정보보안 스터디 - 33주차 3일 - CTI가 하는 일, CTI에 관하여

☞ CTI (cyber threat intelligence)에 대해서

CTI라고 쳐도 바로 안나오고 많이 생소한 개념입니다.

공격자에 대한 정보를 미리 안다는 게 쉬운 작업이 아닙니다. 왜냐하면 정보의 파도속에서 정보를 뽑아내는 것부터

분석해서 기존의 그룹과의 유의미한 연결고리를 이어 profile을 만들거나, 의미가 있는 프로세싱을 하는 게 어렵기 때문입니다. 그래서 이를 대신해주는 전문가들입니다.

 

기본적으로 사람 많을 수 없는 이유가, 수입내는 구조가 아닙니다.

프리미엄 서비스 형식으로 끼워서 수입을 냅니다.

 

sock peppet 가짜 계정, 페르소나를 만들어 직접 접근해서 블랙 팀에 참여하기도 하는데 그런 부분이 되게 까다롭습니다.

 

 

이미 당했을 때도 마찬가지로 그 전에 그룹이 어떤 공격을 시도했는지 과거이력을 알아야 빠르게 위협에 대응할 수 있습니다.
IOC 침해지표 정보를 수집합니다. - 사용자가 사용하는 ip, domain, hash멀웨어 지정값들

 

사실 예전에는 ip 알면 어느정도 대응 됐는데 
요즘 공격 트렌드는 고차원적이기 때문에 OPSEC을 위해 IP를 숨기는 것은 물론 다양한 안티포렌식 기술까지 가미합니다.
IP는 그냥 바꾸면 되고 domain fronting까지 쓰면서,
hash값도 사실 프로그램 한 비트만 바꾸면 됩니다.
IOC는 부족하고 의미 없어보입니다.
IOA(indicator of activity) - 요즘 트랜드. EDR, AI로 정보 수집, 분석함. TTP 같은거임.

 

☞ 공격 그룹 종류

 APT

대부분 nation-sponsored
미국도 많고. 나라마다 하나씩 다 있습니다.

하지만 반미국 나라들이 활발할 수 밖에 없는 이유는, 정상적으로 돈버는 매게체가 없습니다.

따라서 > 개개인 암호화폐 지갑 훔치거나, 군사 정보 빼와서 국가에 이득을 주는 행위를 합니다. 

hacktivist 

많이 사라졌습니다. 
수사할 방법이 없었는데 많아지고 발달해서
익명 감추기 개인적인 레벨에서는 OPSEC이 어려워져서 거의 불가능해졌습니다.

 

crime 범죄 그룹 
랜섬웨어 갱단. 하나의 기업처럼 운영하는 락빗이 대표적입니다. 

대부분 백업서버를 마련해놓아서 정보 삭제되는 건 상관없을 거고,

정보를 뿌릴 거다. 라고 공표하는 행위를 합니다.

락빗은 신기하게 개개인 안정적 운영하며, opsec, 기술적인 면 등 뛰어나다고 말합니다.
니네 회사에 백도어 하나에 열어놓아라. 돈을 줌. - 해커가아니더라도 가능한 방법입니다.
등 이외에도 기업화 많습니다.

 

 

☞ 랜섬웨어 복호화가 가능한가?

다크웹 돌아다니는 enc + 암호화 실수 는 복구되는 경우 있는데
랜섬웨어 decryptor는 암호학적으로 힘들다고 보면 됩니다.

 

 

☞ CTI 프로세싱

작은 회사는 CTI가 없을 경우가 많습니다.

작은 회사:
리포트 작성 ioc, ioa, ttp -> 블루팀 에게 공유해주면서 IOC 이렇게 나왔는데 detection rule에 넣어.

 

큰회사(안랩 등):

-수집 과정을 거침
osint, humint(가짜계정으로 함정수사 = APT 등 범죄자랑 얘기한다거나 팀에 들어감.)

 

socmint(social media) - 트위터, FB, TG, 안쓰는 경우 qTox(리얼 범죄자)
정보 빼와서 수집. 다음달 언제 범죄 시작한다. 등을 알 수 있음. > 분석
이 때 가짜 정보가 섞여 들어가거나, 리포트로 쓸만한 정보인가?(고객의 수요- 비즈니스)를 구분해야합니다.

 

리버싱(malware analysis- 랜섬 샘플가져와서)

 

IOC - meta data, domain 정보들.
비슷한 패턴의 공격(암호화 방식, 프로세스 injection할 때) 사용할 때 특정가능합니다. -> 링크, profile 비교
decompile , deassembley 코드 패턴 비슷함.  payload 만드는 사람 입장에서 그럴 수 밖에 없는 이유가 loader 만드는 builder가 같기 때문입니다.

파라미터 최종페이로드가 생김새 조금씩 바뀔 순 있지만, builder자체는 비슷한 패턴입니다. builder를 4~5개 사서 돌려쓰지 않는 이상 확인이 가능합니다.

 

비즈니스 이므로 리포트를 작성 따로 하는 분 있습니다. APT는 국제 정서에 따라서 국가 간의 연결성 얘기해가면서 작성합니다.
ex) A : APT -> B회사  다음주에 공격한다.
~이런 TTP들을 사용했다. 우리회사에서 다 수집했다. EDR 제품을 사용하면 다 막아낼 수 있으며, 고도화된 리포트 받을 수 있다.

 

 

☞ OPSEC에 관하여

만약 CTI 가 범죄자들과 연락을 한다면

범죄자들도 Virus total을 페이로드 비교를 통해서 업로드 기록이 있는지 확인하거나

보안 회사를 해킹해본다거나 여러 추적방법을 이용해서 회원에 대해서 보안회사 사람은 아닌지 확인합니다.

활동 관리, 평판 관리에 대한 테스트가 심할 것으로 보입니다.  

따라서 OPSEC이 매우 중요합니다. 이를 위해서 선불폰 여러개를 현금으로 사기도 합니다.

 

돈을 준다고 하면서 암호화폐 주소를 얻고 돈을 주면 국가간의 문제가 생길 수 있기에 구슬리는 선 안에서 끊어야 합니다

공공 합작으로 돈을 주면서 진행하기도 합니다.

.

인프라를 발견했어도 공격하지 않는 것이 원칙이긴합니다.

공격당한다는 사실을 발견하면 바로 서버를 내려버리면 그만입니다.

OPSEC에서도 VPN 회사가 찍히거나 VPN 안되서 그냥 ip로 로그 찍힐 경우가 생길 수 있으므로 공격하지 않습니다. + 법적인 문제

 

요즘은 원래 있었던 사이트를 웹서버 장악을 해서 진행합니다.
운영자 입장에서는 합법적인 비즈니스 사이트 공격한거기 때문에 법적으로 문제가 생길 수 밖에 없습니다.

 

 

☞ 보안의 미래

5년 전만해도 보안이 허술하고 수사망이 허술했지만 > 더 보안 지식의 깊이가 확 증가했습니다.
간단하게만 배워서는 뚫기가 힘든 시대가 올 듯합니다.
갈수록 진짜 specific하게 해서 방어기술 10개 이상 다 뚫어야되도록 진행되고 있습니다.
win 7  > win 11 방어 기술 자체가 수십 개입니다. 공격자입장에선 다 뚫어야 됩니다.
IOT, cloud도 마찬가지고. 모든 보안들이 방어 layer를 다 구축했고 쌓이고 있습니다.

모의해킹에 있어서 리버싱 쪽도 원래안하다가 접목하여 사용 많이 합니다.
EDR 솔루션이 요즘은 성능이 좋아져서 리버싱해서 취약점, 우회점 찾고 있습니다.