 공격 컨텍스트를 완벽하게 쿼리할 수 없다는 것이다. 그래서 결국 여러 쿼리들을 동원해서 조건들을 좁혀 가는 방식으로 어떠한 공격이 일어 났는지 그림을 그려 보고는 한다.

이미 많은 말웨어, 즉 악성 코드들은 SIEM의 이러한 평면적인 visibility의 우회를 염두해서 만들어지고 있다. 그래서 단순한 SIEM 의 쿼리들을 우회할 수 있는 쓸데 없이 복잡한 공격 체인을 구사하기도 한다. 종종 이 복잡한 공격 체인은 “Living off the land” 기법과 혼합되어 사용되면서 SIEM의 visibility 문제를 더 악화 시킨다.

드라이빙에 있어서의 가시성의 문제가 안전의 문제로 직결 되듯이, 엔터프라이즈 환경에서의 시큐리티 이벤트들의 퀄리티와 가시성의 문제는 APT 어택과 같은 진보한 공격들을 초기에 탐지하고 막아 낼 수 있는지에 대한 문제와 직결된다. EDR (Endpoint Detection & Response)은 이렇게 기존의 SIEM이 가지고 있는 평면적인 이벤트 재구성등의 한계를 해결하려는 노력의 일환으로 볼 수 있다.

이 세션을 통해서 안티말웨어(Anti-malware) 등의 전통적인 방어 기법을 구사하는 제품들이 탐지하기 힘든 이러한 공격 카테고리에 대해서 어떠한 이벤트 수집과 쿼리등의 방법론을 통해서 탐지가 가능할지에 토론해 보기로 한다.

발표자이신 Somma님 자신이 이 분야의 리서치와 제품 개발을 몇년간 해 온 경험을 기반으로 많은 노하우와 인사이트를 전달해 줄 수 있다. 특히나 EDR 도입을 고려하는 기업이라면 한번 정도 들어서 손해 보지 않을 세션이다. EDR 도입시 어떠한 기능과 특징에 집중하여서 선정할 수 있는지에 대한 생각을 하게 만들어 주는 귀중한 시간이 될 것이다. (참고로 다른그림에서는 EDR 등의 솔루션 도입시 advisory 서비스를 제공할 예정이니, 관심 있으신 분은 root@darungrim.com로 으로 메일 주시기 바란다.)


*참치콘 예약 정책: 다음 링크에 들어가서 참가 신청 가능하고, 참가자 신분 확인 절차 거칠 예정입니다. 참치콘에서 공유된 정보는 외부에 공개 불가하고, 다만 기업 내 환경에서 적용과 팀내 공유는 가능합니다.

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82DescriptionTicket

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30주제 비밀 (특정 액터 연구)hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30 주제 비밀 (특정 액터 연구)
hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

* 참치콘 스케쥴표: https://darungrim.com/intelligence/Chamichicon-2019-05.html

참치콘 CFP 서브미션은 다른그림 사이트를 참조하거나 다음 폼을 사용해 주세요.

One thought on “CHAMCHICON SEASON 1 – Practical Threat Hunting

Leave a Reply