중요 인프라 보호 

솔루션 개요:

• IBM Security^® QRadar® EDR은 감지할 수 없도록 설계되고 엔드포인트 및 인프라 전반에 걸쳐 탁월한 수준의 가시성을 제공하는 NanoOS를 사용
  
  
• 측면 이동과 비정상적인 로그인 시도를 근본적으로 추적
  
  
• 랜섬웨어 공격에 대한 기본적인 보호 기능 제공
  
  
• 매우 복잡한 인시던트를 추적하고 재구성할 수 있는 강력한 위협 추적 인터페이스 제공 

이 용수 관리 시설은 운영 중인 모든 서버, 데스크탑 및 노트북에서 IBM Security QRadar EDR 소프트웨어를 실행하여 모든 자산을 지속적으로 모니터링하고 잠재적인 보안 위반을 신속하게 추적 및 조사했습니다. 이 클라이언트는 솔루션에 내장된 이중 AI 엔진과 상세한 행동 분석을 사용하여 인프라에 대한 완전한 가시성을 확보함으로써 엔드포인트에 대한 실시간 쿼리와 침해 지표(IOC) 및 행동 지표(IOB)에 대한 확장 검색을 지원하고, 고급 데이터 마이닝을 통해 휴면 위협을 발견할 수 있게 되었습니다.

솔루션을 실행한 지 6개월이 지난 시점에 QRadar EDR 에이전트는 비정상적인 활동을 초기에 감지하여 특정 데이터 세트에 액세스하려는 공격자의 이동 경로를 추적했습니다. 이 클라이언트의 기존 안티바이러스 소프트웨어와 침입 탐지 시스템(IDS)은 공격의 마지막 단계까지 어떠한 활동도 탐지하지 못했습니다. 클라이언트가 QRadar EDR을 구축하지 않았다면 공격자는 데이터를 획득하고 유출할 수 있었을 것입니다.

공급망 공격

최초 침해 발생 당일, QRadar EDR은 VPN 서버에서 권한이 없는 네트워크 세그먼트의 엔드포인트로 의심스러운 로그인이 발생했음을 보고했습니다. 보안 팀은 이 로그인이 외부 보안 제공업체의 유지 보수 작업 때문일 것으로 가정하고 해당 인시던트에 낮은 우선순위를 부여했습니다. 공격자는 네트워크 세그먼트를 매핑하여 권한 있는 네트워크에 대한 직접 경로를 찾는 데 주로 사용되는 초기 멀웨어를 배포했습니다. 공격자는 이러한 경로를 찾을 수 없게 되자 후속 측면 이동에 재사용할 자격 증명을 수집하기 위해 두 번째 인메모리 멀웨어를 배포했습니다. 자격 증명을 획득한 공격자는 도메인 컨트롤러로 이동했고, 얼마 지나지 않아 내부 문서가 들어 있는 파일 서버로 이동했습니다.

근본 원인 분석

최초의 비정상적인 로그인은 워크스테이션이 아니라 서버와 주로 상호 작용하는 엔드포인트에서 교대 시간 외에 발생했습니다. 해당 VPN 채널은 외부 제공업체가 관리하고 있었으며, 이 외부 제공업체는 VPN 채널뿐만 아니라 이메일 서버와 방화벽의 유지 보수도 담당하고 있었습니다. 액세스의 특성상 모든 작업을 추적하는 경고 기능이 활성화된 상태였지만, 1차 경고 당시 내부 보안 팀이 외부 제공업체가 인프라 유지 보수 작업을 실행 중인 것으로 가정하여 해당 인시던트에 낮은 우선순위를 할당했습니다.

다음 날, QRadar EDR는 2차 경고로 내부 네트워크를 스캔하는 데 사용된 경량 악성 소프트웨어의 활동을 보고했고, 곧이어 키로깅 및 권한 정보 수집 기능을 갖춘 인메모리 벡터의 존재에 대한 또 다른 경고 신호가 이어졌습니다. 이 시점에 보안 팀은 해당 이벤트에 본격적으로 집중하여 위협 추적 세션을 개시했고, 그러는 사이 공격자는 일련의 측면 이동을 통해 도메인 컨트롤러 중 하나에 가까스로 액세스하게 되었습니다. 보안 팀은 NanoOS 기술의 탐지 불가한 특성을 활용하기로 결정했습니다. 최대한 오랜 시간 공격자를 추적하여 공격 수법과 목표를 파악하기로 한 것입니다.

공격자들이 매우 중요한 정보가 담긴 파일 서버에 접근을 시도하자, 보안 팀은 이를 저지하기로 결정하고 공격자 박멸 계획을 개시했습니다. 다양한 장치에서 개선이 진행되는 동안, 공격자는 상위 레벨 액세스에 성공했음에도 불구하고 정작 원하는 정보에는 액세스할 수 없음을 깨닫게 되었습니다. 자신들의 존재가 발각되었음을 인식한 공격자는 흔적을 감추기 위해 전체 인프라에 랜섬웨어를 배포했습니다.

공격과 복원

공격의 동기가 명확하게 드러나자 곧바로 운영자는 전체 공격을 파악하여 인프라 내 취약점을 강화했습니다. 랜섬웨어 배포 단계 이전(1차)에는 12대, 이후(2차)에는 수천 대의 디바이스가 공격에 연루된 것으로 밝혀졌습니다.

공격자는 VPN과 이메일 서버 제공자에 대한 액세스 권한을 확보하고 이를 내부 네트워크를 향한 초기 진입점으로 사용했습니다. 이후 제공자의 권한 정보를 재사용하여 다른 컴퓨터로 이동한 후 특정 워크스테이션에 안착했습니다. 그런 다음 공격자는 일련의 툴을 이용하여 내부 네트워크를 스캔하고 측면 이동을 위한 목표물을 파악했습니다. 마지막 단계로 도메인 컨트롤러를 사용하여 모든 기기에 랜섬웨어를 배포했습니다. 

이 용수 관리 시설은 VPN 액세스를 보호하고 공격자가 액세스할 수 있는 모든 시스템을 식별하는 위협 추적 세션을 수행했습니다. QRadar 개선 모듈은 복구 프로세스를 자동화하여 단 몇 초 만에 해당 세그먼트 복구를 완료했습니다. 이 시설은 정찰 및 측면 이동 단계에서 사용되는 모든 툴을 확보하고 IOC 및 동작을 포함한 정책을 전체 인프라에 즉시 전파했습니다. 정책 배포 후에는 추가로 손상된 호스트가 발견되지 않았습니다. 모든 사용자의 자격 증명이 즉시 재설정되었으며, 클라이언트가 모든 디바이스에 대해 QRadar EDR 안티 랜섬웨어 보호를 활성화하여 중요한 정보의 손실과 정상적인 활동의 중단을 방지했기 때문에 랜섬웨어 공격에 대한 추가 개입이 필요하지 않았습니다.

이 시설은 둘째 날에 데이터 손실, 필수 서비스 중단 또는 엔드포인트 손상 없이 인시던트를 성공적으로 종결했습니다.

이 시설에서 QRadar EDR을 사용하지 않았다면 공격자는 민감한 정보를 유출했을 것이며, 최종 랜섬웨어 공격으로 인해 전체 인프라가 비활성화되어 더 오랜 기간 동안 활동을 계속했을 수도 있습니다. 이처럼 파괴적인 공격은 지역 주민들을 대상으로 필수 서비스 제공을 책임지고 있는 용수 관리 시설 운영에 엄청난 타격을 주고, 잠재적으로는 서비스를 완전히 중단시키는 결과를 초래할 수 있었을 것입니다. 공급망 공격을 파악하는 것이 쉽지 않다는 점을 감안하면, 이처럼 침해의 근본 원인을 정확히 밝혀낼 포렌식 정보를 이용할 수 없었을 경우 해당 시설은 또다시 동일한 채널을 통한 공격 행위로 침해를 입게 되었을 가능성이 매우 큽니다. 

유럽에 소재한 이 용수 관리 시설은 약 100만 명의 주민이 사용할 용수를 처리하고 분배하는 역할을 하며, 중요 인프라 및 필수 서비스로 분류된 시설입니다.