Pay2Key APT 캠페인 – 신원 보호가 그 어느 때보다 필요한 이유

Pay2Key 공격은 지난 몇 달 동안 다양한 랜섬웨어, 갈취 및 데이터 절도 공격으로 주요 기업을 표적으로 삼았습니다. 이러한 공격은 공격 측면에서 눈에 띄는 혁신이 없었습니다. 그러나 그들은 위협 행위자가 초기 액세스 단계뿐만 아니라 측면 운동. 오늘날의 공격에서 손상된 자격 증명이 수행하는 중요한 역할은 보안 팀에게 중요한 과제입니다. 이 기사에서는 두 가지 샘플 Pay2Key 공격을 분석하고 기업 보안 의사 결정권자를 위한 세 가지 실행 가능한 통찰력을 제시하며 방법을 설명합니다. Silverfort의 통합 신원 보호 플랫폼은 사용자 ID가 주요 공격 표면이 된 이 새로운 현실을 해결할 수 있습니다.

Pay2Key 공격 – 예제 #1: RDP 및 자동화된 랜섬웨어 전파

이 공격은 8년 2020월 XNUMX일에 공개되었습니다. 체크 포인트 . 공격자들은 대규모 처형을 시도했습니다. 랜섬 운동. 이를 달성하기 위해 초기 액세스 권한을 얻는 데 자주 사용되는 기존의 무기화된 이메일 벡터를 보다 효율적인 기술로 변경했습니다. 손상된 RDP 자격 증명을 사용하는 원격 연결. 대상 환경 내의 기계와 연결을 설정한 후, 그들은 네트워크의 다른 기계에 랜섬웨어 페이로드를 전달하기 위해 이 기계를 피벗프록시로 구성했습니다. 그만큼 실제 전파는 다음을 사용하여 수행되었습니다. PSexec 자동화 랜섬웨어가 한 시간 안에 전체 네트워크에 퍼집니다.

1. 1. 초기 액세스 를 통해 손상된 RDP 자격 증명
   2. C2C 서버로 손상된 시스템 구성을 통한 지속성
   3. 측면 운동 를 통해 프섹섹

다이어그램 1: Pay2Key 공격 예시 #1

Pay2Key 공격 예제 #2: 공급망 RDP 및 수동 측면 이동

2020년 XNUMX월 초에 다른 공격이 발생했으며 초기 액세스 권한을 얻기 위한 유사한 전술을 선보였습니다. 손상된 RDP 자격 증명이 사용되었습니다. 타사 계약자의 서버에 액세스 대상 환경에 연결할 수 있습니다. 거기에서 공격이 이어졌습니다. 표준 측면 운동 방법, 공격자들은 전진하면서 추가 자격 증명을 손상시키고 이를 사용하여 Powershell을 사용하여 다른 프로덕션 서버에 로그인. 결국 공격자는 상당한 양의 민감한 데이터를 빼내어 피해자를 강탈하고 데이터를 대중에게 유출하겠다고 위협하는 데 사용했습니다.

1. 초기 액세스 공급망 서버를 통해 손상된 RDP 자격 증명
2. 측면 운동 를 통해 P오쉘 스크립트
3. 고집 와 Data 여과 손상된 각 서버의 백도어를 통해

다이어그램 2: Pay2Key 공격 예시 #2

Security Insight 1 – 이제 손상된 자격 증명이 초기 액세스 단계에서 광범위하게 사용됨

기본적으로 공격의 '초기 액세스' 단계의 즉각적인 연결은 맬웨어 및 익스플로잇의 사용입니다. 많은 경우에 이것은 여전히 ​​사실이지만 손상된 자격 증명이 이 프로세스에서 점점 더 큰 역할을 하고 있다는 점에 유의하는 것이 중요합니다. Verizon의 2020 DBIR 손상된 자격 증명을 사용하는 것이 해커가 선호하는 감염 벡터로서 악용 및 백도어 맬웨어를 능가한다고 말합니다.

'…맬웨어는 지난 XNUMX년 동안 위반 비율이 일관되고 꾸준히 감소했습니다. 왜 이런거야? 멀웨어가 푹신한 머리카락이나 일반적인 예의와 같이 유행에서 벗어났나요? 아니요, 우리는 해킹 및 사회적 위반과 같은 다른 공격 유형이 자격 증명 도용으로 이익을 얻는다고 생각합니다…'

Security Insight 2 – 측면 이동은 손상된 자격 증명 문제입니다.

맬웨어 작성자는 탐지를 피하기 위해 공격 벡터가 합법적인 동작으로 보이도록 하기 위해 열심히 노력했습니다. 안타깝게도 수비 측에서는 측면 이동 단계에서는 필요하지 않습니다. 공격자가 성공적으로 손상되면 사용자 계정 자격 증명을 사용하면 악성 로그인이 100% 합법적인 것처럼 보이므로 추가 시스템에 직접 액세스할 수 있습니다. 측면에서 중매 보호 즉, 횡적 이동(Lateral Movement)으로부터 보호하기 위한 핵심은 보안 인증 분야(즉, MFA 및 조건부 액세스 정책)에서 찾아야 함을 의미합니다. 손상된 자격 증명 사용에 대해 효과적인 것으로 입증된 도구. 그러나 이러한 도구는 오늘날 기업 보안 팀의 일반적인 관행이 아닙니다.

Security Insight 3 – 손상된 자격 증명은 새로운 ID 공격 표면입니다.

새로운 기업 IT 환경은 하이브리드 온프레미스 및 클라우드 네트워크를 특징으로 하며 기업 리소스에 대한 대규모 원격 액세스를 지원해야 합니다(Covid19로 인해 수요 증가). 사용자 계정 ID는 이 환경에서 리소스에 액세스하는 데 중요한 역할을 합니다. 온프레미스 파일 서버에 대한 자격 증명이든 원격 액세스 VPN의 SaaS 애플리케이션에 대한 자격 증명이든 상관없이 사용자 계정 자격 증명을 끊임없이 추적하는 공격자는 이 사실을 간과하지 않습니다. 이제 ID가 매우 중요해지고 있음을 인정할 때입니다. 공격 표면 그 어느 때보다 신원 보호가 필요합니다.

Silverfort 통합 인증 보호 플랫폼

Silverfort 첫 번째 통합 신원 보호 기업 네트워크와 클라우드 환경 전반에 걸쳐 보안 제어를 통합하여 ID 기반 공격을 차단합니다. 혁신적인 에이전트리스 및 프록시리스 기술 사용 Silverfort 온프레미스 또는 클라우드의 모든 리소스에 대한 모든 사용자 계정의 모든 인증에 지속적인 모니터링, 위험 분석 및 적응형 액세스 정책을 적용합니다. Pay2Key 공격의 맥락에서 그들은 PSexec 및 Powershell과 같은 RDP 및 Windows 관리 도구를 대상으로 했습니다. 집행이 가능했다면 Powershell의 MFA 이러한 다른 액세스 방법을 사용했다면 공격은 완전히 실패했을 것입니다. 글쎄요? – 이제 가능합니다.

Silverfort 대 Pay2Key 공격

요약하자면, 이 공격의 '초기 액세스' 단계는 손상된 RDP 자격 증명을 사용하여 시작되었습니다. Silverfort 시행 RDP용 MFA 적법한 액세스를 보장하기 위한 연결이므로 공격자는 2단계 인증을 할 수 없기 때문에 공격의 초기 액세스 단계를 차단하고 공격자는 경계에 침투하지 않습니다.

1. 초기 액세스 를 통해 손상된 RDP 자격 증명 is Silverfor MFA에 의해 차단됨 RDP 연결 정책

다이어그램 3: Pay2Key 공격 예제 #1 초기 액세스 보호

공격자가 다른 초기 액세스 기술로 성공할 수 있을 만큼 충분히 끈질기고 자원이 풍부한 경우 추가 방어를 적용하는 것이 항상 중요합니다.

이 경우, Silverfort PSexec 원격 인증(자동화된 랜섬웨어 전파에 의존함)에 MFA를 적용하여 횡적 이동의 다음 단계를 차단합니다.

1. 초기 액세스 설정됨
2. C2C 서버로 손상된 시스템 구성을 통한 지속성
3. 측면 운동 를 통해 Ps임원 에 의해 차단됨 Silverfort PSexec에 대한 MFA 정책

다이어그램 4: Pay2Key 공격 예시 #1 측면 이동 보호

유사한 방식으로, Silverfort Pay2Key 공격 예제 #2의 초기 액세스 및 측면 이동 단계를 모두 방지했을 것입니다. RDP 부분은 동일하므로 공격자가 어떻게든 환경 내의 한 시스템에 풋프린트를 설정하기 위해 어떻게든 관리했다고 생각하는 부분으로 이동하겠습니다. 측면 이동 부분에는 집중할 가치가 있는 몇 가지 측면이 있습니다.

1. 초기 액세스 확립 된
2. 측면 운동 를 통해 P오쉘 스크립트 에 의해 차단됨 Silverfort Powershell Remoting에 대한 MFA 정책
3. 고집 와 Data 여과 백도어를 통해 – 처음 접속한 서버에서만

다이어그램 5: Pay2Key 공격 예시 #2 횡적 이동 보호

이 경우 Silverfort 원격 Powershell 연결에 MFA를 적용하여 횡적 이동을 방지하여 적법하고 유효한 사용자만 MFA를 실행하도록 하고 처음에 손상된 단일 시스템으로 공격을 제한합니다.

최종 생각

이 기사의 시작 부분에서 언급했듯이 Pay2Key 공격은 어떤 식으로든 고유하지 않습니다. 그러나 전 세계 보안 팀에 플래그를 올려야 하는 것은 바로 고유성의 부족입니다. 고유한 공격이 아니라 일반적인 공격이 환경을 대상으로 할 가능성이 높으며 이러한 공격으로부터 보호하는 것이 필수적입니다. 오늘날의 기업에서 ID는 왕국의 왕관 보석에 대한 열쇠입니다. Silverfort 통합 ID 보호 플랫폼은 사용자의 ID에 실제로 필요한 보호를 제공하는 최초의 플랫폼입니다.

자세히 알아보기 Silverfort 여기에서 지금 확인해 보세요.