기계에 대한 랜섬웨어: 공격자가 IT 및 OT를 표적으로 하여 산업 생산을 방해하는 방법을 학습하는 방법
최소한 2017년 이후로 산업 생산 및 주요 인프라 조직에 영향을 미치는 랜섬웨어 사건에 대한 공개 공개가 크게 증가했습니다. WannaCry, LockerGoga, MegaCortex, Ryuk, Maze 및 현재 SNAKEHOSE(일명 Snake/Ekans)와 같은 잘 알려진 랜섬웨어 제품군은 다양한 산업 분야에서 몸값과 담보 비용으로 수백만 달러의 피해를 입었습니다. 이러한 사고로 인해 조직이 상품과 서비스를 생산하고 제공할 수 있도록 하는 물리적 프로세스에 심각한 중단과 지연이 발생했습니다. 산업 부문 랜섬웨어 배포 작업의 희생자와 즉각적인 영향에 대한 많은 정보가 공유되었지만 대중의 담론은 계속해서 큰 그림을 놓치고 있습니다. 금융 범죄 행위자들이 기회주의적에서 침해 후 랜섬웨어 배포로 전술을 발전시키면서 우리는 적의 내부 정찰이 증가하여 생산 체인을 지원하는 데 필수적인 시스템을 표적으로 삼을 수 있음을 관찰했습니다. 결과적으로 랜섬웨어 감염(기업 네트워크의 중요한 자산에 영향을 미치거나 OT 네트워크의 컴퓨터에 도달)은 종종 최종 제품 또는 서비스의 불충분하거나 늦은 공급이라는 동일한 결과를 초래합니다. 산업 부문 랜섬웨어 배포 작업의 고유한 뉘앙스를 진정으로 이해하려면 IT 및 OT 시스템 모두에 대한 기술과 가시성의 조합이 필요합니다. 컨설팅 계약 및 위협 연구에서 파생된 예를 사용하여 침해 후 랜섬웨어 운영으로의 전환이 어떻게 적의 산업 운영을 방해할 수 있는지 설명합니다. 산업 부문 랜섬웨어 배포는 행위자가 침해 후 배포로 이동함에 따라 위험이 증가합니다. 랜섬웨어 공격에 대한 기존 접근 방식은 주로 다양한 피해자의 파일과 데이터를 암호화하기 위해 맬웨어를 유포하는 무차별 캠페인으로 구성된 "샷건" 방법론에 의존합니다. 이 모델을 따르는 행위자들은 피해자들에게 평균 $500~$1,000 USD를 갈취하고 가능한 한 많은 사람들로부터 보상을 받기를 희망합니다. 이 접근 방식을 채택한 초기 랜섬웨어 캠페인은 종종 OT 보안의 범위를 벗어난 것으로 간주되었지만 전체 산업 및 중요 인프라 조직을 대상으로 하는 최근 캠페인은 운영상 더 복잡한 침해 후 접근 방식을 채택하는 방향으로 이동했습니다. 침해 후 랜섬웨어 사건에서 위협 행위자는 여전히 광범위하게 배포된 악성 코드에 의존하여 피해자 환경에 대한 초기 액세스 권한을 얻을 수 있지만 일단 네트워크에 들어가면 대상 네트워크를 탐색하고 중요한 랜섬웨어를 배포하기 전에 시스템. 이 접근 방식을 통해 공격자는 일반적으로 알려진 랜섬웨어 표시기 또는 동작을 탐지하기에 충분한 보안 프로세스를 비활성화할 수 있습니다. 행위자는 중요한 시스템에 영향을 줄 수 있는 더 넓은 그물을 던져 피해자에게 최대의 고통을 가함으로써 최종 단계 작업의 규모와 효율성을 확장합니다. 결과적으로 그들은 협상할 수 있는 위치에 있고 종종 훨씬 더 높은 몸값을 요구할 수 있습니다. 이는 일반적으로 희생자의 지불 능력과 몸값을 받은 자산 자체의 가치에 비례합니다. 유사한 활동에 대한 기술적 세부 사항을 포함한 자세한 내용은 FIN6 및 TEMP.MixMaster에 대한 최근 블로그 게시물을 참조하십시오. 랜섬웨어의 기회주의적 배포와 관련된 역사적 사건은 종종 인터넷에 액세스할 수 있거나 제대로 분할되지 않았거나 감염된 휴대용 미디어에 노출된 OT 중개 시스템을 포함하는 개별 컴퓨터에 영향을 미치는 것으로 제한되었습니다. 2017년에는 NotPetya 및 BadRabbit과 같은 캠페인도 관찰했습니다. 이 캠페인에서는 웜과 유사한 기능을 갖춘 와이퍼 멀웨어가 출시되어 랜섬웨어로 가장하면서 조직을 혼란에 빠뜨렸습니다. 이러한 유형의 캠페인은 산업 생산에 위협이 되지만 사후 타협 배포의 채택은 줄거리에서 세 가지 주요 왜곡을 나타냅니다. 위협 행위자가 특정 산업 또는 조직을 대상으로 공격을 조정함에 따라 고가용성 요구 사항(예: 공공 시설, 병원 및 산업 제조)과 몸값 지불 능력이 인지된 회사(예: 고수익 회사)가 주요 표적이 됩니다. 이는 금융 범죄 행위자가 생산 환경의 수익 창출을 포함하도록 직접 판매 가능한 정보(예: 신용 카드 번호 또는 고객 데이터)를 처리하는 산업을 대상으로 하는 확장을 나타냅니다. 위협 행위자가 랜섬웨어를 배포하기 전에 내부 정찰을 수행하고 대상 네트워크를 가로질러 측면으로 이동함에 따라 이제 대상의 가장 중요한 자산에 영향을 미치고 권한 있는 위치에서 협상하는 넓은 네트워크를 구축할 수 있는 더 나은 위치에 있습니다. 가장 중요한 것은 과거에 금융 행위자가 자주 사용했던 많은 TTP(전술, 기술 및 절차)가 과거 OT 보안 사고의 공격 수명 주기의 초기 및 중간 단계에서 숙련된 행위자가 사용한 것과 유사하다는 것입니다. 따라서 금융 범죄 행위자는 OT 중개 시스템으로 전환하고 랜섬웨어를 배포하여 운영을 더욱 방해할 수 있습니다. 조직화된 금융 범죄 행위자가 OT 자산을 교란할 수 있는 능력을 입증했습니다. 침해 후 랜섬웨어 배포로부터 금전적 이익을 얻을 수 있는 행위자의 능력은 여러 요인에 따라 달라지며, 그 중 하나는 OT 자산의 핵심 임무와 가장 관련이 있는 시스템을 교란할 수 있는 능력입니다. 피해자 단체. 결과적으로 성숙한 행위자가 IT 및 비즈니스 프로세스에서 물리적 프로세스를 모니터링하고 제어하는 OT 자산까지 점차 선택을 확대할 것으로 예상할 수 있습니다. 이는 General Electric 및 Honeywell과 같은 공급업체의 일부 산업용 소프트웨어를 포함하는 일련의 프로세스를 중지한 후에만 페이로드를 실행하도록 설계된 SNAKEHOSE와 같은 랜섬웨어 제품군에서 분명합니다. 언뜻 보기에 SNAKEHOSE 킬 목록은 초기 분류를 위한 자동화 도구로 식별된 상대적으로 적은 수의 프로세스(그러나 많은 수의 OT 관련 프로세스)로 인해 OT 환경에 특별히 맞춰진 것처럼 보였습니다. 그러나 프로세스를 종료하는 함수에서 목록을 수동으로 추출한 후 SNAKEHOSE에서 사용하는 강제 종료 목록이 실제로 1,000개 이상의 프로세스를 대상으로 한다는 것을 확인했습니다. 실제로 LockerGoga, MegaCortex 및 Maze를 포함한 다른 랜섬웨어 제품군의 샘플과 함께 배포된 매우 유사한 프로세스 킬 목록을 관찰했습니다. 당연히 이러한 모든 코드 제품군은 지난 2년 동안 산업 조직에 영향을 미치는 세간의 이목을 끄는 사건과 관련되었습니다. 우리가 식별한 OT 프로세스를 포함하는 가장 초기의 킬 목록은 2019년 1월에 LockerGoga와 함께 배포된 배치 스크립트였습니다. 이 목록은 나중에 MegaCortex 사건에서 사용된 것과 매우 유사하지만 OT 관련 프로세스의 명백한 오타와 같은 주목할만한 예외가 있습니다. SNAKEHOSE 또는 MegaCortex 샘플에는 "proficyclient.exe4"가 없습니다. SNAKEHOSE 및 MegaCortex 샘플에 이 오타가 없다는 것은 이러한 맬웨어 작성자 중 한 명이 LockerGoga 목록에서 OT 프로세스를 처음 복사할 때 오류를 식별하고 수정했거나 LockerGoga 작성자가 일부 이론적인 프로세스를 제대로 통합하지 못했음을 나타낼 수 있습니다. 다크 웹 게시물과 같은 일반적인 출처. 어떤 랜섬웨어 패밀리가 킬 목록에서 OT 관련 프로세스를 처음 사용했는지 또는 멀웨어 작성자가 목록을 획득했는지에 관계없이 멀웨어 패밀리 전반에 걸쳐 이 목록이 보편화되어 있어 목록 자체가 구현된 개별 멀웨어 패밀리보다 더 주목할 만합니다. 그것. 이 목록에서 식별된 OT 프로세스는 단순히 대상 환경에서 자동화된 프로세스 수집의 우연한 결과를 나타낼 수 있으며 OT에 영향을 미치려는 목표된 노력이 아니라 이 목록의 존재는 금융 범죄 행위자에게 OT 시스템을 방해할 기회를 제공합니다. 또한 재정적으로 동기를 부여받은 위협 행위자가 산업 부문 조직에 지속적으로 영향을 미치고 OT에 더 익숙해지고 IT 및 OT 시스템 전반에 걸친 종속성을 식별함에 따라 산업 소프트웨어를 실행하는 다른 시스템 및 환경을 방해하는 기능과 잠재적 의도를 개발할 것으로 예상합니다. 제품과 기술. IT 및 OT 시스템 모두에 랜섬웨어 배포가 산업 생산에 영향을 미쳤습니다. 공격자의 사후 침해 전략과 산업 부문 표적에 대한 인식 증가의 결과로 랜섬웨어 사고는 맬웨어가 IT 또는 OT에 배포되었는지 여부에 관계없이 산업 생산에 효과적으로 영향을 미쳤습니다. 기업 네트워크에 있는 서버와 컴퓨터의 데이터를 암호화하는 랜섬웨어 사고로 인해 OT 네트워크가 감독하는 물리적 생산 프로세스가 직간접적으로 중단되었습니다. 이로 인해 최종 제품 또는 서비스의 공급이 충분하지 않거나 지연되어 비즈니스 기회 상실, 사고 대응 비용, 규제 벌금, 평판 손상, 때로는 지불된 몸값 등의 형태로 장기적인 재정적 손실이 발생합니다. 유틸리티 및 공공 서비스와 같은 특정 부문에서 고가용성은 사회 복지에도 중요합니다. IT 네트워크 감염으로 인해 산업 생산에 영향을 미치는 랜섬웨어의 가장 잘 알려진 예는 2019년 3월 Norsk Hydro의 사건으로, BPMS(비즈니스 프로세스 관리 시스템) 중단으로 인해 여러 사이트에서 자동화 작업이 중단되었습니다. 다른 부수적 피해 중 랜섬웨어는 일반적으로 생산 체인의 리소스를 관리하는 데 사용되는 IT 시스템 간의 통신을 방해했습니다. 예를 들어 제품 재고를 포함하는 이러한 정보 흐름이 중단되면서 직원들은 6,500개 이상의 재고 보관 장치와 4,000개 이상의 선반을 처리할 수 있는 수동 대안을 찾아야 했습니다. FireEye Mandiant는 석유 굴착 장치 제조업체에서 TrickBot을 사용하여 Ryuk 랜섬웨어를 배포한 유사한 사례에 대응했습니다. 감염은 기업 네트워크에서만 발생했지만 가장 큰 비즈니스 영향은 Oracle ERP 소프트웨어의 중단으로 인해 회사가 일시적으로 오프라인 상태가 되고 생산에 부정적인 영향을 미쳤습니다. 랜섬웨어는 HMI(인간-기계 인터페이스), SCADA(감독 제어 및 데이터 수집) 소프트웨어, 엔지니어링 워크스테이션과 같은 OT 네트워크의 IT 기반 자산에 도달할 때 유사한 결과를 초래할 수 있습니다. 이 장비의 대부분은 다양한 IT 위협에 취약한 상용 소프트웨어 및 표준 운영 체제에 의존합니다. Mandiant Intelligence는 민감한 출처를 기반으로 한 대규모 랜섬웨어 공격으로 인해 산업 시설이 공장 가동을 중단한 사건을 최소 1건 알고 있습니다. 시설의 네트워크가 부적절하게 분할되어 회사 네트워크에서 OT 네트워크로 맬웨어가 전파되어 서버, HMI, 워크스테이션 및 백업을 암호화했습니다. 이 시설은 백업을 검색하기 위해 여러 공급업체에 연락해야 했으며 그 중 상당수는 수십 년이 지난 백업으로 인해 생산의 완전한 복원이 지연되었습니다. 최근 2020년 2월 CISA(Cybersecurity Infrastructure and Security Agency)는 침해 후 랜섬웨어 사건이 천연 가스 압축 시설의 OT 네트워크에 있는 제어 및 통신 자산에 어떤 영향을 미쳤는지 설명하는 Alert AA20-049A를 발표했습니다. HMI, 데이터 히스토리언 및 폴링 서버에 대한 영향으로 인해 작업자의 가용성과 시야가 손실되었습니다. 이로 인해 이틀 동안 지속된 작업이 의도적으로 중단되었습니다. 랜섬웨어의 영향을 완화하려면 IT 및 OT 전반에 걸친 방어가 필요합니다. 랜섬웨어를 배포하는 위협 행위자는 효율성과 범죄 비즈니스 모델 면에서 모두 빠르게 발전하여 피해자에게 높은 운영 비용을 부과했습니다. 우리는 모든 조직이 랜섬웨어 공격과 관련된 안전 및 산업 위험을 평가할 것을 권장합니다. 이러한 권장 사항은 비즈니스 운영에 대한 다른 위협(예: 크립토마이닝 맬웨어 감염)에 대한 복원력을 구축하는 데도 도움이 됩니다. 모든 경우가 다르지만 다음 권장 사항을 강조합니다. IT 및 OT 모두에서 맞춤형 서비스 및 실행 가능한 인텔리전스를 얻으려면 FireEye Mandiant Consulting, Managed Defense 및 Threat Intelligence에 문의하십시오. 랜섬웨어 위협에 대응할 수 있는 조직의 현재 보안 태세와 능력을 평가하기 위해 테이블탑 및/또는 통제된 레드 팀 연습을 수행하십시오. 공격 시나리오(주로 비프로덕션 환경)를 시뮬레이션하여 사고 대응 팀이 그러한 공격을 탐지, 분석 및 복구할 수 있는 방법을 이해합니다. 운동 결과에 따라 회복 요구 사항을 다시 검토하십시오. 일반적으로 다양한 위협 시나리오를 반복적으로 연습하면 실제 사고에 대한 인식과 대응 능력이 향상됩니다. 운영, 비즈니스 프로세스 및 워크플로를 검토하여 지속적인 산업 운영을 유지하는 데 중요한 자산을 식별합니다. 가능하면 다운타임에 대한 내성이 낮은 중요 자산에 대해 중복성을 도입하십시오. 적절한 이중화의 양과 유형은 조직마다 고유하며 위험 평가 및 비용-편익 분석을 통해 결정할 수 있습니다. 비즈니스 프로세스 소유자와 IT 및 OT 간의 협업 없이는 이러한 분석을 수행할 수 없습니다. 네트워크 기반 또는 호스트 기반 방화벽을 통해 기본 자산과 중복 자산을 논리적으로 분리하고 후속 자산 강화(예: SMB, RDP 및 WMI와 같이 랜섬웨어 전파를 위해 일반적으로 사용하는 서비스 비활성화). 불필요한 P2P 및 원격 연결을 비활성화하는 정책을 만드는 것 외에도 이러한 서비스 및 프로토콜을 잠재적으로 호스팅하는 모든 시스템에 대한 일상적인 감사를 권장합니다. 이러한 아키텍처는 일반적으로 보안 사고에 더 탄력적입니다. 엄격한 백업 프로그램을 수립할 때 백업의 보안(무결성) 보장에 특별한 주의를 기울여야 합니다. 중요한 백업은 오프라인으로 유지하거나 최소한 분리된 네트워크에 보관해야 합니다. 복구 시간 목표 측면에서 복구 계획을 최적화합니다. 복구 기간 동안 필요한 대체 워크플로(수동 포함)를 도입합니다. 이는 중요 자산의 중복성이 제한적이거나 전혀 없는 조직에 특히 중요합니다. 백업에서 복구할 때 복구된 자산과 전체 조직의 인프라를 강화하여 반복적인 랜섬웨어 감염 및 전파를 방지합니다. OT 경계 보호 장치의 명확한 소유권 및 관리를 설정하여 비상 사태, 전사적 변경이 가능하도록 합니다. 격리 및 적극적인 침입 동안 효과적인 네트워크 분할이 유지되어야 합니다. 표준 운영 체제 및 프로토콜을 사용하여 네트워크로 연결된 워크스테이션 및 서버로 정의하는 중간 시스템에서 적의 침입 활동을 추적합니다. 시스템이 물리적 프로세스를 직접 제어하는 것과는 거리가 멀지만 공격자가 존재할 가능성은 훨씬 더 높습니다. 모든 조직은 고유한 내부 아키텍처와 프로세스, 이해 관계자의 요구 사항 및 고객 기대 사항이 다르기 때문에 다릅니다. 따라서 모든 권장 사항은 개별 인프라의 맥락에서 신중하게 고려해야 합니다. 예를 들어, 랜섬웨어의 확산을 완화하려면 적절한 네트워크 분할이 매우 권장됩니다. 그러나 예산이 제한된 조직은 하드웨어 방화벽으로 분리하는 대신 중복 자산 다양화, 호스트 기반 방화벽 및 강화를 활용하기로 결정할 수 있습니다.
AmerAsia Company - Beijing AmerAsia China IT Consulting – Data Drill – CaliCoin.io – AmerAsia Report – Reciprocity Project