슈퍼 하이웨이 공격: 악성 DNS 트래픽 심층 분석
핵심 요약
Akamai는 기업 및 홈 네트워크에서 빈번하게 발생하는 위협에 대한 인사이트를 확보하기 위해 악성 명령 및 제어(C2) 트래픽을 조사했습니다.
데이터에 따르면, 10%~16%의 기업은 네트워크에서 모든 분기에 C2 트래픽이 나타났습니다. C2 트래픽이 있으면 현재 공격이 진행 중이거나 유출 공격에 노출된 것일 수 있습니다.
감염된 디바이스 중 26%가 Emotet 및 Qakbot 관련 도메인을 포함해 알려진 IAB(초기 접속 브로커×Initial Access Broker) C2 도메인에 도달했습니다. IAB은 최초 유출을 일으키고 랜섬웨어 그룹 및 기타 사이버 범죄 그룹에게 접속권을 판매하기 때문에 기업에 큰 리스크를 초래합니다.
공격자는 QSnatch를 통해 네트워크에 연결된 스토리지 디바이스를 악용하므로 백업 및 민감한 데이터를 도난당하거나 해당 데이터가 감염될 수 있는 리스크에 처합니다.
영향을 받는 기업의 30%는 제조 부문에 속하기 때문에, 공급망 문제를 일으키고 일상 생활에서 심각한 혼란을 초래하는 등 사이버 공격이 현실에 미치는 영향이 더욱 부각되었습니다.
홈 네트워크에 대한 공격은 새로운 공격표면을 악용하려고 합니다. 홈 네트워크의 상당히 많은 공격 트래픽이 모바일 멀웨어 및 사물 인터넷(IoT) 봇넷과 관련이 있을 수 있습니다.
분석 자료에 따르면, 유럽, 라틴 아메리카, 아시아에서 FluBot 멀웨어가 급증하는 것으로 나타났습니다. 이 멀웨어는 소셜 엔지니어링 기법을 사용해 모바일 메시지를 통해 전파되며, 멀웨어가 설치된 후에는 더 멀리 전파되어 피해자의 은행 인증정보를 훔치려고 합니다.
네임 서버 - 공격 트래픽의 빠른 침투 경로
오늘날 위협 환경은 보안 실무자에게 심각한 도전 과제를 안겨주고 있습니다. 최근 랜섬웨어 그룹에 대한 분석을 통해 알게 된 바와 같이, 최신 공격자들은 네트워크 내에서 침입하고 측면으로 이동하기 위해 보다 실제적인 접근 방식을 취하고 있습니다. 이러한 이유로 오늘날 공격에서 C2 통신은 중요한 구성요소입니다. C2는 진행 중인 공격을 용이하게 하고 다음 단계 멀웨어 및 기타 페이로드를 다운로드한 후 백도어 접속을 설정할 때 사용될 수 있습니다. 이러한 트랜잭션과 공격 트래픽은 종종 DNS(도메인 네임 시스템)를 그대로 통과합니다.
공격자들은 탐지를 피하고 보안 조치를 우회하기 위한 수단으로 10년 넘게 도메인 생성 알고리즘을 사용해 왔습니다. DNS를 통한 트래픽은 종종 사용자와 웹 사이트 간 상호 작용처럼 보이지만, 실제로는 대규모 악성 트래픽을 포함하거나 공격 인프라의 거점으로 이용될 수 있습니다. Akamai의 보안 웹 게이트웨이는 이 트래픽에 대한 가시성을 제공할 뿐만 아니라 트래픽이 공격자의 도메인에 도달하기 전에 차단하는 기능도 제공합니다. 제로 트러스트 접근 방식을 도입할 때 공격을 차단할 수 있는 위치와 방법, 그리고 이 원칙을 적용하는 사례를 고려해야 합니다.
최신 인터넷 보안 현황 보고서버전에서 Akamai는 공격자 그룹 및 이들이 사용하는 툴과의 상관 관계를 포함해 전 세계 기업 및 개인 사용자에게서 나타나는 악성 DNS 트래픽에 대한 철저한 분석을 제공합니다. 이를 통해 기업 환경에서 가장 빈번하게 발생하는 위협에 관한 중요한 정보를 기업에 제공하고, 보안 실무자가 방어 체계를 평가하고 격차 평가를 수행해 위협에 대처하기 위한 기술과 방법을 모색할 수 있도록 지원합니다.
미래의 위협: 기업에 만연한 악성 트래픽
오늘날 공격 환경에서는 다단계 공격이 많이 나타납니다. 공격자들은 서로 협력하거나 다른 공격자를 고용할 때, 아니면 단일 공격에 다양한 툴을 결합할 수 있을 때 높은 공격 성공률을 기록하고 있습니다. C2는 이러한 공격 성공에 중추 역할을 합니다. C2는 통신뿐만 아니라, 페이로드와 다음 단계 멀웨어의 다운로드를 촉진해 공격을 진전시키는 데 사용될 수 있습니다.
그림 1: DNS는 보안 담당자가 진행 중인 공격을 방어하는 데 사용할 수 있는 다양한 공격 활동에 대한 가시성을 제공합니다.
DNS 데이터에 따르면, 10%~16%의 기업이 모든 분기에 네트워크를 빠져나오려는 C2 트래픽 인스턴스를 최소 1회 이상 경험했습니다(그림 2 참고). 이는 운영자와의 통신을 시도하고 있는 멀웨어가 있음을 나타낼 수 있으며, 유출의 잠재적 징후이기도 합니다. 이 C2 트래픽은 Akamai의 솔루션 덕분에 대상에 도달하지 못하도록 차단되었지만, 공격이 성공했다면 데이터 탈취, 랜섬웨어 공격 등이 발생했을 수도 있습니다. Akamai 리서치는 네트워크에서 멀웨어가 공격을 진행하거나 피해를 일으키지 않도록 방지하기 위해 제로 트러스트 원칙을 DNS에 적용할 때 그 효과를 중점적으로 다룹니다.
그림 2: 악성 C2 트래픽 분석 결과를 통해 1년 동안 C2 도메인에 도달한 기업의 비율을 확인할 수 있습니다.
그림 3에서는 Akamai에서 관측한 C2 도메인을 특정 위협군 또는 공격자 그룹에 속하는 도메인과 그렇지 않은 도메인으로 분류할 수 있습니다. 그런 다음, 공격자 그룹을 IAB, 봇넷, RaaS 그룹으로 분류합니다. Akamai의 데이터에 따르면 IAB는 기업 네트워크에 가장 큰 위협 중 하나이며, 이는 데이터 탈취에 봇넷이 이용되고 있는 것만큼 위협적입니다.
그림 3: 기업을 표적으로 하는 위협 카테고리 중 비율이 가장 높은 것은 봇넷이며, IAB, 정보 탈취가 그 뒤를 따릅니다.
또한, 랜섬웨어, 원격 접속 툴(RAT), 정보 탈취 등이 혼합된 사례를 목격했으며, 이들은 다양한 공격 단계에서 모두 중요한 역할을 합니다. 그리고 초보 공격자와 경험이 많은 사이버 범죄자 모두 첫 침투 기회를 확보하고 네트워크에 숨어 공격을 감행하는 데 사용할 수 있는 툴을 지하 시장에서 손쉽게 구할 수 있기 때문에 기업은 그 어느 때보다 사이버 범죄에 더욱 취약해졌습니다. Akamai는 이와 같이 위협을 분류하는 과정에서 각 위협이 활동하는 교차점과 기업에 미치는 잠재적 영향과 그 의미에 대해 살펴볼 것입니다. 각 카테고리 내 공격자 그룹에 대한 추가 분석도 전체 보고서에서 제공합니다.
봇넷에 의한 트래픽이 많이 발생하는 홈 네트워크
개인 사용자는 기업 환경만큼 보안이 철저하지 않지만, 탈취할 수 있는 금전적 가치가 기업과 같지는 나타내지 않습니다. 공격자들도 이러한 사실을 알고 있기 때문에 홈 디바이스를 보다 쉽게 감염시켜 금전을 착취할 수 있는 방법을 모색합니다. 예를 들어, 공격자들은 가능한 많은 디바이스를 감염시키고자 일단 광범위하게 공격하고 희생자가 걸리길 기다리는 방식으로 대규모 캠페인을 실행하지만, 기업에게는 더 높은 수준의 표적 공격을 감행합니다. Akamai는 개인 사용자의 보안에 집중하면서 지난 6개월 동안 수백만 건에 달하는 익명화된 악성 플래그 쿼리 샘플을 분석해 홈 네트워크의 악성 DNS 트래픽을 조사하고 사용자가 우려해야 하는 위협을 보여주려고 합니다.
분석에 따르면, Skype를 통해 공격을 받은 사용자의 연락처로 악성 링크를 전송해 확산된 Pykspa위협에 당한 DNS 쿼리는 전 세계적으로 3억 6천 7백만 건에 달합니다(그림 4). Pykspa는 Skype 설정을 요청해 영향을 받는 사용자에 대한 개인 정보를 수집합니다. 흥미롭게도, Pykspa는 영향을 받는 사용자의 Skype에서 언어 인터페이스를 확인하고, 해당 언어가 그들이 모니터링하는 다양한 언어에 속하는 경우 멀웨어가 Skype 스팸 메시지를 적절히 수정합니다.
그림 4: Pykspa, FluBot 멀웨어, Mirai는 홈 네트워크의 DNS 트래픽에서 관찰되는 상위 3대 봇넷입니다.
특히 개인 사용자에게 사용되는 위협 표면이 확장되었다는 점도 주목할 만합니다. 개인 사용자에게 영향을 미치며 C2 트래픽이 포함된 가장 대표적인 봇넷 두 가지는 FluBot과 Mirai입니다. Android 멀웨어인 FluBot은 SMS를 통해 전파되고 피해자의 모바일 디바이스를 감염시켜 뱅킹 정보를 훔칩니다. Mirai는 IoT 디바이스를 대상으로 하는 대표적인 봇넷입니다. 두 봇넷 모두 보고서에서 자세히설명합니다. 이 두 봇넷은 전 세계 여러 지역에서 빠르게 확산되고 있으며, 공격자들이 기존 디바이스에 대한 공격 패턴에서 벗어났음을 입증합니다.
자세히 보기
기업 및 개인 사용자에 대해 가장 빈번하게 발생하는 위협과 이러한 위협으로 인한 리스크에 대한 자세한 내용을 보려면 Akamai 인터넷 현황 보고서인 슈퍼 하이웨이 공격: 악성 DNS 트래픽 심층 분석을 다운로드하시기 바랍니다.