퍼니드림 APT 캠페인 – 확대 Silverfort 측면 이동에 대한 보호

*****Yiftach Keshet, 제품 마케팅 이사, Silverfort*****

'라는 새로운 APT 캠페인퍼니드림'라는 보안 연구원이 발견했습니다. 캠페인은 주로 동남아시아 정부를 표적으로 삼았습니다. 공격 결과는 2018년 XNUMX월부터 보고되었습니다. APT 그룹의 간첩 활동을 조사한 결과 다음과 같은 증거가 나타났습니다. 측면 운동. 원격 시스템에서 예약된 작업 및 WMI가 포함된 많은 배치 파일을 실행하는 데 손상된 자격 증명이 사용된 것으로 보입니다. 추가 증거에 따르면 공격자는 wmiexec.vbs 스크립트를 사용하여 원격 명령을 실행했습니다. 이는 대부분 조직의 표준 보안 제품 스택에 심각한 격차가 있기 때문에 측면 이동이 여전히 사각지대라는 점을 뼈저리게 상기시켜 줍니다. 이 블로그에서 우리는 측면 이동이 어떻게 실행되는지 설명 이 공격에서 어떻게 Silverfort의 혁신적인 기술은 측면 이동을 차단할 수 있습니다. 비정상적인 인증 패턴을 식별하고 명령줄 원격 액세스 도구에 대한 보안 정책을 시행함으로써 전체적으로.

퍼니드림 캠페인 개요

FunnyDream 캠페인은 말레이시아, 대만, 필리핀, 베트남의 유명 기업을 대상으로 했습니다. 고급 백도어 및 드로퍼를 사용하여 자동 및 장기 데이터 수집 및 유출을 용이하게 하는 고도로 정교한 맞춤형 지속성 메커니즘이 특징입니다. 초기 감염과 지속성 메커니즘의 구현 이후, 증거에 따르면 FunnyDream 위협 행위자는 피해자의 도메인 컨트롤러를 손상시키는 데 성공했습니다. 그런 다음 다음을 사용하여 광범위한 측면 이동 활동을 수행했습니다. 예약 된 일들 와 WMI , wmiexec.vbs를 사용하여 원격 컴퓨터에서 코드를 탐색하고 실행하는 것이 특히 좋습니다.

횡적 이동: 의도적으로는 합법, 상황에 따라 악성

FunnyDream과 같은 APT 캠페인에서 볼 수 있듯이 측면 이동은 다음과 같은 합법적인 원격 관리 도구를 사용하여 실행될 수 있습니다. PSexec, Powershell 또는 FunnyDream WMI의 경우 네트워크의 리소스를 탐색하고 액세스합니다. 이러한 도구를 사용하면 제로데이 취약점을 발견하거나 익스플로잇을 개발하거나 복잡한 백도어를 제작할 필요가 없습니다. 이러한 관리 도구는 네트워크 및 인프라 운영자가 모든 원격 시스템에 원활하게 액세스할 수 있도록 의도적으로 구축되었기 때문입니다. 즉, 이러한 도구는 설계상 놀라운 생산성 동인이자 공격자의 손에 쥐어지는 치명적인 칼날입니다.

측면 이동으로 보안 제품에 대한 과제 제시

두 가지 이유가 있습니다 횡적 이동은 일반적인 보안 솔루션으로 감지 및 방지하기 어렵습니다.:
• 공격은 합법적이지만 손상된 자격 증명을 사용하여 수행됩니다.: 실제로는 유효한 사용자 자격 증명을 사용한 로그인에 불과하다는 의미입니다. 사용된 자격 증명이 실제로 손상되었다는 명시적인 표시는 없습니다.
• 이러한 공격의 복잡성으로 인해 비정상 행위의 실시간 탐지가 어렵습니다.: EDR, NDR, SIEM과 같은 일부 솔루션은 측면 이동이 발생한 후 잠재적 이상을 감지하고 소급 경보를 생성할 수 있습니다. 하지만 실시간으로 감지하지 못하기 때문에 차단할 수 없습니다.

요점을 더 잘 설명하자면 악의적인 활동은 정의상 합법적인 활동에서 벗어납니다. 예를 들어 맬웨어 또는 익스플로잇의 경우 표준 동작에서 벗어난 방법 엔드포인트 보호에 의해 즉시 종료됩니다. 대량 데이터 유출의 경우 표준 패턴에서 벗어난 것입니다. 일단 감지되면 트리거되는 네트워크 트래픽 네트워크 보호 제품에 의한 즉각적인 차단. 등등. 그러나 적법한 자격 증명을 사용하여 리소스에 액세스할 때 편차는 사용자 활동. 그리고 사용자 활동에서 이상이 감지되면 사용자의 액세스를 차단하거나 사용자의 실제 신원을 확인하기 위해 재인증을 요구하는 등 즉각적인 대응이 뒤따라야 합니다. 여기가 어디야 Silverfort 놀이로 제공됩니다.

Silverfort: 최초의 통합 ID 플랫폼

Silverfort 최초의 통일이다 신원 보호 손상된 자격 증명을 사용하여 대상 리소스에 액세스하는 ID 기반 공격으로부터 조직을 보호하기 위해 특별히 설계된 플랫폼입니다. Silverfort IAM 인프라와 통합하여 네트워크의 모든 인증 활동을 모니터링합니다., 지속적인 위험 분석 및 액세스 정책 적용을 위해 클라우드 및 온프레미스 리소스 모두에 적용됩니다.

패러다임의 변화: 실시간으로 인증 요구 사항을 강화하여 측면 이동 차단

Silverfort각 사용자의 전체 인증 활동에 대한 의 전체적 가시성을 통해 사용자의 행동 프로필을 타의 추종을 불허하는 정밀도로 평가할 수 있습니다. 사용자 및 해당 커뮤니티의 관찰된 동작과 비교하여 각 액세스 요청의 위험을 지속적으로 계산합니다. 이에 대한 자세한 내용은 다음 블로그를 참조하십시오. Louvain Community Detection Algorithm을 사용하여 엔터프라이즈 네트워크에서 악성 액세스 감지 및 예측

인셀덤 공식 판매점인 Silverfort 다음과 같이 비정상적인 활동을 식별합니다. 측면 이동 공격, 액세스를 차단하기 위해 실시간으로 인증 요구 사항을 강화하거나 사용자가 선택한 MFA로 인증하도록 요구할 수 있습니다. Silverfort의 에이전트 없는 MFA 솔루션 또는 타사 MFA 솔루션). Silverfort 시행할 수 있는 유일한 솔루션입니다. MFA 명령줄 원격 액세스 도구에서 측면 이동의 빵과 버터입니다. 전통적으로 MFA는 타협 후 횡적 이동 단계에서 APT 대응 무기의 고유한 부분으로 간주되지 않지만 적응형 위험 정책과 함께 이러한 명령줄 도구에 MFA를 적용하면 이러한 위협에 대해 간단하면서도 효과적인 보호를 제공합니다.

그것은 어떻게 작동합니까?

'FunnyDream' 측면 이동 예제를 사용하여 이를 설명하겠습니다.

1. 공격자는 다음을 사용하여 컴퓨터에 로그인을 시도합니다. wmiexec.vbs, 손상된 사용자 자격 증명을 사용합니다.
2. 그만큼 Silverfort 원격 액세스에 WMI를 사용하기 위한 권장 정책에는 MFA가 필요합니다. 따라서 자격 증명을 소유한 합법적인 사용자인 실제 사용자에게 인증을 확인하라는 메시지가 표시됩니다.
3. 공격자가 인증을 완료할 수 없으므로 리소스에 대한 액세스가 차단됩니다.
4. SOC는 다음에 의해 즉시 통보됩니다. Silverfort 사용 시도에 대해 wmiexec.vbs 보안 팀이 네트워크에서 악의적인 존재를 추가로 조사하고 근절할 수 있습니다.

에 대한 자세한 내용을 보려면 Silverfort측면 이동 공격을 차단하는 의 기능은 주문형 웨비나를 시청하십시오.

측면 이동의 회피적 위협을 감지하고 차단할 수 있습니까?

이 블로그에서 방법을 설명할 수 있기를 바랍니다. Silverfort 이러한 위협을 완화하고 측면 이동을 차단합니다. 하지만 이 문제에 대해 더 자세히 논의하는 것은 언제나 기쁜 일입니다. 질문이 있거나 이 솔루션의 전체 데모를 보려면 알려주십시오.

데모 요청