English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
DNS를 표적으로 삼아 RAT와 개들이 쏟아지고 있습니다: Infoblox가 Decoy Dog 적응에 대응하는 방법
Jul 15, 2023업데이트됨 18:37 EDT / 2023년 8월 1일
Zeus Kerravala의 게스트 칼럼
Infoblox Inc.는 최근 4월에 발견한 "Decoy Dog"라고 불리는 원격 액세스 툴킷(RAT)에 대한 업데이트를 제공하기 위해 두 번째 위협 보고서를 발표했습니다. 명령 및 제어를 설정하기 위해 Decoy Dog는 도메인 이름 시스템을 사용합니다. 회사는 또한 이것이 국가가 사이버 공격에 사용하는 비밀 도구라고 의심합니다.
Infoblox가 RAT(특히 Pupy로 알려진 RAT의 변형)에 대해 알고 있다는 사실을 공개하자 위협 행위자들은 지속적인 운영을 보장하기 위해 적응했습니다. 이 회사는 4월 23일 결과가 발표된 이후 Decoy Dog와 Pupy에 대한 연구를 계속해 왔다고 밝혔습니다. 위협 보고서에는 Decoy Dog가 Pupy에 대한 상당한 업그레이드를 의미한다고 적었습니다. 공개 저장소에 없는 명령과 구성을 사용합니다.
Infoblox는 Decoy Dog 클라이언트 통신을 분리하고 각 컨트롤러에 대한 여러 다른 속성을 추론하는 알고리즘을 개발했다고 보고합니다. 새로운 알고리즘은 우리가 한동안 생각해 왔던 사실을 강조합니다. 즉, DNS가 안전하지 않다면 기업 전체가 현관문을 잠그지 않은 채로 두는 편이 나을 수도 있다는 것입니다. Infoblox에는 상용으로 사용 가능한 DNS 감지 및 응답 또는 DNSDR 시스템이 있습니다.
DNSDR은 일반적인 공격 순서를 처리할 수 있는 장비를 잘 갖추고 있습니다. 예를 들어 공격자는 무기화 단계에서 악성 페이로드를 생성할 수 있습니다. 그런 다음 주로 스피어 피싱 이메일을 통해 대상에게 페이로드를 전달합니다.
그런 다음 사용자가 링크를 클릭하면 장치가 인터넷 위치에 대한 연결을 요청하고 DNS 서버를 통해 조회가 발생합니다. 차세대 방화벽, 웹 게이트웨이 등의 네트워크 보안 장치가 트래픽 처리를 시작하고 이후 연결이 설정됩니다. 연결이 설정되면 페이로드가 다운로드되어 대상 장치에서 실행됩니다.
이 프로세스의 첫 번째 단계는 DNS를 통해 이루어집니다. DNSDR을 사용하면 기업은 위협이 중요한 인프라에 영향을 미치기 전에 위협을 제거할 수 있습니다. Decoy Dog와 Pupy의 경우도 마찬가지였습니다.
인포블록스는 악성코드와 운영자의 주요 기능을 학습했다고 밝혔습니다. Decoy Dog의 사용이 증가하여 전 세계의 다양한 조직에 영향을 미칠 위험이 있다고 생각합니다.
Infoblox CEO인 Scott Harrell은 “조직이 Decoy Dog와 같은 위협을 탐지하고 완화하기 위한 첫 번째 방어선이 DNS여야 한다는 것은 직관적입니다.”라고 말했습니다. "Decoy Dog에서 입증된 것처럼 공격자의 전술과 기술을 연구하고 깊이 이해하면 위협이 악성 코드로 알려지기 전에 차단할 수 있습니다."
이러한 위협으로부터 방어하려면 다른 접근 방식이 필요합니다. 일반적인 맬웨어 대상에 초점을 맞추면 조직은 8가지 공에 뒤처지게 됩니다. RAT와 개로부터 보호하려면 DNS 중심 접근 방식이 필요합니다. 특히 Infoblox가 보도 자료에서 인용한 통계를 고려하면 더욱 그렇습니다. Anne Neuberger 이사에 따르면 악성 코드 공격의 90% 이상이 DNS를 활용하여 대상 네트워크에 명령 및 제어를 설정합니다. 국가안보국(NSA) 사이버보안 담당. DNS를 감시하지 않는 조직은 인프라에 위협이 존재하여 심각한 피해를 입힐 위험이 있습니다.
Infoblox는 21개의 Decoy Dog 도메인을 모니터링하고 있으며 일부는 지난 달에 등록되었다고 밝혔습니다. 여기서 핵심은 조직이 업계 연구를 모니터링하고 DNS를 조기 경고 시스템으로 사용하는 것입니다. 인포블록스가 선두에 있습니다.
Infoblox의 위협 정보 책임자인 Renée Burton 박사는 8월 9일 라스베가스의 Black Hat에서 연설할 예정입니다. Renée의 올해 연설은 RAT와 개에 대한 흥미로운 토론이 될 것입니다. 그리고 나는 지금과 그때 사이에 훨씬 더 많은 발전이 있을 것이라고 확신합니다. Infoblox는 Black Hat 쇼에서 참석자들에게 Decoy Dog 데이터 세트로 작업할 수 있는 독특한 실습 경험을 제공할 예정입니다.