반응형




안녕들 하시죠 !


오늘은 기사를 읽다가 관심이 생기는 부분이 생겨 이렇게 포스팅 해보려고 합니다. 


러시아의 중앙화학역연구기관( CHIIHM ) 주도한 것으로 추측되는 "사우디 화학 공장 안전시스템을 공격한 트리톤 멀웨어"라는 주제였습니다.


멀웨어 ( Malware ) 란?


사용자의 PC, 테블릿, 모바일 폰 등의 디바이스를 감염시키는 악성코드입니다.

대부분 멀웨어의 목적은 경제적 이득이며, 보안 시스템을 우회하고 탐지를 피하도록 설계되어 있습니다.

트로이목마, 루트킷, 스파이웨어, 웜, 키로거, 랜섬웨어 등 우리가 자주 들어왔던 것들입니다.


저 또한 Metasploit 을 이용해 Malware 를 만들어봤는데 아주 간단하게 금방 만들 수 있었습니다.


배포방식은 매우 다양하며 피싱 이메일을 통해 악성파일 첨부, 악성 URL 링크, 반자동 다운로드, 포트가 열려 취약해진 PC에 네트워크로 직접 

투, 운영체제 또는 어플리케이션의 취약점을 통한 침투 등 방법도 정말 많습니다.

아래 설명할 맞춤형 Malware들은 안티멀웨어나 백신 기술을 무력화 시키기때문에 탐지가 어렵다고합니다.

 

이러한 Malware 공격을 예방하기위한 방법으로는,


ㆍ 직원들에게 이메일 및 사회공학적 기법에 대한 지속적인 교육과 실제로 훈련.

ㆍ 지속적인 업데이트 패치를 적용. ( 실제 회사에서는 패치적용을 하고싶어도 호환성과 예기치 못한 문제발생 때문에 적용하기 어렵다고합니다 )

ㆍ 멀웨어의 침입을 모니터링 하기는 힘들지만 수상한 행위를 시작한 멀웨어를 탐지하기위한 꾸준한 모니터링.

ㆍ 지속적인 데이터 백업이 있다고 하지만 완전한 방어란 없기때문에 경각심을 가지고 있어야할 것 같습니다.



트리톤은 산업 통제 시스템( ICS )만을 겨냥해 만들어진 멀웨어라고 합니다.

또한 현재까지 세상에 드러난 ICS 전용 멀웨어는 트리톤( Triton ), 스턱스넷( Stuxnet ), 인더스트로이어( Industroyer ) 이 세가지 뿐이라고 합니다.


스턱스넷은 2010년 6월경 발견된 웜 바이러스라고 합니다.

바이러스 코드 내에 " Sutxnet " 이라는 단어가 자주 등장하는 특징 때문에 " 스턱스넷 " 이라고 명명 되었다고합니다.

윈도우를 통해 감염되고, '지멘스 산업'의 소프트웨어 장비를 공격한다고 합니다.

실제로 산업시설을 감시하고 파괴한 악성 소프트웨어로서는 최초( 2010년 이란 부셰르 원전 ( 핵시설 )공격 )라고합니다.

스턱스넷은 '제로데이 취약점' 을 이용한 공격이기 때문에 패치도없고, 방어도 불가능하다고 합니다.

전문가들이 리버스 엔지니어링을 통해 6개월가량 분석할 정도로 복잡한 코드였다고합니다.

스턱스넷의 내부를 살펴본 사람들은 그 안에 구하기 힘들고 값도 비싼 제로데이 취약점이 4개나 들어있었다고합니다.

보통 제작자는 악성코드 1개에 제로데이 취약점 1개를 넣어 돈을버는데 이번은 달랐다고합니다.

전문가들은 이렇게 천문학적인 금액이 들고 조직적인 행위의 배후에는 이스라엘과 미국이 있다고 합니다.



지멘스사는 스턱스넷을 감지하고 제거하는 소프트웨어를 배포했고 제 3자에게서 받은 USB 플래시 드라이브를 사용하지 말고, 

마이크로소프트에서 제공한 취약점 패치를 설치하며, 스턱스넷이 발견될 경우 고객센터에 연락할 것을 권하는 것으로 대처했습니다. 


인더스트로이어는 2016년 우크라이나의 전력망을 공격했고, 트리톤같은 경우 발생한지 얼마 되지않은 사건이다 보니 정보가 부족하지만 

슈나이더 전자의 산업 안전 시스템에 침투하여 물리적인 피해가 발생할 정도의 조건을 발동시키도록 안전 시스템을 조작했다는 점에서 스턱스넷과 

비슷한 수법이라고 보입니다. 


이러한 사이버 공격은 보통 금전적인 목적으로 이루어진다고만 알고있었습니다.

이런 기사를 접해보니 국가와 국가간의 협력, 금전적인 지원 등등 말로만 듣던 ' 사이버 전쟁 ' 이 실감이 납니다.

많은 기사들이 공격기법과 배후에만 관심을 갖고있었고 예방하는 방법에 대해서는 관심이 많이 부족해보였습니다. 

정보보호를 공부하는 학생으로서 이러한 사건을 자주 찾아보고 예방하는 방법에 관심을 가져봐야겠다는 생각이 들었습니다.


오늘은 여기까지입니다 감사합니다 !




사우디 화학공장의 사이버공격, 러시아가 했다 ", 보안뉴스, 2018년 10월 24일 

'보안 > News' 카테고리의 다른 글

페이스북 사진유출 사건  (0) 2018.12.17
'홍석천도 당했다 ! 카톡 지인사칭 피싱'  (0) 2018.12.12
윈윈소프트 개인정보 유출사건  (0) 2018.11.25

+ Recent posts

티스토리툴바