표적 공격은 2009년에 세계 커뮤니티에서 처음으로 활발한 토론의 주제가 되었습니다. 그 후 Stuxnet 공격에 대해 알려지게 되었습니다. 아마도 그녀와 함께 시작되었다고 말할 수 있습니다. 최근 역사표적 사이버 공격. 이 유형의 사이버 범죄는 무엇이며 그러한 공격이 어떻게 나타날 수 있는지, 우리 자료에서 더 자세히 설명합니다.

표적 공격이란 무엇입니까?

표적(또는 의도적) 공격은 특정 국가 또는 비국가 구조 또는 조직에 대한 사전 계획된 조치입니다. 일반적으로 표적 공격에 관여하는 사이버 범죄자는 전문가이며 주문에 따라 자동차를 훔치는 전통적인 공격자와 비교할 수 있습니다. 특정 대상이 있고 나중에 성공적으로 우회하기 위해 자동차 보호 수단을 연구합니다.

오늘날 해커의 활동은 전통적인 비즈니스의 기능을 점점 더 많이 획득하고 있습니다. 시장에는 일종의 "암시장"이 있습니다. 즉, 회사의 IT 인프라를 공격하는 데 필요한 소프트웨어 도구를 구현하기 위한 그림자 체계와 장소입니다. 인터넷에서 쉽게 찾을 수 있는 고정 요금이 있습니다.

이미 형성된 제품 라인도 찾을 수 있습니다. 사이버 범죄 "회사"는 판매 깔때기를 확장하고 다양한 대상 세그먼트를 고려하여 솔루션의 개별 수정을 준비하고 있습니다. 봇넷에 대한 가격이 있으며 트로이 목마의 새 버전이 활발히 발표되고 있습니다. 표적 공격을 서비스로 구매할 수도 있습니다. 사이버 공격자는 자체 개발 계획을 수립하고 이에 대해서도 적극적으로 발표하고 있습니다.

InfoWatch의 제품 개발 관리자인 Andrey Arefiev에 따르면 발표는 원칙적으로 비공개 소스로 제공됩니다. - 하지만 그럼에도 불구하고 현대 봇넷 산업은 본격 상용 제품의 모든 기능을 갖추고 있다고 할 수 있습니다. 독립적인 연구에 따르면 봇넷을 구축하는 데 사용되는 유틸리티의 수가 최근 몇 년 동안 10배 증가했습니다.

또한 최근 몇 년 동안 공격의 성격이 크게 바뀌었습니다. 공격은 매우 정교해졌습니다. 오늘날의 공격은 더욱 다양해졌습니다. 공격자는 회사의 자체 인프라에 적응하고 공격을 최대한 보이지 않게 만들려고 합니다. 공격은 가능한 한 늦게 탐지되거나 전혀 탐지되지 않아야 합니다. 따라서 그러한 공격은 일반적으로 시간이 지남에 따라 적극적으로 나타날 때만 눈에 띄게됩니다.

IT 인프라에 대한 표적 공격의 특징은 다음과 같습니다.

  • 그들은 회사가 가지고 있는 보호 시스템을 연구하고 그것을 우회합니다.
  • 공격의 성격은 더욱 다단계로 바뀌었습니다. 공격은 비서의 컴퓨터에서 시작할 수 있으며 궁극적인 목표는 회계사의 컴퓨터가 될 것입니다. 예를 들어 공격자의 작업은 거기에 맬웨어를 설치하는 것일 수 있습니다.

중간 결과로, 회사의 IT 인프라에 대한 공격의 가시적인 징후를 관찰하지 못한다고 해서 이것이 공격을 받고 있지 않다는 의미는 아니라고 Andrey Arefiev는 요약합니다.

표적 공격의 예

여러 공개 소스에 따르면 트로이 목마 바이러스 프로그램의 도입을 위해 "진입 지점"은 종종 불충한 회사 직원의 내부 활동입니다. 얼마 전 이란에서도 비슷한 예를 볼 수 있었습니다.

이 공격의 주요 목적은 이란의 핵 프로그램을 억제하는 것이었습니다. 알려진 바에 따르면 주권 국가가 통제하는 핵농축 원심분리기와 많은 시설이 프리랜서로 배치되었습니다. 원심분리기는 빨리 고장났고 수리에는 시간과 돈이 필요했기 때문에 우라늄 농축이 연기되었습니다. 결과적으로 이 공격은 사전에 계획되고 수행되었으며 장기간에 걸쳐 수행되었습니다.

공격의 목적은 장비를 훔치는 것이 아니라 산업 시설을 통제하는 것이었다. 누군가가 원자력 발전소를 제어하기 시작하면 어떻게 될지 상상하는 것은 끔찍합니다. 프리랜서 모드로 전환하면 적어도 두 번째 체르노빌이 위협됩니다 ...

그러나 공격자의 표적은 전략적으로 뿐만 아니라 중요한 물건및 주요 정부 기관. 최근에 한 비즈니스 조직의 소유자가 이것을 직접 볼 기회가 있었습니다. 그들은 접촉 취약점을 사용하여 회사의 서버를 감염시키려고 시도했습니다. 회사의 소유자는 회계사의 컴퓨터만 공격을 받은 것만으로도 운이 좋았습니다.

악성 소프트웨어는 다음을 얻을 수 있는 프로그램입니다. 승인되지 않은 접근에게 기밀 정보취약점을 통해. 이러한 프로그램은 일반적으로 기업 네트워크에 대한 기본 액세스 권한을 얻는 데 사용됩니다. 일반적으로 시스템 주입은 시스템이 재부팅될 때 데이터에 액세스하는 것을 말합니다. 이 경우 실행 모듈의 "등록"은 매번 다시 시작하는 것입니다.

악성 소프트웨어는 직원의 악의적인 의도뿐만 아니라 해커가 사용하는 방법으로 인해 회사 직원의 컴퓨터에 침투할 수 있습니다. 사회 공학(예를 들어, 사이버 범죄자는 피해자에게 특정 링크를 따르거나 타사 리소스를 방문하도록 요청할 수 있습니다.)

결과적으로 피해자는 공격을 받을 수 있고 공격자는 직원의 업무용 컴퓨터 운영 체제에 액세스할 수 있습니다. 이제 이후에 조직의 컴퓨터를 제어하기 위해 악성 파일을 실행할 수 있습니다. 위에 나열된 작업을 "제로 데이 공격"이라고 합니다.

가장 자주 도난당하는 데이터는 무엇입니까?

그것은 주로 회사의 프로필에 달려 있습니다. 해커의 목적은 폐쇄된 계획, 지불 및 개인 데이터의 산업 비밀 및 전략적 개발일 수 있습니다. 흥미롭게도 조사에 따르면 응답자의 63%가 회사에 대한 표적 공격이 시간 문제라는 것을 이해하고 있습니다.

표적 공격 탐지 방법:

서명 분석.

서명 분석은 분석가가 바이러스의 영향을 받는 파일을 가지고 있음을 의미합니다. 이러한 악성 프로그램을 연구하면 서명(디지털 지문)을 제거할 수 있습니다. 데이터베이스에 서명을 입력한 후 서명을 비교하는 것만으로 파일이 이 바이러스에 감염되었는지 확인할 수 있습니다. 시그니처 분석의 장점은 공격을 정확하게 진단할 수 있다는 것입니다. 서명이 일치하는 파일이 있으면 컴퓨터가 영향을 받았다고 안전하게 말할 수 있습니다.

서명 분석에는 다음과 같은 많은 이점이 있습니다.

  • 바이러스 검사뿐만 아니라 시스템 트래픽 필터링에도 사용할 수 있습니다.
  • 게이트웨이에 "앉아" 확인되지 않은 특정 서명의 존재를 제어할 수 있습니다.
  • 이를 통해 진단 컴플렉스를 수행하여 공격에 매우 정확하게 대응할 수 있습니다.

서명 분석의 중요한 단점은 서명 데이터베이스를 업데이트해야 한다는 것입니다. 대부분의 회사는 15분마다 서명 데이터베이스를 업데이트해야 합니다. 동시에 세계의 매 30분마다 나타나 신종 바이러스. 그런 다음 등록 및 연구의 긴 프로세스가 있으며 그 후에야 서명이 데이터베이스에 입력됩니다. 이 시점까지 회사는 항상 새로운 바이러스에 대해 무방비 상태입니다.

이전에 식별된 멀웨어를 연구하는 또 다른 방법은 휴리스틱 분석.

휴리스틱 분석의 기능은 바이러스 활동에 일반적으로 나타나는 의심스러운 활동이 있는지 실행 코드를 확인하는 것입니다. 이 기술은 데이터베이스의 관련성에 의존하지 않기 때문에 좋습니다. 그러나 휴리스틱 분석에도 단점이 있습니다.

모든 주요 바이러스 백신이 알려져 있고 누구나 사용할 수 있기 때문에 해커는 알려진 모든 도구를 우회할 때까지 작성된 소프트웨어를 테스트하고 수정할 수 있습니다. 바이러스 백신 보호. 따라서 주요 휴리스틱 알고리즘의 효율성은 전혀 감소하지 않습니다.

표적 공격을 탐지하는 또 다른 방법은 기존 기능 외에도 트래픽을 필터링할 수 있는 소위 차세대 방화벽을 사용하는 것입니다. 방화벽의 주요 단점은 과도한 "의심성"이며 많은 오탐지를 생성합니다. 또한 방화벽은 속일 수 있는 기술(샌드박싱, 휴리스틱 분석 및 서명 분석)을 사용합니다.

응용 프로그램을 실행하는 데 사용되는 또 다른 보안 방법도 있습니다. 그 아이디어는 매우 간단합니다. 스테이션은 개별 응용 프로그램만 실행할 수 있습니다(이를 WhiteListening이라고 함). 단점은 그러한 "화이트리스트"가 예외 없이 사용자에게 필요할 수 있는 모든 애플리케이션을 포함해야 한다는 것입니다. 실제로 이 방법은 물론 매우 안정적이지만 워크플로가 느려지기 때문에 매우 불편합니다.

마지막으로 InfoWatch Targeted Attack Detector 제품에 사용되는 동적 공격 탐지를 위해 새로 개발된 기술이 있다고 Andrey Arefiev는 말합니다. - 이 기술침입자의 행위는 필연적으로 기업의 IT 시스템을 개조한다는 사실에 근거합니다. 따라서 InfoWatch 솔루션은 조직의 IT 시스템을 주기적으로 스캔하여 중요 개체의 상태에 대한 정보를 수집합니다. 얻은 데이터를 과거 스캔의 결과와 비교한 다음 발생한 변경 사항에 대한 지적 분석을 수행하여 이상이 있는지 확인합니다. 알 수 없는 맬웨어가 감지되면 회사 분석가가 해당 작업 및 엔터프라이즈 인프라에 대한 가능한 피해 분석에 참여합니다.

- 어떤 단계에서 공격을 표적으로 분류할 수 있습니까?

사실, 이상 탐지는 시스템에 문제가 있다는 기본 신호이며 회사가 공격을 받고 있다는 간접적인 신호입니다. 동시에 공격에는 Red October 수준의 바이러스가 포함될 필요가 없습니다. 연습에서 알 수 있듯이 작은 트로이 목마가 주기적으로 더 많이 전달됩니다. 원칙적으로 이것은 특정 사이버 공격자에게 자금을 제공하기에 충분합니다.

일반적으로 표적 공격은 공격에 영향을 미치는 강력한 도구입니다. 기업 정책대규모 정부 및 상업 조직. 그렇기 때문에 이러한 사이버 범죄에 대해 체계적이고 세심하게 대응해야 합니다.

엘레나 카를라모바

'타겟' 공격이 뭔지 모르시는 분들을 위해 팟캐스트 부탁드려요 :)

표적 공격 - 이것은 공격받은 시스템의 인프라에서 무단 활동의 지속적인 프로세스이며 실시간으로 원격으로 수동 제어됩니다.

이 정의를 바탕으로 다음 사항에 주의를 기울입니다.
1) 첫째, 이것이 바로 프로세스입니다 - 활동시간이 지나면 일부 작업,일회성 기술 조치가 아닙니다.
2) 둘째, 프로세스는 특정 인프라에서 작동하도록 설계되었으며 특정 보안 메커니즘, 특정 제품을 극복하고 상호 작용에 특정 직원을 참여시키도록 설계되었습니다.

접근 방식에 상당한 차이가 있음 대량 우편물공격자가 완전히 다른 목표를 추구할 때 실제로는 별도의 엔드포인트를 제어할 수 있습니다. 표적 공격의 경우 피해자 아래에 구축됩니다.

아래 그림은 표적 공격의 4단계를 보여줍니다. 라이프 사이클. 각각의 주요 목적을 간략하게 공식화해 보겠습니다.

  1. 훈련. 첫 번째 단계의 주요 임무는 대상을 찾고 기반 시설의 약점을 식별할 수 있는 충분한 세부 개인 정보를 수집하는 것입니다. 공격 전략을 세우고 암시장에서 사용할 수 있는 이전에 만든 도구를 선택하거나 필요한 도구를 직접 개발하십시오. 일반적으로 계획된 침투 단계는 표준 정보 보안 도구에 의한 탐지를 포함하여 철저하게 테스트됩니다.
  2. 침투 -다양한 사회 공학적 기법과 제로데이 취약점을 이용한 표적 공격의 활성 단계에서 초기에 표적을 감염시키고 내부 정찰을 수행합니다. 정찰 종료 후 감염된 호스트(서버/워크스테이션)의 소유권을 확인한 후 공격자의 명령에 따라 추가로 악성 코드.
  3. 퍼짐- 주로 피해자의 주요 기계에 기반 시설 내부를 수정하는 단계. 제어를 최대한 확장하고 필요한 경우 제어 센터를 통해 악성 코드 버전을 수정합니다.
  4. 목표 달성- 표적 공격의 핵심 단계.
일부 컴퓨터 공격을 조사하기 위해 정보 및 통신 네트워크 요소에 대한 컴퓨터 공격의 영향을 연구하기 위해 가상 스탠드가 개발되었습니다.

이 스탠드(폴리곤)는 다음으로 구성됩니다.

1. 정보 통신 네트워크의 개방형 세그먼트 모델

2. 정보 통신 네트워크의 폐쇄형 세그먼트 모델.

시뮬레이션된 네트워크는 많은 구성 요소로 구성됩니다.

개방형 세그먼트에서 호스트(PC1–PC7)는 Cisco 3745(c3745) 라우터를 사용하여 단일 네트워크에 연결됩니다. 개별 세분화에서 호스트는 스위치(SW1)를 사용하여 데이터 전송을 위해 네트워크로 연결됩니다. 이 방식에서 스위치(스위치)는 라우터를 통해 들어오는 패킷에 포함된 정보를 기반으로 한 포트에서 다른 포트로 데이터만 전송합니다.

폐쇄 네트워크 세그먼트에서 암호화 라우터는 폐쇄 네트워크 세그먼트에서 개방 네트워크 세그먼트로 이동하는 데이터 패킷을 암호화하는 데 사용됩니다. 공격자가 이 네트워크의 전송된 데이터 패킷을 가로채는 데 성공하면 이러한 데이터에서 유용한 정보를 추출할 수 없습니다.

정보 통신 네트워크의 일부인 Windows XP가 공격 대상으로 선택되었습니다. 이 시스템은 IP 주소가 192.168.8.101인 클라우드 "실제 네트워크 출구"에 연결됩니다.

좋아, 조사를 시작해 보자. 지역 네트워크차후 악용을 위한 컴퓨터 네트워크의 요소를 결정하기 위해. Netdiscovery를 사용합시다.

공격받은 네트워크의 가능한 취약점을 찾기 위해 Nmap("NetworkMapper") 네트워크 조사 및 보안 유틸리티를 사용하여 이 네트워크를 스캔해 보겠습니다.

스캔하는 동안 시스템이 열린 포트, 잠재적인 취약점을 나타냅니다.
예: 445/TCPMICROSOFT-DS - 사용 마이크로소프트 윈도우 2000년과 이후 버전 NetBIOS를 사용하지 않고 직접 TCP/IP 액세스(예: 액티브 디렉토리). 이 포트를 사용하여 시스템에 액세스합니다.

이제 Metasploit을 사용하여 네트워크 공격을 수행합니다. 이 도구를 사용하면 자세한 보고서를 통해 네트워크 공격을 시뮬레이션하고 시스템 취약성을 식별하고 IDS/IPS의 효율성을 확인하거나 새로운 익스플로잇을 개발할 수 있습니다.


익스플로잇은 작동하지만 익스플로잇이 작동한 후 어떤 일이 일어날지 지정해야 합니다. 이를 위해 쉘코드를 열어 컴퓨터 시스템의 명령 쉘에 대한 액세스를 제공하는 익스플로잇 페이로드로 사용할 것입니다.

LHOST에서 공격이 수행될 시스템의 IP 주소를 지정합니다.

매년 조직은 비즈니스 도구를 개선하고 새로운 솔루션을 도입하는 동시에 IT 인프라를 복잡하게 만듭니다. 이제 회사의 메일 서버가 중단되거나 최종 워크스테이션에서 중요한 정보가 삭제되거나 자동 과금 시스템의 운영이 중단되는 상황에서 비즈니스 프로세스는 단순히 중지됩니다.

베냐민
레프초프

부사장, Kaspersky Lab 기업 사업부 책임자

니콜라스
데미도프

Kaspersky Lab 정보 보안 기술 컨설턴트

자동화 시스템에 대한 의존도가 높아짐에 따라 기업은 정보 보안을 보장하는 데 점점 더 많은 관심을 기울일 준비가 되었습니다. 또한 IS 시스템을 만드는 방법은 이 특정 조직의 상황(발생한 사건, 특정 직원의 신념)에 따라 달라지며 개별 IS 하위 시스템에서 전체 그림에 이르기까지 "아래에서" 형성되는 경우가 많습니다. 결과적으로 정보 보안 전문가가 다음을 수행 할 수있는 각 회사마다 고유 한 다양한 제품 및 서비스로 구성된 다단계 단일 시스템이 생성됩니다.

  • 엔드포인트 보안 시스템을 사용하여 파일을 스캔합니다.
  • 게이트웨이 솔루션을 사용하여 메일 및 웹 트래픽 필터링
  • 파일의 무결성과 불변성을 모니터링하고 환경 설정;
  • 사용자 행동을 모니터링하고 정상적인 트래픽 패턴과의 편차에 대응합니다.
  • 취약성과 취약한 구성에 대해 경계 및 내부 네트워크를 스캔합니다.
  • 식별 및 인증 시스템 구현, 드라이브 암호화 및 네트워크 연결;
  • 위에서 언급한 하위 시스템에서 로그 및 이벤트를 수집하고 상호 연관시키기 위해 SOC에 투자합니다.
  • 보안 수준을 평가하기 위해 침투 테스트 및 기타 서비스를 주문합니다.
  • 시스템을 표준 요구 사항에 맞추고 인증을 수행합니다.
  • 직원들에게 컴퓨터 위생의 기초를 가르치고 무한한 수의 유사한 문제를 해결합니다.

그러나 이 모든 것에도 불구하고 성공한 사람의 수, 즉. 목표를 달성하는 IT 인프라에 대한 공격은 줄어들지 않고 피해가 증가하고 있습니다. 공격자는 일반적으로 구성과 구조가 고유한 복잡한 보안 시스템을 어떻게 극복합니까?

표적 공격의 개념

표적 공격 또는 표적 공격의 개념을 정확하게 반영하는 정의를 내릴 때입니다. 표적 공격은 실시간으로 원격으로 원격 제어되는 공격 시스템의 인프라에서 무단 활동의 지속적인 프로세스입니다.

첫째, 이것은 일회성 기술 조치가 아닌 적시에 활동, 특정 작업과 같은 프로세스입니다.

둘째, 프로세스는 특정 보안 메커니즘, 특정 제품을 극복하고 상호 작용에 특정 직원을 참여시키도록 설계된 특정 인프라에서 작업하는 것을 목표로 합니다. 공격자가 완전히 다른 목표(사실 별도의 엔드포인트에 대한 제어권 획득)를 추구할 때 표준 맬웨어의 대량 메일링 접근 방식에는 상당한 차이가 있다는 점에 유의해야 합니다. 표적 공격의 경우 피해자를 위해 구축됩니다.

셋째, 이 작업은 일반적으로 정교한 기술 도구로 무장한 조직화된 전문가 그룹(때로는 국제적) 그룹(기본적으로 갱단)에 의해 관리됩니다. 그들의 활동은 실제로 다중 패스 군사 작전과 매우 유사합니다. 예를 들어, 공격자는 잠재적으로 회사의 "입구 게이트"가 될 수 있는 직원 목록을 작성하고 소셜 네트워크에서 연락하고 프로필을 조사합니다. 그 후 피해자의 작업 컴퓨터에 대한 제어 권한을 얻는 작업이 해결됩니다. 그 결과 그의 컴퓨터가 감염되고, 공격자들은 계속해서 네트워크를 장악하고 범죄 활동에 직접 가담하게 된다.

표적 공격 상황에서, 컴퓨터 시스템서로 싸우고 사람들 - 일부 공격, 다른 사람들 - 고려하여 잘 준비된 공격을 격퇴 약한 측면및 대책 시스템의 특징.

현재 APT(Advanced Persistent Threat)라는 용어가 점점 보편화되고 있습니다. 그 정의를 살펴보자. APT는 유틸리티, 맬웨어, 제로 데이 익스플로잇 및 이 공격을 구현하도록 특별히 설계된 기타 구성 요소의 조합입니다. 실습에 따르면 APT는 미래에 반복적으로 반복적으로 사용되어 다른 조직에 대해 유사한 벡터로 반복적인 공격을 수행합니다. 표적 또는 표적 공격은 프로세스, 활동입니다. APT는 공격을 구현할 수 있는 기술 도구입니다.

표적 공격의 적극적인 확산은 무엇보다도 공격 자체를 구현하는 데 드는 비용과 인건비를 크게 절감했기 때문이라고 안전하게 말할 수 있습니다. 해커 그룹은 이전에 개발된 수많은 도구를 사용할 수 있으며 때로는 처음부터 이국적인 멀웨어를 생성할 긴급한 필요가 없습니다. 대부분의 경우 최신 표적 공격은 이전에 생성된 익스플로잇 및 맬웨어를 기반으로 하며 극히 일부만 APT급 위협과 관련된 완전히 새로운 기술을 사용합니다. 때때로 "평화로운" 목적으로 만들어진 완전히 합법적인 유틸리티가 공격의 일부로 사용되기도 합니다. 이 문제는 아래에서 다시 다루겠습니다.

표적 공격의 단계

이 자료에서는 표적 공격의 주요 단계가 발표되고 일반 모델의 골격과 사용된 침투 방법의 차이점이 표시됩니다. 전문가 커뮤니티에서는 표적 공격이 일반적으로 4단계의 개발 단계를 거칩니다(그림 1)는 생각을 가지고 있습니다.


무화과에. 1은 표적 공격의 4단계를 보여주며 수명 주기를 보여줍니다. 각각의 주요 목적을 간략하게 공식화해 보겠습니다.

1. 준비 - 첫 번째 단계의 주요 작업은 대상을 찾고 이에 대한 충분한 세부 개인 정보를 수집하여 기반 시설의 약점을 식별하는 것입니다. 공격 전략을 세우고 암시장에서 사용할 수 있는 이전에 만든 도구를 선택하거나 필요한 도구를 직접 개발하십시오. 일반적으로 계획된 침투 단계는 표준 정보 보안 도구에 의한 탐지를 포함하여 철저하게 테스트됩니다.

2. 침투 - 다양한 사회 공학적 기술과 제로 데이 취약점을 사용하여 초기에 대상을 감염시키고 내부 정찰을 수행하는 표적 공격의 활성 단계입니다. 정찰이 완료되고 감염된 호스트(서버/워크스테이션)의 소유권이 확인되면 공격자의 명령에 따라 관제센터를 통해 추가 악성코드를 다운로드 받을 수 있다.

3. 배포 - 주로 피해자의 주요 기계를 기반으로 인프라 내에서 수정하는 단계. 제어를 최대한 확장하고 필요한 경우 제어 센터를 통해 악성 코드 버전을 수정합니다.

4. 목표 달성은 표적 공격의 핵심 단계이며 선택한 전략에 따라 다음을 사용할 수 있습니다.

  • 기밀 정보의 도난;
  • 기밀 정보의 고의적 변경;
  • 회사의 비즈니스 프로세스 조작.

모든 단계에서 표적 공격 활동의 흔적을 숨기기 위한 필수 조건이 충족됩니다. 공격이 끝나면 사이버 범죄자가 스스로 "귀환 지점"을 만들어 나중에 돌아올 수 있도록 하는 경우가 많습니다.

표적 공격 1단계 - 준비

대상 식별

성공한 횟수, 즉 목표를 달성하는 IT 인프라에 대한 공격은 줄어들지 않고 피해가 증가하고 있습니다. 공격자는 일반적으로 구성과 구조가 고유한 복잡한 보안 시스템을 어떻게 극복합니까?
답은 아주 간단합니다. 대상 시스템의 특성을 고려한 복잡한 공격을 준비하고 수행하는 것입니다.

모든 조직이 공격의 대상이 될 수 있습니다. 그리고 이 모든 것은 명령, 일반 정보, 더 정확하게는 모니터링으로 시작됩니다. 글로벌 비즈니스 환경을 지속적으로 모니터링하는 과정에서 해커 그룹은 RSS 피드, 회사의 공식 트위터 계정, 다양한 직원이 정보를 교환하는 전문 포럼과 같은 공개 도구를 사용합니다. 이 모든 것이 피해자와 공격 목표를 결정하는 데 도움이 되며, 그 후에 그룹의 자원이 적극적인 정찰 단계로 이동합니다.

정보 수집

명백한 이유로 회사는 무엇에 대한 정보를 제공하지 않습니다. 기술적 수단정보 보호, 내부 규정 등을 포함하여 사용합니다. 따라서 피해자에 대한 정보를 수집하는 과정을 정찰이라고 합니다. 정보의 주요 임무는 피해자에 대한 표적 개인 정보를 수집하는 것입니다. 여기에서는 잠재적인 약점을 식별하는 데 도움이 되는 모든 작은 것이 중요합니다. 가장 중요한 접근 방식은 예를 들어 사회 공학과 같은 닫힌 기본 데이터를 얻기 위해 작업에 사용할 수 있습니다. 우리는 실제로 사용되는 몇 가지 사회 공학 기술과 기타 지능 메커니즘을 제시할 것입니다.

탐색 방법:

1. 내부.

표적 공격은 실시간으로 원격으로 수동 제어되는 공격 시스템의 인프라에서 무단 활동의 지속적인 프로세스입니다.

회사의 최근 해고된 직원을 검색하는 접근 방식이 있습니다. 회사의 전 직원은 매우 유혹적인 직책에 대한 정기 인터뷰 초대를 받습니다. 우리는 경험 많은 채용 심리학자가 직위를 놓고 경쟁하는 거의 모든 직원과 이야기할 수 있다는 것을 알고 있습니다. 그러한 사람들로부터 공격 벡터를 준비하고 선택하기 위해 충분히 많은 양의 정보를 얻습니다. 네트워크 토폴로지 및 다른 직원의 사생활에 대한 정보에 사용되는 보호 수단에서.

사이버 범죄자들은 ​​정보를 소유한 사람들의 회사에서 필요한 사람들에게 뇌물을 주거나 공공 장소에서 우호적인 의사 소통을 통해 신뢰의 범위에 들어가는 것에 의존합니다.

2. 오픈 소스.

이 예에서 해커는 적절한 파괴 없이 쓰레기통에 버려지는 종이 미디어에 대한 회사의 파렴치한 태도를 사용합니다. 공개 액세스. 얻은 데이터는 다른 사회 공학 기술과 결합할 수 있습니다.

표적 공격 상황에서 서로 싸우는 것은 컴퓨터 시스템이 아니라 사람입니다. 일부는 공격하고 다른 일부는 대응 시스템의 약점과 기능을 고려하여 잘 준비된 공격을 격퇴합니다.

이 작업의 결과로 공격 조직자는 다음을 포함하여 피해자에 대해 상당히 완전한 정보를 얻을 수 있습니다.

  • 직원의 이름, 이메일, 전화번호;
  • 회사 부서의 작업 일정;
  • 회사의 프로세스에 대한 내부 정보
  • 비즈니스 파트너에 대한 정보.

국가 조달 포털은 정보 보안 시스템을 포함하여 고객이 구현한 솔루션에 대한 좋은 정보 소스이기도 합니다.

언뜻 보기에 이 예는 중요하지 않은 것처럼 보일 수 있지만 실제로는 그렇지 않습니다. 위의 정보는 사회공학적 방법에 성공적으로 활용되어 해커가 받은 정보를 이용하여 쉽게 신뢰를 얻을 수 있다.

3. 사회 공학.

  • 내부 직원을 대신하여 전화를 겁니다.
  • 소셜 네트워크.

사회 공학을 사용하면 회사 기밀 정보를 얻는 데 상당한 성공을 거둘 수 있습니다. 예를 들어 전화 통화의 경우 공격자가 정보 서비스 직원을 대신하여 자신을 소개하거나 올바른 질문을 하거나 실행을 요청할 수 있습니다. 컴퓨터에서 올바른 명령. 소셜 네트워크는 적절한 사람의 친구 범위와 관심사를 결정하는 데 도움이 되며, 이러한 정보는 사이버 범죄자가 미래의 희생자와 의사 소통하기 위한 올바른 전략을 개발하는 데 도움이 될 수 있습니다.

전략 개발

이 전략은 성공적인 표적 공격을 구현하는 데 필수적이며 공격의 모든 단계에서 전체 행동 계획을 고려합니다.

  • 공격 단계에 대한 설명: 침투, 개발, 목표 달성;
  • 사회 공학 방법, 취약성 사용, 표준 보안 도구 우회;
  • 가능한 비상 상황을 고려한 공격 개발 단계;
  • 내부 통합, 권한 상승, 주요 자원에 대한 통제;
  • 데이터 추출, 흔적 제거, 파괴 행위.

스탠드 만들기

수집된 정보를 기반으로 공격자 그룹은 동일한 버전의 소프트웨어를 사용하는 스탠드를 생성합니다. 이미 작동 중인 모델에서 침투 단계를 테스트할 수 있는 테스트 사이트입니다. 표준 정보 보안 도구의 은밀한 구현 및 우회의 다양한 기술을 수행합니다. 본질적으로 스탠드는 피해자의 기반 시설에 침투하는 수동 단계와 능동적 단계 사이의 주요 다리 역할을 합니다. 이러한 스탠드를 만드는 것은 해커에게 저렴하지 않다는 점에 유의하는 것이 중요합니다. 성공적인 표적 공격을 수행하는 비용은 각 단계에 따라 증가합니다.

도구 세트 개발

사이버 범죄자는 어려운 선택에 직면해 있습니다. 그림자 시장에서 기성품 도구를 구입하는 데 드는 재정적 비용과 자체 도구를 만드는 데 드는 인건비 및 시간 사이에서 결정하는 것이 중요합니다. 그림자 시장은 매우 다양한 도구를 제공하므로 고유한 경우를 제외하고 시간이 크게 단축됩니다. 이는 표적 공격이 사이버 공격 중 가장 리소스 집약적인 공격 중 하나로 부각되는 두 번째 단계입니다.

도구 세트를 자세히 살펴보겠습니다. 도구 세트는 일반적으로 세 가지 주요 구성 요소로 구성됩니다.

1. 명령 센터 또는 명령 및 통제 센터(C&C).

공격자의 인프라는 C&C 명령 및 제어 센터를 기반으로 하며, 작업 결과를 수집하는 제어된 악성 모듈에 명령 전송을 보장합니다. 공격의 중심은 공격을 수행하는 사람들입니다. 대부분의 경우 센터는 호스팅, 배치 및 임대 서비스를 제공하는 제공업체와 함께 인터넷에 있습니다. 가상 머신. "호스트"와 상호 작용하기 위한 모든 알고리즘과 마찬가지로 업데이트 알고리즘은 악성 모듈과 함께 동적으로 변경될 수 있습니다.

2. 침투 도구, 문제 해결공격받은 원격 호스트의 "문 열기":

  • exploit(Exploit) - 소프트웨어의 취약점을 사용하는 악성 코드.
  • 유효성 검사기 - 1차 감염의 경우에 사용되는 악성 코드는 호스트에 대한 정보를 수집하고 이를 C&C로 전송하여 공격 개발 또는 특정 시스템에 대한 완전한 취소에 대한 추가 의사 결정을 내릴 수 있습니다.
  • 다운로더 - Dropper 전달 모듈; 로더는 이메일 메시지의 첨부 파일로 전송되는 사회 공학 방법에 기반한 공격에 매우 자주 사용됩니다.
  • Dropper 전달 모듈은 주요 Payload 바이러스를 피해자의 감염된 시스템에 전달하는 작업을 하는 악성 프로그램(일반적으로 트로이 목마)입니다.
    • 감염된 시스템 내부 수정, 숨겨진 자동 로딩, 시스템 재부팅 후 프로세스 주입
    • 합법적인 프로세스에 주입하여 암호화된 채널을 통해 페이로드 바이러스를 다운로드 및 활성화하거나 디스크에서 페이로드 바이러스의 암호화된 사본을 추출 및 실행합니다.

코드 실행은 시스템 권한이 있는 주입된 합법적인 프로세스에서 이루어지며 이러한 활동은 표준 보안 도구로 탐지하기가 매우 어렵습니다.

3. 페이로드 바이러스 본체. Dropper에 의해 감염된 호스트에 로드된 표적 공격의 주요 악성 모듈은 몇 가지 기능적 추가 기능으로 구성될 수 있습니다. 각각의 기능을 수행하는 모듈:

APT(Advanced Persistent Threat)는 유틸리티, 맬웨어, 제로 데이 익스플로잇 및 이 공격을 구현하도록 특별히 설계된 기타 구성 요소의 조합입니다.

  • 키보드 스파이;
  • 화면 녹화;
  • 원격 액세스;
  • 인프라 내 배포 모듈;
  • C&C 및 업데이트와의 상호 작용
  • 암호화;
  • 활동 흔적 청소, 자기 파괴;
  • 독서 지역 우편;
  • 디스크에서 정보를 검색합니다.

우리가 볼 수 있듯이 고려된 도구 세트의 잠재력은 인상적이며 사용된 모듈과 기술의 기능은 표적 공격 계획에 따라 크게 달라질 수 있습니다. 이 사실은 그러한 공격의 고유성을 강조합니다.

요약

다양한 시장 부문의 기업에 대한 표적 공격의 증가(다른 위험은 그림 2 참조), 탐지의 높은 복잡성, 공격 후 탐지를 보장할 수 없는 행동으로 인한 막대한 피해에 주목하는 것이 중요합니다. 장기. 평균적으로 표적 공격은 활성화된 지 200일 후에 탐지됩니다1 . 이는 해커가 목표를 달성했을 뿐만 아니라 반년 이상 동안 이를 통제했음을 의미합니다. 또한 인프라에서 APT의 존재를 식별한 조직은 위험에 적절히 대응하고 위험을 최소화하고 활동을 무력화할 수 없습니다. 정보 보안을 담당하는 직원은 단순히 이를 교육하지 않습니다. 그 결과, 모든 제3의 회사는 자체 인프라에 대한 통제권을 되찾기 위해 1주일 이상 운영을 중단한 후 사건 조사의 복잡한 프로세스에 직면하게 됩니다.


주요 사고로 인한 손실은 비즈니스 기회 상실, 시스템 다운타임, 전문 교정 서비스 비용을 포함하여 전 세계적으로 기업의 평균 $551,000입니다.

공격이 어떻게 전개되는지, 표준 보호 도구를 우회하고 제로 데이 위협을 악용하는 방법, 사회 공학, 주요 정보를 도난당했을 때 추적을 확산 및 숨기는 것에 대해 - 표적 공격 분석 시리즈의 다음 기사에서.

___________________________________________
1 Kaspersky Lab 통계를 기반으로 합니다.
2 연구 데이터 " 정보 보안비즈니스''가 2015년 Kaspersky Lab과 B2B International에서 진행되었습니다. 이 연구에는 러시아를 포함한 26개국에서 5,500명 이상의 IT 전문가가 참여했습니다.

악성 프로그램은 스팸을 보내거나 극단적인 경우 사용자의 인터넷 뱅킹 비밀번호를 도용하여 무단 작업을 수행하도록 봇넷을 구성하는 것을 목표로 하는 사소한 장난을 저지르는 도구가 된 지 오래입니다. 회사의 경우 일반적인 바이러스는 큰 위험이 없는 "사보타주"로 간주될 수 있습니다. 결과적으로 공격자에게는 이 수익 방식이 특별한 관심을 끌지 못하기 때문입니다. 범죄자가 공격을 이용하는 것을 허용하지 않는 많은 보호 수단(안티바이러스 도구, 향상된 재정 통제 수단이 있는 응용 프로그램 등)이 있습니다.

목적은 수단을 정당화한다
니콜로 마키아벨리

총체적 정보화와 기술 진보의 시대에 수십억 달러가 전자 상거래 시스템에 저장되어 있는 상황에서 이러한 자금을 훔치고 싶어하지 않는 우수한 범죄자가 없다고 가정하는 것은 순진한 일일 것입니다. 오늘날 중견 기업의 인프라에 표적 공격을 사용하는 경향이 명확하게 정의되고 증가하고 있습니다.

표적(표적) 공격(APT, 지능형 지속 위협)특정 개체 또는 산업을 겨냥한 공격(악성 소프트웨어)입니다. 그들은 그들이 적용하는 회사의 특성이나 회사 전체의 활동 분야를 고려합니다.

이러한 종류의 모든 공격에는 다음과 같은 여러 기능이 있습니다.

    산업 중심(바이러스/공격은 특정 산업에서 사용되며 다른 산업에서는 관련이 없음)

    "사소하지 않은" 프로그래밍 코드. 앞서 언급했듯이 고도로 자격을 갖춘 전문가가 맞춤형 바이러스 작성에 종사하고 있습니다. 글을 쓸 때 작동할 수 있는 대부분의 뉘앙스를 고려합니다. 표준 수단보호. 이러한 이유로 예를 들어 시그니처 기반 바이러스 백신 도구는 이러한 프로그램 코드를 악성으로 탐지하지 못할 가능성이 높습니다. 이러한 이유로 공격자는 오랫동안 시스템에서 눈에 띄지 않고 공격을 성공적으로 완료하는 데 필요한 통계를 수집할 수 있습니다.

일반적으로 공격자는 제로 데이 익스플로잇을 사용하여 표적 위협을 구현합니다.

0일- 패치되지 않은 취약점과 보호 메커니즘이 아직 개발되지 않은 악성 프로그램을 나타내는 용어.

이 익스플로잇의 주요 임무는 회사 경계에 몰래 침입하여 가능한 경우 안티바이러스 도구를 제거하여 발판을 확보하고 편안하고 "생산적인" 작업을 위해 모든 공격자의 장비를 끌어올리는 것입니다.

2013-2014년 통계에서 알 수 있듯이 이 방향의 공격자들은 엄청난 승리를 거뒀습니다. 러시아와 전 세계에서 처음에는 Zeus, 그 다음에는 Carberp가 진정한 재앙이 되었습니다. 한 해 동안 이 두 바이러스 계열만을 사용한 절도 금액은 수십억 달러에 달했습니다. 러시아 금융 부문의 회사에 대한 공격을 성공적으로 수행한 평균은 3천만 루블.

그런 수상한 활동 최근 몇 년네트워크로 유출되는 매우 "고품질" 악성 소프트웨어의 소스에 대한 이야기와 관련이 있습니다.

“저명한 은행 트로이 목마 카버프의 소스가 대중에게 유출되었습니다. 1.88GB RAR 아카이브의 Carberp 소스 코드는 이제 Google에서 쉽게 찾을 수 있습니다. 압축을 풀면 프로젝트에 자세한 목록과 함께 약 5GB의 파일이 포함됩니다. 분명히, 이제 우리는 초보자와 지속적인 바이러스 작성자로부터 새로운 창의성의 물결을 기대할 수 있습니다. 누군가는 농담하기도 했습니다. “Zeus 누출은 무료 기계와 같았습니다. Carberp 누출은 이미 무료 로켓 발사기입니다”…”, IS 전문가, Hacker 잡지의 저자 Denis Mirkov

"그럼 이제 어떡하지?!" - 경비원이라면 무심코 덤벼드는 질문. 이것은 1899년에 Emanuel Lasker가 "더 똑똑해지는 유일한 방법은 더 강한 상대와 플레이하는 것"이라는 말을 상기시킵니다. 기술과 개발자는 가만히 있지 않고 수요가 있으면 가치 있는 제안이 있을 것입니다. 제로 데이 위협 탐지의 주요 문제는 코드를 분석할 때 익숙한 서명을 찾을 수 없다는 것입니다. 그러나 이것이 파일의 동작을 추적할 수 없고 "블랙박스" 방법을 사용하여 테스트하고 적절한 결론을 도출할 수 없다는 것을 의미하지는 않습니다!

샌드박스에서의 행동 분석은 지금까지 가장 효과적인 방법제로데이 위협 및 표적 공격의 분석 및 탐지. 다양한 제조업체는 자신의 제품이 가장 생산적이고 정확하다고 주장하면서 자체 솔루션을 제공합니다. 그러나 이것은 그렇지 않습니다. 이러한 솔루션의 주요 문제는 보안 서비스의 전체 작업을 무효화할 수 있는 오경보(오탐)입니다. 선택한 솔루션은 심각한 위협에만 민감해야 합니다. 이러한 개념을 구현하기 위해서는 이미 복잡한 알고리즘으로 이전되어 최종 제품에 구현되어야 하는 전문성과 경험이 있습니다.

2013년 3월 29일, 금요일, 13:03, 모스크바 시간

지능형 지속적 위협(APT)에 사용되는 악성 프로그램은 지속적으로 개선되고 있습니다. 이제 그들은 종종 작업과 이동식 미디어를 추적하여 네트워크에 은밀하게 침투할 수 있습니다. 오늘날 직장이 점점 더 이동성이 높아지고 기업 IT 보안 인프라를 통제할 수 없게 되면서 문제는 더욱 악화되고 있습니다.

이러한 위협의 예로는 이란 에너지 부문을 공격했으며 현재 중동 전역으로 확산되고 있는 새로운 사이버 전쟁 무기인 Flame 웜이 있습니다. Kaspersky Lab 전문가가 발견한 Flame1 악성코드는 "역사상 가장 복잡한 위협 중 하나"로 알려져 있습니다. 그리고 Flame 바이러스는 원래 이란의 핵 프로그램을 방해할 예정이었지만 여전히 보안 전문가를 괴롭히고 있습니다. 사실은 이제 대상 인프라를 넘어 확산되어 기업 시스템세계적인.

그 전신은 이란의 우라늄 농축 원심분리기를 제어하는 ​​SCADA(감독 통제 및 데이터 수집) 시스템을 감염시키고 방해하도록 특별히 설계된 Stuxnet 바이러스입니다. 이 악성 프로그램의 성공은 제작자의 기대를 뛰어 넘었습니다. 장비는 자체 파괴 과정과 함께 제어되지 않는 작동 모드로 전환되었습니다. 불행히도 Stuxnet은 이란의 목표를 넘어 독일과 세계 다른 국가에서 SCADA 시스템을 감염시키기 시작했습니다.

Flame과 Stuxnet은 모두 복잡한 표적 위협입니다. 이것은 정부, 테러리스트 및 자금이 풍부한 사이버 범죄 조직이 통제하는 군사 작전을 위한 차세대 무기입니다. 활동을 숨길 수 있는 많은 기능을 갖춘 이 악성 프로그램은 주로 지적 재산, 군사 조직의 계획 및 기타 귀중한 기업 자산을 훔치는 것을 목표로 합니다.

그러나 이 전쟁의 희생자는 배치되지 않을 경우 총격전을 겪게 될 중소 기업일 가능성이 큽니다. 복잡한 인프라엔드포인트를 보호하기 위한 보안. 중대형 기업이 상대적으로 익명성을 누리거나 보안을 소홀히 할 수 있었던 시대는 지났습니다. 복잡한 표적 위협과 제로 데이 공격이 유비쿼터스되고 무자비해지고 있습니다.

위협의 진화

옛날 옛적에 위협은 일반적으로 다음을 통해 대량으로 전송되었습니다. 이메일. 피해자는 해외 금융업자나 실종된 친척이 보낸 것으로 의심되는 피싱 메시지를 사용하여 함정에 빠졌습니다. 그리고 이러한 위협은 잠재적으로 위험할 수 있지만 무차별적으로 전송되었습니다. 또한 기본 보안 도구를 사용하여 탐지하고 예방할 수 있습니다. 이러한 유형의 공격은 여전히 ​​인터넷을 지배합니다. 그러나 최근 몇 년 동안 위협의 복잡성 수준이 크게 증가했습니다. 이제 복잡한 표적 위협과 제로 데이 공격이 점점 보편화되어 사용자들 사이에서 두려움과 불안을 야기합니다.

지난 몇 년 동안 정교한 표적 위협을 사용하는 가장 세간의 이목을 끄는 공격은 가장 있을 법하지 않은 시나리오조차도 가려졌습니다. 오로라 작전: 구글 공격. 2009년 중국에서 발생한 이번 공격에서 취약점을 통해 윈도우 인터넷익스플로러가 접수되었습니다 원천 Google 및 기타 약 30개 글로벌 기업의 기타 유형의 지적 재산.

RSA에 대한 공격. 2011년에 사이버 범죄자들은 ​​보안 솔루션 제공업체가 신뢰할 수 있다고 자부하는 회사의 주력 SecurID 키에 대한 이 해킹 공격을 통해 미국 군사 계약자 Lockheed Martin, Northrop Grumman 및 L3 Communications의 시스템에 침투할 수 있었습니다.

오크리지 국립연구소. 관리자가 피싱 공격이 서버에서 중요한 데이터를 업로드하고 있음을 발견했을 때 DOE 연구소는 오프라인 상태가 되어야 했습니다.

유령 그물. 103개국 1,295대의 감염된 컴퓨터로 구성된 이 사이버 스파이 네트워크는 여러 티베트 독립 운동 지지자들과 지방 부처, 외교 위원회, 대사관, 국제 및 비정부 기구를 포함한 기타 대규모 조직을 표적으로 삼았습니다.

ShadyRat. 이 공명 캠페인의 일환으로 전 세계 14개국의 정부 기관, 비영리 단체 및 대기업의 네트워크가 해킹되어 총 70개의 영향을 받는 조직이 있습니다.

주요 특징

오늘날에는 복잡한 표적 위협과 제로데이 공격이 공존하며 미디어에서 광범위하게 다루어지고 있습니다. 그러나 이들은 무엇이며 트로이 목마 또는 웜과 같은 위협과 어떻게 다릅니까?

이는 일반적인 아마추어 공격이 아니라고 해도 과언이 아닙니다. 이름에서 알 수 있듯이 이러한 위협은 고급 기술뿐만 아니라 기밀 또는 기밀 정보를 얻기 위해 특정 조직에 대한 표적 공격을 위한 여러 방법 및 벡터를 기반으로 합니다.

복잡한 표적 위협의 작성자는 SQL 공격을 시작하는 스크립트 키디 또는 가장 많은 것을 제공하는 사람에게 봇넷을 판매하는 일반 맬웨어 작성자와 매우 다릅니다. 높은 가격. 일반적으로 이러한 지능형 위협은 다중 인텔리전스 수집 기술을 사용하여 전체 전문가 팀을 처리할 수 있는 대규모 조직 신디케이트에서 계획합니다. 이러한 위협은 느리고 은밀하고 그들의 흔적을 덮기 때문에 사이버 범죄자, 적대적인 정부, 테러리스트 및 범죄 조직에서 점점 더 선호합니다.

작업 계획

복잡한 표적 위협을 구현할 때 사이버 범죄자는 맬웨어를 사용하여 공격의 두 번째 단계를 수행하는 데 도움이 되는 개인화된 정보를 얻습니다. 그 후 개별 사회 공학 기술이 사용되며, 그 목적은 조직의 가장 취약한 지점인 최종 사용자를 통해 조직에 침투하는 것입니다.

이 공격 단계에서 목표는 필요한 계정에 액세스할 수 있는 개인입니다. 이것은 인사부 또는 다른 신뢰할 수 있는 출처에서 온 것으로 주장하는 설득력 있는 편지를 사용합니다. 그러한 이메일을 부주의하게 한 번만 클릭하면 사이버 범죄자는 아무도 의심하지 않고 조직의 가장 중요한 정보에 무료로 액세스할 수 있습니다. 시스템에 대한 액세스 권한을 얻은 복잡한 표적 위협은 다양한 트로이 목마, 바이러스 및 기타 악성 프로그램을 사용합니다. 그들은 네트워크를 감염시키고 워크스테이션과 서버에 무기한 남을 수 있는 많은 허점을 만듭니다. 이 모든 시간 동안 위협 요소는 지정된 대상을 찾기 위해 한 컴퓨터에서 다른 컴퓨터로 눈에 띄지 않게 이동합니다.

제로데이 익스플로잇

복잡한 표적 위협이 가장 선호하는 도구는 언제나 제로 데이 익스플로잇입니다. 이 방대한 이름은 공급업체가 프로그램의 보안 취약성을 수정하거나 존재를 알기도 전에 이를 악용하는 위협의 본질을 잘 포착합니다. 따라서 첫 번째 공격과 수정("제로 데이") 사이에 하루 미만이 소요됩니다. 결과적으로 사이버 범죄자는 완전한 행동의 자유를 가집니다. 보복을 두려워하지 않고 알려진 방어 수단이 없는 공격을 이용합니다.

제로데이 취약점을 악용하는 맬웨어는 눈치 채지 못한 채 조직에 심각한 피해를 줄 수 있습니다. 그들은 소스 코드, 지적 재산, 군사 조직 계획, 방위 산업 데이터 및 스파이 활동에 사용되는 기타 정부 기밀과 같은 민감한 정보를 훔치는 것을 목표로 합니다. 조직이 공격에 대해 알게 되면 PR 부서의 실제 악몽이 됩니다. 보안 인프라를 점검할 뿐만 아니라 법률 비용을 지불하고 고객 이탈의 결과를 처리하는 데에도 수백만 달러의 피해가 발생합니다. 고객의 명성과 신뢰를 회복하기 위해 얼마나 많은 노력과 시간과 돈이 들어가는지는 말할 것도 없습니다.

복잡한 표적 위협과 제로데이 익스플로잇은 새로운 현상이 아닙니다. 이 용어가 보안 전문가의 전문 용어로 사용되기 훨씬 이전인 몇 년 전에 처음 사용되었습니다. 지금까지 많은 조직은 몇 개월(때로는 심지어 몇 년) 전에 은밀한 제로 데이 공격의 희생자가 되었다는 사실조차 깨닫지 못합니다. Verizon의 데이터 침해 보고서에 따르면 이러한 지적 재산권 침해의 2.44%는 몇 년 후에 발견됩니다.

적절한 사례: Christian Science Monitor3에서 발행한 보고서에 따르면 2008년에 ExxonMobil, Marathon Oil, ConocoPhilips 등 3개의 석유 회사가 복잡한 표적 위협을 사용하여 수행된 표적 사이버 공격의 피해자였습니다. 중국에서 시작된 것으로 여겨지는 공격에서 사이버 범죄자들은 ​​전 세계에서 발견된 유전의 수, 가치 및 위치에 대한 중요한 정보를 원격 서버에 업로드했습니다. 그러나 회사의 공격 사실은 FBI가 회사의 기밀 정보를 훔쳤다고 보고한 후에야 밝혀졌습니다.

2011년까지 복잡한 표적 위협이 보안 위협 중 첫 번째 자리를 차지했습니다. 결국 Sony, Epsilon, HBGary, DigiNotar와 같은 회사들이 올해 큰 손실을 입게 된 것은 그들 때문입니다. 거의 4천만 개의 파일이 손실된 RSA는 말할 것도 없습니다. 일회용 비밀번호~을 위한 전자 키. 전체적으로 RSA4 보안 실패로 회사는 약 6,600만 달러의 비용을 지출했으며 Sony5는 1억 개의 레코드 손실로 1억 7,000만 달러의 손실을 입었습니다.

2011년 말에 최소 535건의 데이터 침해가 발생하여 3,040만 개의 레코드가 손실되었습니다. Privacy Rights Clearinghouse에 따르면 많은 회사들이 올해 일련의 선정적인 공격의 희생자가 되었습니다. 매년 수천 건의 보안 위반이 감지되거나 공개되지 않기 때문에 이것은 알려진 위반의 일부일 뿐입니다.

복잡한 표적 위협으로부터 방어하는 것이 가능하고 필요합니다. 보호 방법은 "복잡한 표적 위협: 보호 보장" 문서에서 설명합니다.