정보보안 스터디 - 23주차 3일 - OSINT를 이용한 ASM, 클라우드 보안

 

☞ OSINT를 이용한 ASM(attack surface management) 공격 표면 관리

OSINT를 이용해 APT그룹의 공격 표면을 찾는 방법입니다.

또는 공격자들도 활요하는 방법이기 때문에 방어를 할 때 최대한 공격 표면을 없애야 겠다고 생각하고 기업블루팀에서도 사용합니다. 그러니까 Threat Intelligence가 많이 활용하여 위협들을 찾는 방법입니다.

외국에서는 이미 발달해있고 한국은 아직 잘 안 알려져있습니다.

 

 

OSINT하면 공개정보라서 되게 구글 검색, nmap 정보 수집 정도로만 생각할 수도 있는데 

범위가 커서 대부분 OSINT를 이용합니다.  탐색이 어려운 것을 쉽게 찾을 수 있습니다.

 

surface web 인터넷 웹입니다.

권한이 없는 사용자가 시스템에 무단으로 엑세스, 추출할 수 있는 모든 접점을 말합니다.

IP주소, 관리자 페이지, 서비스 포트 등 여러가지가 있습니다.

그 외로 VPN 내부 자산, 외부 서드파트 자산, 인력정보 등 모두 공격 표면이 될 수 있습니다.

 

대기업은 웹사이드라든지, 민감한 데이터, 직원 자격 증명, 클라이드 워크로드,S3 버킷, SSL 인증서, 소스코드 등의 리소스를 깃허브 저장소에 많이 올려놓는데 이게 해커에 의해 뚫리면 유출될 수 있습니다.

 

멘디언트, group-IB, recorded future 등은 ASM, CTI를 중요시하게 생각해서, 공격 표면 솔루션을 많이 채택해오고 있습니다. 

쇼단, censys, 국내에는 criminalIP등 ASM 서비스에 투자하고 있습니다.

 

도메인, 서브도메인, IP주소 등 현재 모든 자산을 보여줍니다.

내부 자산에 있는 정보만 가지고 하다보니

기업 입장에서는 공급망, 3rd-party 협력업체의 돌아다니는 자산이 어떤 게 있는지 모르기 때문에 궁금해 합니다. 이런 것들을 찾아서 추후에 차단할 수 있습니다.

 

 

☞ OSINT는

 

공개 출처이지만 이렇게 얻은 정보로 더 깊게 들어가는 방식입니다.

기본은 IP, 도메인 베이스입니다.(OSINT는 위치, 이미지 분석 등 다양하게 있지만 해당하는 것들은 IP정보 위주입니다.)

 

shodan, censys, criminalIP를 주로 사용하고

SSL 인증서, 도메인에서 나오는 전자문서/파일, SNS채널 (telegram, twitter 등)을 파악할 수 있습니다.

 

취약한 장비, 유출, 인프라 시스템 정보, 멀웨어 C2 서버 정보 등을 찾아냅니다.

 

사법기관들이 많이 활용해서 랜섬, 마약 등 찾는데 활용하고 있습니다.

그중에서 최근은 쇼단은 잘안나오고 censys는 부분적으로나오지만 criminalIP는 html 어딘가 키워드가 들어가 있으면 찾을 수 있어 좋습니다.

 

 

악성코드가 있는
tor VPN 등 우회용 IP찾을 수 있고

 

피싱 도메인을 찾을 수 있습니다.

사이버 보이스피싱일당의 특징이 있습니다.

 

악성사이트들이 자체 SSL인증서를 쓰는 경우가 있습니다.

해시값이나 키워드를 가지고 검색해서 찾아내거나 코드 사인이 도용되었으면 찾아냅니다.

 

IP주소로 호스팅업체, IP지역 정보를 검색해서 알 수 있다는 점입니다.

멀웨어 은닉사이트는 대부분 IP호스팅을 사용하니 한번 쓰고 버리는 게 대부분입니다.

이런 호스팅 사업자들이 주로 프랑스 회사가 많고 범죄자들이 많이 사용합니다.

 

수많은 포트가 열려있는데 나름 규칙이 있습니다. (심리적으로)

80,443 - 제일 많지만 대부분 정상적인 서비스를 사용합니다.

8080, 8443 - 일반적이지 않고 임직원만 쓰고싶을 때 개발자들이 지정해두고 사용합니다.

18080, 18443 - 이상하게 큰 숫자의 포트는 숨기고 싶어서 값을 크게 해뒀습니다.  스캔에도 후순위에 있기 때문입니다. 하지만 너무 어려운 포트는 기억하기 어렵기 때문에 규칙이 있습니다. 일반인들이 접근하기 어렵게만 해두었고 보통 관리자 페이지입니다.

더큰 숫자 - 악의적 목적입니다.

 

 

 

☞ 도메인 부분

불법CDN, cloudflare같은 호스팅 사업자를 사용하면 서버IP가 숨겨지기 때문에 많이 쓰고

C2 유포서버 정보를 보게 되면 .cf, 중앙아프리카 등 공짜 국가 도메인 입니다. 최우선 순위기 때문에 공격자는 아주 좋아합니다. 개발자라면 이런 도메인은 차단 시키는 게 좋습니다.

 

☞ 도메인 호스팅

도메인 호스팅은 KT는 안쓰고 국내 영세 업체로 사용하여 실제 IP를 감춥니다.

 whois로도 암호화돼서 신원확인할 방법이 없습니다.

 

C2 사이트 같은 경우는 껍데기는 웹이지만

헤더에 특징적인 패턴으로 커스터마이징 하는 특징이 있습니다.

content-length: 0 또는 etag가 동일할 수 밖에 없습니다. 

하나 만들어서 백업용으로 sk, skt 등 나눠서 사용합니다.

 

SSL 인증서도 다양한 정보를 줄 수 있습니다.

인증서서명 > 도메인이 나와있거나, 개발부서 등이 들어가 있습니다.

 

시리얼번호 하나 캐치하면 동일하게 쓰는 것을 찾아낼 수 있습니다.

공격자는 도난당한 SSL 인증서를 사용합니다. kisa꺼를 많이 도용합니다.

> 우회할 수 있기 때문에 합법적인 프로그램으로 가장합니다.

발급자, 시리얼 번호를 이용해서 진행하기 때문에 특정 해시값만 검색하면 도용되었는지 아닌지 확인할 수 있습니다.

 

 

TLS 통신할 때 fingerprinting

JARM 10번 통신이 끝나면 일종의 핑거프린트를 만듭니다.

해시값 똑같으면 다 동일한 것입니다.

> cobaltstrike C2를 찾아낼 수 있습니다.

 

 

코인 마이너 찾는 방법

coinhive는 자바스크립트 5줄로 동작하고 많이 깔려 있습니다.

해시값이 있고

 

deepminer도 비슷하게 criminalIP 키워드로 찾을 수 있습니다. country:KR하고 

html 본문안에 키워드를 검색하해서 찾을 수 있습니다.

cash된 내용을 까보면 됩니다.

 

정보탈취 멀웨어

라쿤스틸러로 인해 유출되는 개인정보가 많습니다.

raccoonstealer.app 키워드를 검색하면 메인 서버가 나옵니다.

 

crypto bot

웹서버, redis 서버가 많이 깔려있습니다.

해킹된 redis서버를 찾는 방법은

6379 포트로 검색하고 

카카오톡 위치 정보가 나옵니다.

기본적으로 인증이 없습니다. 누구나 바로 들어갈 수 있습니다.

 

인증이 걸려있거나 봇이 안깔려있는 것이 있기도 합니다.

봇이 깔려있으면 특징이 keys=4

백업1

2

3

4

박아두고 wget 모네로 봇을 설치시키기 때문에  

원격지에서 redis 커맨드로 들어가보면 코드가 있습니다.

엄청 손쉽게 돈을 벌고 있습니다.

 

코발트 스트라이크 서버

서버가 404 not found로 되어있는 특징있습니다.

content-type text/plain

원래 정상적이라면 content-length 가 0일수가 없지만

0이고 payload가 아무것도 없습니다.

 

비콘 config 점검스크립트로 점검해보면 해당 ip를 넣으면 서버가 코발트 정보를 주게 되고

코발트임을 알 수 있습니다. 

결론적으로 osint가 없으면 코발트를 찾지 못할 것입니다.

 

 

RCE가 가능한 CVE서버인데

citrix ADC 찾는 방법은 타이틀로 검색하면되고
제목이 없습니다. 모델명 관련된 거 다 숨깁니다.
뒤에 해시값 이 있고 버전과 매핑됩니다.

 

fortinet취약점도 많이 나오고 있습니다.

찾아서 보면 실제로 스크립트가 있고 계정을 찾을 수 있습니다.

동일한 취약점이 존재하는 forinet OS를 가지고 있으면 http etag 헤더 정보가 동일한 특징이 있습니다.

 

랜섬웨어

qnap nas 서버 > deadbold랜섬웨어 상당히 많이 감염되어 있습니다.

 

민감정보

기존 고객사 밖의 공공망 등 확인합니다.

개발중이라 오픈안하고 있는 시스템들에서는 보통 보안이 없고 테스트용 계정이 다 박혀있기 때문에 바로 접근이 가능합니다.

 

사이버 범죄와 관련된 스미싱 웹관리자 페이지를 찾을 수도 있습니다.

소스모으게 되면 제목, 주석문에 한자가 들어가 있기 때문에 한자로 '관리자로그인 부재중' . + 한국  을 검색하면 스미싱 웹 관리자 페이지가 나옵니다.

하나의 서버만 나오면 그걸로 추적해서 다른 비슷한 사이트를 추적하는 것도 가능합니다.

 

 

 

 

---

 

☞ 클라우드 보안

클라우드가 대세이고 점점 매출 성장해갑니다.

국내는 아마존이 60퍼 정도 점유하고 있으며 정부에서도 클라우드를 도입하고 있습니다.

 

 

☞ 클라우드의 장점에는

서비스에 높은 가용성, 

필요할 때마다 확장성, 축소도 가능, 

비용 감소, 

미리만들어놓은 템플릿으로 배포하면 빠르고 지속적인 운영

이 있습니다.

 

☞ 컨테이너환경 장점

온프레미스의 환경을 그대로 가져가도 되지만 컨테이너 환경에서의 이주를 추천합니다.

1개 이미지 > N개 인스턴스

빠른 환경 구성(도커파일이나 yml파일 등 빠르게 인프라 환경 구축)

개발과 배포환경일치 하며 테스트에도 바로 적용가능

hyper V같은 가상화가 없어서 빠른 속도

쉽게 이식가능

쿠버네티스같은 orchestrator와 함께 사용

 

 

☞ 컨테이너와 가상화의 가장 큰 차이점은

hypervisor type 1, 2는 하드웨어 바로 위에 하이퍼바이저를 설치하지만  

도커는 하이퍼바이저 부분이 없습니다. 가상화하지 않고 OS위에 바로 구동됩니다.

 

그래서 프로세스입니다.

즉 리눅스 커널의 기본 기능을 활용해 동작합니다.

 

 

☞ 클라우드 보안에는

사용자 관리 접근 권한 제어가 필수입니다. 외부에서 리소스에 접근해 데이터를 빼간다거나,

원격으로 붙어 악성행위를 한다거나 할 수 있기 때문에

azure 등은 리소스 관리 add-on을지원하고 있어서 접근제한하면 됩니다.

 

 

☞ 컨테이너 보안 특징으로는

이미지 취약점이 있을 수 있습니다.

정적 아카이브 파일이라 패치되지 않아 새로 나온 취약점이 있으면 바로 노출됩니다.

따라서 패치가 필요하고

컨테이너 전용 취약점 관리 도구가 필요합니다.

오픈소스로는 - clair, trivy 등이있습니다.

취약점에 대해 가시성을 확보해야합니다.

  품질게이트 설치해서 통과안한건 drop되도록,
가능하면 alpine 등  최소 이미지 가지고 있는 거 사용을 추천합니다.

 

ssh 나 telnet ftp 등 불필요한 서비스 사용될 때
ssh 22포트 개방되어있으면 원격접속해 쉘 실행 > root 권한 > 옆에있는 컨테이너 영향줄 수 있습니다.

따라서 이미지 상태를 지속적으로 모니터링, 업데이트합니다.

 

이미지는 단지 파일의 모음이기 때문에 악성코드 포함가능합니다.

컨테이너나 호스트에까지 위협이 됩니다.

> 이미지에대한 지속적인 악성코드 검사,
레지스트리에 존재하는 이미지 정적 검사가 필요합니다.

 

평문으로 저장된 기밀 

이미지 안에 암호화 키 등 기밀 데이터 포함될 수 있습니다.

해커는 이미지를 분석해 암호화키 얻을 수 있습니다.

> 기밀있는지 스캔이 필요합니다.

 

 

악성 외부 이미지 사용에 유혹이 있습니다.

> 따라서 이러한 신뢰를 중앙에서 통제하고

이미지 서명 검증 필요합니다.

 

안전하지 않은 레지스트리 연결

평문 통신이라면 기밀성 위험이 있고
중간자 공격으로 변조가능하기 때문에

> 안전한 채널 사용, 암호화 통신 , 이미지 서명 합니다.

 

레지스트리에 존재하는 노후 이미지

시간이 갈수록 취약점있는 오래된 이미지가 누적됩니다.

> 이미지 정리, 특정 버전 명시하여 참조, latest 태그 붙입니다.

 

 

불충분한 인증인가

회사 내부이미지에 악성 이미지 삽입 가능하기 때문에

> 신뢰하는 인원만 pull/push 권한 부여하고 담당하는 부분만 개발자에게 줍니다.

SSO와 통합

 

안전하지 않은 컨테이너 런타임 설정

적절하지 않은 옵션설정 > 보안취약 

특권모드 실행, 호스트 중요디렉터리를 컨테이너 마운트

> 표준 수립 필요. 관리 절차 수립 및 자동화, selinux 등 보호기술을 호스트에 적용합니다.

 

 

 

 

 

공부할 때는 AWS certification, K8S 등 자격증도 있지만

Azure, AWS 등 많은 기능을 실제로 사용해보면서 익히는 것이 중요합니다.

서비스 시 준수해야할 가이드, 컴플라이언스(정책) 사항. 
CSAP , KISA에서의 가이드, ISO 27017 , 쉴더스 등을 참고합니다.

보안 개발은 처음에 모든걸 초기에 보안에 고려하는 것이 효율적입니다. 나중에 덕지덕지x 붙이면 같은 기능이 중복되는 등의 비효율이 발생합니다. 또한 솔루션 사용해보는 것이 도움됩니다.