Computer >> 컴퓨터 >  >> 스마트폰 >> 스마트폰

지능형 지속 위협(APT)이란 무엇입니까? 전술과 영향 이해

지능형 지속 위협이란 무엇인가요?

APT(지능형 지속 위협)은 민감한 데이터를 훔치거나 필수 정부, 금융 또는 전력망 운영을 방해하는 것을 목표로 하는 은밀하고 정교하며 지속적인 사이버 공격입니다. 해커가 루트킷 및 스테가노그래피와 같은 도구와 방법을 활용하여 자신의 존재를 숨기고 악의적인 활동을 수행하므로 이러한 공격은 오랫동안 감지되지 않을 수 있습니다.

일반적인 APT 대상에는 일반적으로 정부 기관, 기업 및 연구원이 포함됩니다. 종종 표적이 되는 조직과 그 이유를 자세히 살펴보겠습니다.

  • 정부는 공격자가 전략적 이점이나 영향력을 얻기 위해 사용할 수 있는 기밀 정보, 군사 비밀 또는 정치 정보를 보유하고 있을 수 있습니다.
  • 에너지, 물, 교통, 통신과 같은 중요한 인프라가 교섭력을 얻기 위해 중단되거나 단순히 혼란을 초래할 수 있습니다.
  • 대기업은 공격자가 경쟁 우위를 확보하거나 몸값을 요구하는 데 사용할 수 있는 지적 재산이나 독점 데이터를 보유할 수 있습니다.
  • 금융 기관은 해커가 금융 사기나 신원 도용에 활용할 수 있는 계좌 소유자 데이터와 기록을 저장합니다.
  • 연구 그룹은 APT 공격자가 자신 또는 국가의 이익을 위해 훔칠 수 있는 최첨단 기술과 과학적 발전을 창출합니다.

지능형 지속 위협은 일반적으로 개인을 표적으로 삼지 않습니다. 그러나 중단으로 인해 광범위한 서비스 중단, 경제적 불안정 또는 개인 데이터 노출이 발생할 경우 여전히 영향을 받을 수 있습니다.

일반적으로 APT 공격의 배후는 누구입니까?

일반적으로 정부, 국가가 후원하는 단체, 핵티비스트 또는 기타 자금이 풍부한 범죄 조직이 APT의 배후에 있습니다. 이러한 공격에는 광범위한 리소스, 전문 지식, 지속적인 노력이 필요하므로 개별 해커나 소규모 사이버 범죄자가 이를 수행하는 것은 일반적으로 비현실적입니다.

고급 지속 위협 수명주기

지능형 지속 위협 수명주기에는 공격자가 조직의 네트워크에 대한 액세스 권한을 얻고(침입), 네트워크에서 측면으로 이동하여 연결된 다른 장치 및 시스템을 감염시키고(확장), 훔친 데이터를 자신이 제어하는 위치로 라우팅하는 것(탈출)이 포함됩니다.

지능형 지속 위협(APT)이란 무엇입니까? 전술과 영향 이해 지능형 지속 위협(APT)이란 무엇입니까? 전술과 영향 이해

지능형 지속 위협의 작동 방식을 보여주는 다이어그램.

APT 수명주기의 다양한 단계에 대한 자세한 내용은 다음과 같습니다.

1. 침투

침투는 APT 공격의 초기 단계입니다. 공격자로 구성된 전문 팀이 표적을 선택하고 심층적인 연구를 완료하여 침투에 가장 효과적인 도구와 전술을 결정하고 표적의 네트워크에 대한 무단 액세스 권한을 얻습니다. 여기에는 스파이웨어, 소셜 엔지니어링, 드라이브 바이 다운로드, SQL 삽입 또는 스피어 피싱이 포함되는 경우가 많습니다.

일단 진입하면 확장의 발판을 마련할 수 있는 발판을 마련할 수 있습니다.

2. 확장

침입 후 해커는 공격을 확장하고 측면 이동을 통해 손상된 네트워크에 더 깊이 침투합니다. 이 과정에서 공격자는 다른 네트워크 장치, 시스템 및 서버를 손상시키고 종종 "백도어" 또는 숨겨진 액세스 포인트를 생성합니다.

여러 네트워크 연결 지점을 제어함으로써 공격자는 숨겨진 메커니즘을 설치하여 액세스를 유지하고 마음대로 재진입함으로써 "지속성"을 구축할 수 있으므로 보안 팀이 이를 탐지하고 근절하기가 더 어려워집니다.

키로거를 통해 관리자 자격 증명을 훔치거나 해시 공격을 통과하여 비정상적인 네트워크 활동을 일으키지 않고 제한된 데이터 및 리소스에 액세스할 수 있습니다.

3. 유출

유출 중에 공격자는 암호화된 데이터를 자신이 통제할 수 있는 위치로 전송합니다.

종종 그들은 시간이 지남에 따라 소량의 데이터를 추출하기 위해 "낮고 느린" 접근 방식을 취합니다. 이렇게 하면 아웃바운드 트래픽의 갑작스러운 대규모 급증을 검색하는 경고 탐지 시스템을 방지할 수 있습니다. 또한 전송 중인 데이터를 가리는 암호화된 네트워크 경로인 비밀 채널을 구축하여 불법 활동을 은폐할 수도 있습니다.

공격자는 공격자의 거점을 유지하고 유출 중 탐지를 피하기 위해 때때로 스테가노그래피(해피해 보이지 않는 파일 내에서 훔친 데이터를 숨기기 위해)와 같은 기술을 사용하거나, 사용량이 적은 시간에 전송을 예약하거나, 네트워크 및 보안 팀을 압도하기 위해 연막으로 서비스 거부(DoS) 또는 분산 서비스 거부(DDoS) 공격을 실행합니다.

고급 지속 위협 특성

APT는 은폐 및 회피 기술, 측면 이동, 최첨단 악성 코드, 느리고 느린 접근 방식을 사용하여 감지하지 않고 데이터를 유출합니다.

그러나 이는 공격을 받는 쪽에서 볼 수 있는 내용이 아닙니다. 대신 다음과 같은 경고 신호를 보게 될 것입니다:

  • 비정상적인 계정 활동:낯선 장소에서 로그인하거나 이상한 시간에 로그인하는 등 비정상적인 계정 활동을 발견할 수 있습니다.
  • 새로운 관리자 계정:APT 공격자는 더 적은 모니터링으로 더 많은 액세스 권한을 얻기 위해 완전히 새로운 관리자 계정을 생성할 수도 있습니다.
  • 네트워크 속도 저하:공격자가 성급하게 훔친 데이터를 대량으로 전송하는 경우 상당한 대역폭을 소비하고 인터넷 속도를 저하시킬 수 있습니다.
  • 데이터 사용량 급증:아웃바운드 네트워크 트래픽이 갑자기 또는 반복적으로 급증하는 경우, 특히 사용량이 적은 시간에 누군가 대량의 정보를 유출하고 있음을 나타낼 수 있습니다.
  • 익숙하지 않은 파일:공격자가 손상된 기기에 멀웨어를 설치하는 경우가 많기 때문에 기기에서 익숙하지 않은 파일이나 애플리케이션을 발견할 수 있습니다. 감염의 부작용인 기기 성능 문제가 발생할 수도 있습니다.
  • 비활성화된 보안 도구:공격자는 레이더를 피해 이동하기 위해 바이러스 백신 소프트웨어, 방화벽 또는 침입 탐지 시스템을 비활성화하여 눈에 띄지 않게 작동하는 경우가 있습니다.

고급 지속 위협 예시

잘 알려진 APT 공격에는 몇 가지 공통 스레드가 있습니다. 즉, 국가의 후원을 받고, 맞춤형 악성코드나 피싱을 활용하며, 정치적 이득을 위해 정보를 훔치거나 중요한 인프라를 파괴하는 것을 목표로 하는 경우가 많습니다. 다음은 몇 가지 예입니다:

1. 고블린 팬더

고블린 판다(Goblin Panda)는 주로 동남아시아 국가, 특히 베트남을 표적으로 삼는 중국 기반의 사이버 스파이 그룹입니다. 2014년 영토 분쟁으로 인해 활동이 증가했으며 주로 베트남 정부, 국방, 에너지 부문에 영향을 미쳤습니다.

2. 멋진 곰

팬시베어(Fancy Bear)는 러시아 군사정보부(GRU)와 연관이 있는 것으로 널리 알려진 러시아 기반 그룹이다. 스푸핑된 사이트를 만들고, 자격 증명 수집 캠페인을 시작하고, 민감한 정보를 수집하기 위해 악성 코드를 배포하는 것으로 알려져 있습니다. 현재까지 주로 미국과 서유럽의 정부, 항공우주, 국방, 에너지 부문을 대상으로 삼았습니다.

3. 아늑한 곰

Cozy Bear는 러시아 해외 정보국(SVR)과 연계된 것으로 알려진 또 다른 국가 후원 러시아 해킹 그룹입니다. Fancy Bear와 마찬가지로 이 APT도 러시아의 이익과 밀접하게 연관되어 있습니다. 그러나 Cozy Bear는 은밀한 액세스를 유지하기 위해 제로데이 취약점을 악용하는 방식으로 정부, 중요 인프라, 기업 및 공급망을 표적으로 삼도록 진화했습니다.

2015년 Cozy Bear는 민주당 전당대회를 위반하여 몇 달 동안 탐지되지 않은 액세스를 유지했습니다. 2016년에는 Fancy Bear가 더욱 노골적으로 침입했습니다. 고위 법무부 관계자에 따르면 이러한 작전은 러시아 정부 최고위급에서 승인되었습니다.

4. 오션로터스

Ocean Buffalo라고도 알려진 OceanLotus는 베트남의 지능형 지속 위협 그룹입니다. 특히 동남아시아 지역의 소비재 회사, 제조 회사, 숙박업 조직, 정치적 반체제 인사, 언론인, 활동가를 표적으로 삼는 것으로 알려져 있습니다. OceanLotus는 일반적으로 소셜 엔지니어링, 워터링 홀 공격, 맞춤형 악성 코드를 사용하여 개인 네트워크에 침입합니다.

2020년에 사이버 보안 연구원들은 Ocean Buffalo가 코로나19에 대한 정보를 수집하기 위해 중국 비상관리부와 우한 지방 정부에 침투했다는 증거를 발견했습니다.

5. 엘핀팀

Elfin 팀은 엔지니어링, 제조, 항공우주, 에너지 연구와 관련된 정부, 기업 및 그룹을 공격하는 이란의 APT 그룹입니다. 그들의 공격은 사우디아라비아, 미국 및 기타 국가에 영향을 미쳤습니다. 향후 공급망 공격에 대비하기 위해 일부 대상이 선정된 것으로 추정됩니다.

2019년 Elfin 팀은 WinRAR 취약점을 통해 사우디아라비아의 화학 부문에 침투를 시도했습니다. 이로 인해 악성 프로그램을 실행하여 잠재적으로 조직의 중요 시스템을 손상시킬 수 있었습니다.

6. 타이탄 비

타이탄 레인(Titan Rain)은 2000년대 초반 중국 정부가 미국과 영국 정부 기관을 대상으로 한 일련의 공격입니다. Titan Rain의 공격에 대한 신뢰할 수 있는 세부 사항은 거의 없습니다. 그러나 적어도 2003년부터 활동한 공격자들은 미국 국무부, 국토안보부, 영국 국방부 및 외무부를 성공적으로 침해한 것으로 알려져 있습니다.

7. 헬릭스 키튼

Helix Kitten은 바레인, 쿠웨이트를 포함한 국가의 항공우주, 정부, 에너지, 금융, 통신, 비즈니스 부문을 표적으로 삼는 이란에 기반을 둔 지능형 지속 위협 그룹으로 추정됩니다. 이 그룹은 이란 국가 정보 작전을 지원하기 위해 스피어 피싱 공격을 실행할 대상을 주의 깊게 조사하는 것으로 알려져 있습니다.

2018년 한 사이버 보안 회사는 Helix Kitten이 정보 목적으로 대량의 데이터를 수집하기 위해 통신 회사를 표적으로 삼고 있음을 발견했습니다. 공격자들은 민감한 통신을 가로채고, 정보를 유출하고, 잠재적으로 추가 악성 코드를 배포하여 액세스 권한을 확장하는 것을 목표로 했습니다.

8. 방정식 그룹

이퀘이션 그룹(Equation Group)은 미국 국가안보국(NSA)과 연계된 것으로 추정되는 지능형 지속 위협 그룹이다. 적어도 2000년대 초반부터 활동해 온 이 공격들은 아프리카, 아시아, 유럽, 중동 전역의 정부, 군대, 중요 인프라 조직을 표적으로 삼았습니다.

2009년에 이 그룹은 과학 컨퍼런스 참가자들에게 감염된 CD-ROM을 배포하여 알려지지 않은 취약점을 악용하도록 설계된 트로이 목마를 내장한 것으로 알려졌습니다. 최소한 한 건의 경우 악성 코드가 DoubleFantasy 백도어를 설치하여 잠재적으로 공격자에게 활동을 모니터링하고 민감한 연구 결과를 훔칠 수 있는 지속적인 액세스 권한을 부여했습니다.

고급 지속적 위협 방지

APT를 방어하는 가장 효과적인 방법은 피싱, 사회 공학과 같은 침투 전략에 빠지지 않도록 하고, 보안 조치를 강화하고, 소프트웨어를 최신 상태로 유지하고, 사이버 보안 도구에 투자하는 것입니다.

예방 조치가 어떤 모습일지 자세히 살펴보겠습니다.

  • 피싱 공격 주의:피싱 링크 클릭과 공격자가 네트워크에 침투하는 것을 방지할 수 있도록 잠재적인 위협을 인식하는 방법을 알아두세요. 메시지가 합법적인지 알 수 없는 경우 Norton Genie와 같은 AI 기반 도우미를 통해 실행하여 상호작용하기 전에 위험 신호를 평가하세요.
  • 사회 공학 인식 방법 배우기:사회 공학 시도를 조기에 식별하면 지능형 지속 위협의 침투 단계를 방해할 수 있습니다.
  • 강력한 비밀번호 설정:강력하고 고유한 비밀번호를 만들어 공격자가 제한된 데이터에 액세스하고 네트워크 내에서 측면으로 이동하는 것을 더 어렵게 만듭니다.
  • 생체 인식 활성화:얼굴, 홍채, 지문과 같은 생체 인식을 사용하여 민감한 데이터에 액세스합니다. 신체적 특성은 복제하기가 더 어렵기 때문에 APT 공격자가 무단 액세스를 얻는 것이 더 어려울 것입니다.
  • 소프트웨어 업데이트:소프트웨어 업데이트는 종종 알려진 취약점을 패치하여 공격자가 악용할 수 있는 진입점을 제한합니다.
  • VPN 사용:VPN(가상 사설망)을 사용하면 귀하와 귀하의 인터넷 활동이 스누핑의 눈에 덜 띄게 할 수 있습니다. 또한 전송 중인 민감한 데이터를 공격자가 가로채는 것을 방지하는 데 도움이 될 수도 있습니다.
  • 바이러스 백신 설치:바이러스 백신 소프트웨어는 APT 공격 중에 설치된 악성 코드를 방지, 감지 및 제거하는 데 도움이 될 수 있습니다. 새로운 기술이나 맞춤형 기술을 활용하는 경우 모든 지능형 지속 위협을 포착하지 못할 수도 있다는 점을 명심하세요.
  • 권한 제한:조직은 엄격한 액세스 제어를 시행하고 사용자 권한을 제한함으로써 공격이 측면으로 확산되는 것을 방지하고 잠재적인 데이터 침해의 전반적인 영향을 최소화할 수 있습니다.

VPN으로 인터넷 연결을 암호화하세요

지능형 지속 위협 공격은 매우 정교하기 때문에 오랫동안 탐지되지 않은 채 네트워크에 숨어 있을 수 있습니다. 위반의 잠재적 영향과 범위를 제한하려면 데이터를 보호하기 위한 조치를 취하십시오. 강력한 사이버 보안 전략의 필수 구성 요소인 VPN을 사용하여 시작하세요.

어떤 VPN도 지능형 지속 위협으로부터 보호를 보장할 수는 없지만 Norton VPN은 온라인으로 보내고 받는 데이터를 암호화하여 스누핑이나 사이버 범죄자가 읽을 수 없도록 하여 디지털 개인 정보를 보호합니다.

FAQ

APT 공격의 주요 목적은 무엇인가요?

지능형 지속 위협 공격의 주요 목표는 민감한 데이터를 훔치기 위해 대상 네트워크에 탐지되지 않은 상태로 장기간 존재하는 것입니다.

APT가 다른 악성코드와 다른 점은 무엇인가요?

APT는 지능적이고 장기적인 사이버 공격이라는 점에서 다른 악성코드와 다릅니다. 이러한 공격은 스파이 활동이나 지적 재산 도용과 같은 장기적인 전략적 목표를 위해 시스템에 침투하기 위해 정교하고 탐지하기 어려운 악성 코드를 사용하는 경우가 많습니다.

이는 해커가 빠른 금전적 이익을 얻거나 운영을 방해하거나 파손하기 위해 자주 사용하는 일반적인 맬웨어와는 다릅니다. Pegasus 스파이웨어와 마찬가지로 APT는 매우 정교한 해킹 그룹에서만 사용됩니다.

지능형 지속 위협은 어떻게 작동하나요?

지능형 지속 위협에는 취약성이나 사람의 실수를 통해 네트워크에 침투하는 공격자가 포함됩니다. 그런 다음 더 많은 거점을 확보하기 위해 감염된 네트워크에서 측면으로 이동합니다. 마지막으로 그들은 몇 달, 심지어 몇 년에 걸쳐 데이터를 유출합니다.