1. 개 요
Stuxnet에 이은 산업시설을 대상으로 한 악성파이란 점에서 감염 시 상당한 금전적 피해가 예상된다.
[참고 : Global Energy Industry Hit In “Night Dragon” Attacks]
http://blogs.mcafee.com/corporate/cto/global-energy-industry-hit-in-night-dragon-attacks
[참고 : Night Dragon]
http://www.mcafee.com/es/about/night-dragon.aspx?cid=WBB009
[참고 : Night Dragon attacks: myth or reality?]
http://nakedsecurity.sophos.com/2011/02/11/night-dragon-attacks-myth-or-reality/
http://blogs.mcafee.com/corporate/cto/global-energy-industry-hit-in-night-dragon-attacks
[참고 : Night Dragon]
http://www.mcafee.com/es/about/night-dragon.aspx?cid=WBB009
[참고 : Night Dragon attacks: myth or reality?]
http://nakedsecurity.sophos.com/2011/02/11/night-dragon-attacks-myth-or-reality/
※ Spear-Phishing
기존의 Phishing 과 동일한 기법의 보안 위협이다. 다만, 두 가지 보안 위협은 각기 다른 공격 대상 지정 방식을 가지는데 Phishing은 불특정 다수로, Spear-Phishing은 정확한 공격대상을 정하는 등의 차이가 있는 보안 위협이다.
기존의 Phishing 과 동일한 기법의 보안 위협이다. 다만, 두 가지 보안 위협은 각기 다른 공격 대상 지정 방식을 가지는데 Phishing은 불특정 다수로, Spear-Phishing은 정확한 공격대상을 정하는 등의 차이가 있는 보안 위협이다.
2. 감염 과정 및 증상
이번에 보고된 나이트 드래곤 보안 위협에 대한 공격 및 감염 과정은 아래의 그림과 같다.
위 그림은 McAfee에서 공개한 나이트 드래곤의 공격 및 감염 과정이며, 정리하자면 아래와 같다.
※ 공격 및 감염 과정 정리
- 취약점이 존재하는 웹 서버에 SQL 인젝션 공격을 통한 악성파일을 업로드 한다.
- Spear-Phishing을 통해 접속을 위한 계정정보 획득 및 악성파일에 대한 다운로드 및 감염을 시도한다.
- 획득한 계정정보로 시스템에 대한 접속을 시도하며, 시스템 내부의 추가적인 사용자들의 계정정보 또한 수집한다.
- 위의 단계를 거쳐 접속한 시스템을 공격자가 원하는 서버로 연결할 수 있도록 시도한다.
- 수집한 계정정보 등을 사용하여 여러 중요 정보에 대한 탈취를 시도한다.
- 취약점이 존재하는 웹 서버에 SQL 인젝션 공격을 통한 악성파일을 업로드 한다.
- Spear-Phishing을 통해 접속을 위한 계정정보 획득 및 악성파일에 대한 다운로드 및 감염을 시도한다.
- 획득한 계정정보로 시스템에 대한 접속을 시도하며, 시스템 내부의 추가적인 사용자들의 계정정보 또한 수집한다.
- 위의 단계를 거쳐 접속한 시스템을 공격자가 원하는 서버로 연결할 수 있도록 시도한다.
- 수집한 계정정보 등을 사용하여 여러 중요 정보에 대한 탈취를 시도한다.
MacAfee에서는 이번에 공개한 보안 위협 보고서에서 나이트 드래곤 보안 위협이 사회공학 기법, 윈도우 취약점, Active Directory, 원격 관리 도구(RATs) 등의 기법을 사용해 공격을 시도했으며, 해당 공격으로 인해 유출된 기업 중요 문건 및 정보는 엄청난 금전적 손해를 끼칠 수 있다고 경고하였다. 또한, Stuxnet과 같이 금전적 이득을 목적으로 조직적인 제작 형태를 보이는 이 악성파일은 지속적으로 변종이 출현할 수 있다고 보고 하였다.
3. 예방 조치 방법
나이트 드래곤은 Stuxnet에 이어 금전적 이득을 목적으로 대규모 산업시설 등에 피해를 줄 수 있는 보안 위협이다. 이러한 보안 위협이 지속적으로 출현한다는 것은 향후 이와 관련한 모든 조직 등이 나이트 드래곤과 유사한 사이버 범죄의 목표가 될 수 있다는 것을 의미한다.
이번에 보고된 해당 보안 위협으로부터 안전하기 위해서는 ▶조직원들에 대해 중요 문건과 같은 정보 관리의 보안 의식 함양 및 교육이 중요하며, 추가적으로 ▶조직원들이 사용 중인 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치, ▶조직원들이 사용하고 있는 비밀번호 등의 정보에 대한 주기적 갱신, ▶신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 감시 기능을 항상 "ON" 상태로 유지하여 전 조직원들이 사용하는 것, ▶출처가 불분명한 곳으로부터 수신되는 모든 매체에 대한 접근 주의, 마지막으로 ▶조직별로 이러한 보안 위협에 대비할 수 있는 전문 보안 인력 육성 및 배치 등에 좀 더 관심을 가져야할 것이다.
※ 잉카인터넷 대응팀에서는 이러한 보안 위협에 대비하기 위해 24시간 주기적인 대응체계를 유지하고 있으며, nProtect Anti-Virus 제품군을 통해 아래와 같은 진단/치료 기능을 제공하고 있다.
'최신 보안 동향' 카테고리의 다른 글
| QR(Quick Response)코드의 편리성과 악용 가능성? (2) | 2011.02.17 |
|---|---|
| PC방을 중심으로 유포되고 있는 ARP Spoofing 공격 악성파일 주의 필요 (0) | 2011.02.17 |
| 다가오는 발렌타인 데이 사회공학적 기법 악용 악성파일 유포 주의 (0) | 2011.02.10 |
| 페이스북(Facebook)을 이용한 악성파일 유포 사례 발견 주의 필요 (0) | 2011.02.09 |
| AVG로 위장한 허위백신 등장에 따른 주의필요 (0) | 2011.02.02 |