메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

Slingshot APT : 하드웨어 트로이의 목마에 타기

올해 카스퍼 스키 시큐리티 애널리스트 서밋 (SAS) 의 연구원들이 가장 흥미로 웠던 계시 중 하나는 Slingshot이라는 매우 복잡한 cyberespionage 캠페인에 대한 보고서였습니다.

공격 벡터

이해해야 할 첫 번째 부분은 감염의 수단입니다. 이 초기 공격 벡터가 독창적 인 이유는 우리의 연구에 따르면 많은 피해자가 MikroTik이 만든 손상된 라우터를 통해 공격을 받았다는 것입니다. 라우터는 정상적인 비즈니스 과정에서 다양한 DLL 파일을 다운로드하고 실행합니다. 공격자는 다른 DLL의 합법적 인 패키지에 악성 DLL을 추가하여 장치를 손상시키는 방법을 발견했습니다. 나쁜 DLL은 다양한 악성 파일의 다운로더였으며 라우터에 저장되었습니다.

이 초기 공격 벡터가 독창적 인 이유는 우리 연구에 따르면 많은 피해자가 MikroTik이 만든 손상된 라우터를 통해 공격을 받았다는 것입니다

 

 

 

 

 

 

 

 

 

 

여기서 우리는이 문제를 라우터 제조사에보고했으며 MikroTik은 이미이 문제를 처리했다고 덧붙일 필요가 있습니다. 그러나 우리 전문가들은 MikroTik이 Slingshot 배우가 사용하는 유일한 브랜드가 아니라 다른 손상된 장치가있을 수 있다고 생각합니다.

Slingshot의 또 다른 흥미로운 점은 커널 모드에서 멀웨어를 실행하는 데 사용되는 트릭입니다. 업데이트 된 운영 체제에서는 거의 불가능하지만이 맬웨어는 컴퓨터에서 서명 된 취약한 드라이버 를 검색 하고이를 사용하여 자체 코드를 실행합니다.

악성 도구

Slingshot은 Cahnadr이라는 커널 모드 모듈과 사용자 모드 모듈 인 GollumApp라는 두 개의 걸작품을 사용했습니다.

커널 모드에서 실행되는 Cahnadr은 공격자가 감염된 컴퓨터에 대해 아무런 제한없이 완전한 제어권을 제공합니다. 또한 커널 모드에서 작동하려고하는 대부분의 맬웨어와 달리 블루 스크린을 발생시키지 않고 코드를 실행할 수 있습니다. 두 번째 모듈 인 GollumApp는 더욱 정교합니다. 거의 1,500 개의 사용자 코드 기능을 포함합니다.

이러한 모듈 덕분에 Slingshot은 스크린 샷, 키보드 데이터, 네트워크 데이터, 암호, 기타 데스크톱 작업, 클립 보드 등을 수집 할 수 있습니다. 또한 모든 제로 데이 취약점을 악용하지 않습니다. 적어도, 우리 전문가들은 아직 그들을 사용하고있는 Slingshot을 발견하지 못했습니다.

방역 메커니즘

Slingshot이 정말로 위험한 이유는 행위자가 탐지를 피하기 위해 사용하는 수많은 트릭입니다. 법의학 연구를 나타내는 신호를 감지하면 구성 요소를 종료 할 수도 있습니다. 또한 Slingshot은 하드 드라이브의 사용하지 않는 부분에 자체 암호화 된 파일 시스템을 사용합니다. Slingshot에 대한 자세한 내용 은 보안 목록에서 찾을 수 있습니다 .

Slingshot과 같은 APT에 대처하는 방법

MikroTik 라우터와 WinBox 관리 소프트웨어를 사용하는 경우 최신 버전의 프로그램을 다운로드하고 라우터가 최신 버전의 OS로 업데이트되었는지 확인하십시오. 그러나 업데이트는 APT 자체가 아니라 하나의 공격 벡터만으로도 사용자를 보호합니다.

정교한 표적 공격으로부터 비즈니스를 보호하려면 전략적 접근 방식을 구현해야합니다. 우리는 위협 관리 및 방어 플랫폼을 제공합니다. Kaspersky Anti-Targeted Attack 플랫폼, 새로운 Kaspersky Endpoint Detection and Response 솔루션, 전문가 서비스로 구성됩니다.

Kaspersky Anti-Targeted Attack을 사용하면 네트워크 트래픽의 이상을 찾고, 의심스러운 프로세스를 격리하고, 이벤트 간의 상관 관계를 찾을 수 있습니다. Kaspersky Endpoint Detection and Response는 수집 된 데이터를 집계하고 시각화하는 역할을합니다. 또한 전문적인 서비스 덕분에 어려운 상황이 발생할 경우 언제든지 도움을받을 수 있으며, 모니터링 센터 직원을 교육하고 전반적인 직원의 인식을 높일 수 있습니다. 이 솔루션에 대한 자세한 내용은 여기에 있습니다 .

추천 컨텐츠