보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

공문서를 사칭한 타이도어 악성 메일 탐지

2021.08.04

4,610






01. 개요

최근, 불특정 다수의 기업을 대상으로 '계약서', '견적서', '명세서', '주문서' 등 특정 회사를 사칭한 피싱 메일이 유포되고 있다. 해당 메일은 기업 간 오고 가는 공문서를 사칭하여 사용자가 메일에 포함된 첨부파일을 실행하면 사용자의 PC를 감염시키며, 첨부된 링크로 이동할 경우 피싱사이트로 접속을 유도하여 개인정보를 유출시킨다. 만약, 해당 업무를 담당하고 있는 사용자라면 업무 진행을 위해 피싱 메일을 열어볼 가능성이 아주 크다. 이러한 공문서 피싱 메일 외에도 사회적 흐름이나 이슈를 이용한 해킹 시도는 지속될 것으로 예상된다.
따라서 이번 호에서는 SPiDER TM 5.0을 활용하여 공문서를 사칭한 타이도어 악성 메일에 대한 탐지 및 대응 방법에 대해 기술하고자 한다.


02. 탐지 시나리오


[그림 1] 탐지 시나리오


1) 공문서를 사칭한 피싱 메일 탐지

SpamMail탐지 솔루션을 통하여 제목에 ‘견적’, ’계약’, ‘구매’, ’결제‘ 등 문구를 포함하고 첨부파일이 존재하는 피싱 메일 탐지


2) 백신에서 타이도어 멀웨어 탐지

V3 백신에서 ‘Trojan/Win64.Loader.C4175641’ 진단명으로 트로이목마(RAT) 유형의 타이도어 멀웨어 탐지 가 된 이후 백신의 결과 값이 치료불가/치료실패/에러 상태인 로그 확인


3) 외부 C&C서버에서 사용자PC로 비인가 접근 허용 탐지

해커가 감염된 대상 사용자의 장치에 원격으로 엑세스하는 행위에 대하여 방화벽 접속 로그 중 외부의 BlackList IP(C&C서버)에서 감염된 대상 PC로 접속한 허용 세션 탐지 


4-1) 감염된 사용자 PC에서 외부 C&C서버로 정보 유출

방화벽 접속 로그를 통하여 감염된 대상PC에서 BlackList IP(C&C서버)로 나가는(IN->OUT) 패킷 탐지 


4-2) 감염된 사용자 PC에서 계정 탈취한 내부 자산(중요서버)으로 접속 시도

방화벽 접속 로그를 통하여 감염된 대상PC에서 내부 중요자산(SIEM의 Capital서버)으로 접속을 시도하는 로그 탐지


03. 공문서를 사칭한 타이도어 감염 탐지 시나리오 단일경보 등록

1) 공문서를 사칭한 피싱 메일 탐지

SpamMail탐지 솔루션을 통하여 제목에 ‘견적’, ’계약’, ‘구매’, ’결제‘ 등 문구를 포함하고 첨부파일이 존재하는 피싱 메일 탐지


[그림 2] 피싱 메일 탐지 경보


2) 백신에서 타이도어 멀웨어 탐지

V3 백신에서 ‘Trojan/Win64.Loader.C4175641’ 진단명으로 트로이목마(RAT) 유형의 타이도어 멀웨어 탐지가 된 이후 백신의 결과 값이 치료불가/치료실패/에러 상태인 로그 확인


[그림 3] 타이도어 탐지 경보


3) 외부 C&C서버에서 사용자PC로 비인가 접근 허용 탐지

해커가 감염된 대상 사용자의 장치에 원격으로 엑세스하는 행위에 대하여 방화벽 접속 로그 중 외부의 BlackList IP(C&C서버)에서 감염된 대상 PC로 접속한 허용 세션 탐지 


[그림 4] 외부 C&C서버의 비인가 접근 탐지 경보


4-1) 감염된 사용자 PC에서 외부 C&C서버로 정보 유출

방화벽 접속 로그를 통하여 감염된 대상PC에서 BlackList IP(C&C서버)로 나가는(IN->OUT) 패킷 탐지 


[그림 5] 사용자PC에서 외부 C&C 서버로의 접근 탐지 경보


4-2) 감염된 사용자 PC에서 계정 탈취한 내부 자산(중요서버)으로 접속 시도

방화벽 접속 로그를 통하여 감염된 대상PC에서 내부 중요자산(SIEM의 Capital서버)으로 접속을 시도하는 로그 탐지


[그림 6] 내부자산으로의 접근 탐지 경보


04. 상관분석 룰 등록 및 상세 분석

1) 상관분석 시나리오 ①

• 앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 4단계까지 상관분석을 등록한다.

① 공문서를 사칭한 피싱 메일 탐지
② 백신에서 타이도어 멀웨어 감염 탐지
③ 외부 C&C 서버에서 사용자PC로 비인가 접근 허용 탐지
④ 감염된 사용자 PC에서 외부 C&C 서버로 정보 유출 탐지

• 승계 조건을 활용하여 연계 경보 탐지
1단계 → 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP
2단계 → 3단계 승계 조건 : 2단계 출발지 IP = 3단계 목적지 IP
3단계 → 4단계 승계 조건 : 3단계 목적지 IP = 4단계 출발지 IP


[그림 7] 상관분석 룰 설정 및 경보 발생 화면 


1) 상관분석 시나리오 ②

• 앞서 등록한 단일 경보 2가지에 대하여 1단계 부터 4단계까지 상관분석을 등록한다.

① 공문서를 사칭한 피싱 메일 탐지
② 백신에서 타이도어 멀웨어 감염 탐지
③ 외부 C&C 서버에서 사용자PC로 비인가 접근 탐지
④ 감염된 사용자 PC에서 내부자산(중요서버)으로 접근 탐지

• 승계 조건을 활용하여 연계 경보 탐지
1단계 → 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP
2단계 → 3단계 승계 조건 : 2단계 출발지 IP = 3단계 목적지 IP
3단계 → 4단계 승계 조건 : 3단계 목적지 IP = 4단계 출발지 IP


[그림 8] 상관분석 룰 설정 및 경보 발생 화면 


2) 상세분석

상세분석 기능을 이용한 근거데이터, 경보 트렌드 분석이 가능하다.
발생된 룰셋에 대한 발생건수, 차트 및 근거이벤트 대표 출발지IP, 목적지IP의 상세정보, 경보의 원본로그 정보/페이로드 변환 정보, 경보발생 그래프를 확인할 수 있다. 


[그림 9] 상관분석 시나리오1 상세내역 



[그림 10] 상관분석 시나리오2 상세내역 


05. 결론

지금까지 피싱 메일 형태로 침입하는 타이도어 공격을 탐지하는 방법에 대해 알아보았다. 보안이라는 분야에 지식이 있거나 보안 업무를 담당하고 있는 사람이라면 이러한 사회공학적 기법에 쉽게 당하지는 않을 것이다. 하지만 이러한 기법은 불특정 다수, 즉 보안에 지식이 없는 사람에게도 행해질 수 있다. 보안담당자는 사내 S/W 및 정책의 최신화를 주기적으로 하며 출처가 불분명한 링크 및 파일 금지 등 기본적인 보안 상식을 지속적으로 공지하는 등의 선제적 예방이 필요할 것이다. 

* 예방대책

1. 메일에 첨부된 출처가 불분명한 파일 및 링크 클릭 금지
2. 백신 및 브라우저의 최신 버전 업데이트 유지
3. 유해IP 및 내부자산 정보의 주기적인 최신화