2022 맨디언트 사이버 디펜스 세계 최고의 맨디언트 전문가가 제시하는 사이버 보안 전략 참관

2022 MANDIANT DAY 온라인 참관함.

관심있게 들었던 토픽에 대한 짧은 정리

---

[RSA Conference 2022 참관기]

1. 지난번 까지는 EDR 관련 제품이 많이 나왔는데 올해는 XDR, TI등과 같은 통합보안 솔루션이 대세
2. 5G는 이동통신 분야 보다 공급망에 대한 내용이 주로 다뤄짐
3. 신기술 접목 보단 기존 기술을 더욱 견고하는데 초점을 맞춤

---

[맨디언트가 제시하는 위협 대응 전략]

지피지기 백전불태

공격자는 나 자신을 나보다 더 많이 알고 있다. 그래서 공격자에 대응 하려면 나 자신에 대해 알아야 한다.

지금껏 보안 담당자들은 ioc, ip, 도메인 등으로 대응 준비를 했지만 이제는 TI를 통해 대응 전략을 세워야 한다.

 

침해사고 발생 비중은 보통 피싱이 많다고 생각하지만, 실제 비율은 취약점과 공급망 공격이 절반 넘는다. 
그러나 랩서스는 기술적 접근이 아닌 사회공학 기법을 통한 파급효과를 보여줬다. 그래서 TI를 통해 경계를 해야한다.

사회공학을 통한 공격은 보통 아래처럼 진행
OSINT를 활용해 오픈된 서비스 접근 및 직원 정보 수집 -> 개인메일 해킹 또는 동료 사칭 등을 통해 다중인증 우회 -> 그 외

 

맨디언트가 보안팀 평가하는 지표
1. 실제 보안사고 발생 시 어떻게 대응하는지
2. 조직의 위협 및 자산 평가를 잘 하고 있는지
3. 투자한 보안솔루션이 잘 동작하고 성능이 어떤지
4. 플레이북 구성 및 보안조직의 대응태세가 어떤지

---

[IT환경의 보안평가를 위한 맨디언트 레드팀]

제로트러스트를 생각하고 있다면 침해발생은 항상 예상해야 하며, 일반인이 봤을 때 취약점 발현이 가장 위험하다고 생각한다. 하지만 공격 사이클 관점으로 봤을땐 취약점 발현까지는 괜찮다. 왜냐하면 아직 피해를 입히지 않았기 때문이다. 임팩트가 발생하기 전에 탐지, 차단이 중요하다.

 

모의해킹은 침해발생을 통해 보안솔루션들을 뚫을수 있는지 확인 하는데 의미가 있다.
레드팀은 미션을 받아 임팩트 발생시켜 비지니스에 영향을 줄 수 있도록 공격 사이클 전 과정을 수행한다.
요즘은 dechained 레드팀이라는 개념이 생겼는데 모의해킹 부분을 제외한 과정을 수행 한다. (레드팀 보다 가격이 저렴함)

레드팀의 업무수행 기간은 블루팀 탐지 직전까지다. 임팩트를 주는것이 목표이며, 이러한 활동의 의미는 블루팀 역량 강화다.

아래는 실제 맨디언트 Red팀 서비스의 내용이다. (시간 관계상 도메인 계정 탈취까지만 설명해줌, m-trend 2019 참고)
초기정찰 -OSINT를 통해 다음단계 준비를 했음. 회사에서 쓰고 있는 솔루션, sns를 통해 재직중인 IT직원 정보 수집
초기침투 -피싱메일 시도를 했지만 대부분 탐지에 걸려 실패했음, 그래서 SNS에서 수집한 직원을 사칭하여 여러 타겟에게 전화, 문자를 통해 사용중인 솔루션을 모사환경으로 만들어 피싱사이트에 접속 테스트 요청하여 계정 정보 탈취한다. 

(다중인증 우회, VPN 디바이스 등록 과정도 있었지만 기록을 못했다.)  
↑--------------------------모의해커의 역할은 여기까지다. 이 아래 부터는 Red팀의 업무에 속한다.

거점확보 -일반유저 권한획득 했지만, 관리자 권한이 필요하다 그래서 kerberoasting공격(노이즈가 많이 발생)을 활용했다. 뽑아낸 키워드를 통해 hash를 깨서 로컬 어드민을 계정을 얻었다, 
권한상승 -로컬 어드민 계정에서 도메인 계정을 탈취해야 한다. 접속한 로컬 어드민 PC에 어떤 보안 솔루션이 있는지 파악 해야한다. 만약, EDR 같은 것이 있으면 탐지되기 때문에 wmi덤핑해서 smb로 공격자에게 전송하여
(LSASS + Local Administrator + MiMikatz = domain admin) 해당 과정을 걸쳐 도메인 계정을 추출했다.

 

---

[실제 공격 시나리오를 기반으로 한 조직의 위협대응 체계 평가(Tabletop Exercise)]

맨디언트가 고객사 대상으로 책상에 모여서 자주한다고 한다. 

해당 과정을 요약하면 다음과 같다.

1. 책상에 모여 앉아 가상의 회사를 세워 팀원 수, 보안관제 유무 등 보안 조직에 대해 상세히 설정한다.

2. CISO부터 각 보안팀의 일과 직책을 나눈다.

3. 사건 발생시 회의를 진행하고 회의 내용을 기반으로 대응 유무 선택한다.

4. 6시간 간격으로 피해상황과 현재 어떻게 대응하고 있는지 회의 결과를 공유 후 그 다음 어떤 해동을 할지 선택 한다.

대충 이런식으로 진행한다.

 

해당 세션에서는 형식적인 보안팀만 갖춘 병원이 랜섬웨어에 감염되어 돈을 지불할 것인지 침해사고 조사 및 대응을 할 것인지에 대한 내용으로 진행됐다.

이러한 훈련을 자주하는 이유는 실제 사고 발생 시 어떻게 대응할 것 인지 빠른 선택을 할 수 있도록 하기 위해서다.

---

종합 리뷰

처음에는 기대감 없이 시청했지만, 맨디언트 임직원들의 발표 실력에 집중하게 되었고 원래 4시에 종료였지만, 많은 얘기를 해주시느라 5시 넘어서 끝났다. 평소 기술 세미나는 쉽게 지루해지기 때문에 관심 있는 내용만 듣는데 이번에는 빠짐없이 전부 시청했다. 몇몇 내용은 생각하지 못한 정보들이 있어서 현재 업무에 바로 적용 가능할 것 같아 너무 좋았다. 

2023 MANDIANT DAY에 참관할 의향이 있다.

https://youtu.be/qVvXFpAfaqA