Living off the Land 공격으로부터 보호하는 방법은 무엇입니까?

최근에 리빙 오프 랜드(Living off the Land) 공격이 주목을 받았기 때문에 해커가 이제 오래된 전략과 기술을 다시 사용하고 있다고 안전하게 추론할 수 있습니다. 토지 생활과 관련된 개념은 거의 새롭지 않습니다. 시스템 도구는 한때 일반적으로 백도어로 사용되었으며 알려진 취약점은 시스템에서 이용되었습니다.

LotL(Living off the Land) 공격은 때때로 파일리스 공격을 하위 집합으로 포함하기 때문에 방어하기가 매우 어렵습니다. 다른 때에는 해커가 이중 사용 및 메모리 도구를 악용하는데, 이는 결국 치명적인 조합입니다. 이 가이드에서는 Living off the Land 공격에 대해 알아야 할 정보와 공격으로부터 자신이나 조직을 보호하는 방법을 최대한 많이 알려드리고자 합니다.

리빙 오프 랜드 공격이란 무엇입니까?

리빙 오프 랜드 공격은 공격자가 피해자의 컴퓨터에 이미 설치되었거나 기존 도구를 사용하여 수단(정보나 돈을 훔치거나 시스템을 탈취하는 등)을 강화하는 공격입니다. 이러한 공격은 관련된 해커가 보안 응용 프로그램이 조심하도록 프로그래밍된 악성 프로그램을 사용하지 않는다는 점에서 독특합니다. 공격자는 일반 도구 또는 간단한 스크립트를 사용하기 때문에 위협 탐지가 매우 어려워집니다.

예를 들어 파일 없는 공격에서 사이버 범죄자는 PowerShell 및 WMI에 해당하는 부분적으로 휘발성 메모리에서 작동할 수 있습니다. 이러한 시나리오에서 바이러스 백신 및 맬웨어 방지 응용 프로그램은 해당 항목조차 로그에 저장되지 않기 때문에 위협을 감지하고 찾지 못합니다. 결국, 공격하는 동안 아주 적은 수의 파일(또는 전혀 파일이 생성되지 않음)이 생성됩니다.

공격자가 파일리스로 전환할 충분한 이유가 있습니다. 그들은 생성되는 파일 수가 적을수록 보안 유틸리티가 위협을 탐지할 가능성이 낮다는 것을 알아냈을 것입니다. 그리고 대부분의 경우 공격자가 옳습니다. 보안 애플리케이션은 처음에 무엇을 조심해야 할지 모르기 때문에 너무 늦을 때까지 Living off the Land 공격을 탐지하는 데 어려움을 겪습니다.

LotL 공격에는 맬웨어가 포함되지 않지만 공격자(공격에 성공하는 경우)는 탐지할 수 없는 영역에서 손상된 컴퓨터에 머물기에 충분한 시간을 얻습니다. 그리고 시간이 지남에 따라 공격자는 결국 민감한 구성 요소에 침투하여 데이터 또는 작업을 파괴할 기회를 얻습니다(원하는 경우).

아마도 2017년 언젠가 세계를 뒤흔든 Petya/NotPetya 공격에 대해 들어본 적이 있을 것입니다. 이러한 공격의 피해자(개인 및 조직)는 공격자가 의심을 일으키지 않는 신뢰할 수 있는 프로그램을 통해 시스템에 침투했기 때문에 공격이 오는 것을 결코 보지 못했습니다. 그런 다음 해당 애플리케이션에 악성 코드를 주입했습니다. 전통적인 보호 시스템은 실패했습니다. 그들의 방어는 명백히 신뢰할 수 있는 소프트웨어의 비정상적인 사용에 의해 촉발되지 않았습니다.

Living off the Land 기술을 사용하면 사이버 범죄자가 복잡하지 않고 IT 시스템에 침입하여 경보를 울리거나 의심을 유발하지 않으면서 많은 시간을 보낼 수 있습니다. 따라서 이러한 공격을 정의하는 상황을 고려할 때 보안 전문가는 공격의 출처를 식별하기가 어렵다는 것을 알게 됩니다. 많은 범죄자들은 ​​Living off the Land 전술을 공격 실행에 이상적인 방법으로 간주합니다.

Living off the Land 공격으로부터 안전하게 지내는 방법(일반 사용자 또는 개인을 위한 팁)

필요한 예방 조치를 취하고 사전 예방적 조치를 취하면 LotL 전술을 통해 컴퓨터나 네트워크가 사이버 범죄자에 노출될 가능성을 줄일 수 있습니다.

1. 항상 네트워크 내부의 이중 사용 유틸리티 사용을 모니터링하거나 확인하십시오.

2. 사용 가능하거나 적용 가능한 경우 애플리케이션 화이트리스트를 사용합니다.

3. 예상치 못한 이메일이나 의심스러운 이메일을 받으면 각별히 주의해야 합니다. 그러한 메시지에서 어떤 것(링크 또는 첨부 파일)도 클릭하지 않는 것이 좋습니다.

4. 항상 모든 응용 프로그램(프로그램) 및 운영 체제(예: Windows)에 대한 업데이트를 다운로드하고 설치하십시오.

5. 매크로를 활성화해야 하는 Microsoft Office 첨부 파일을 사용하는 동안 주의하십시오. 이러한 첨부 파일을 사용하지 않을 여유가 있다면 애초에 사용하지 않는 것이 좋습니다.

6. 가능한 경우 고급 보안 기능을 구성합니다. 고급 보안 기능이란 이중 인증(2FA), 로그인 알림 또는 프롬프트 등을 의미합니다.

7. 모든 계정과 프로필에 강력하고 고유한 암호를 사용하십시오(네트워크 또는 플랫폼 전반에 걸쳐). 암호 관리자를 얻으십시오. 모든 암호를 기억하는 데 도움이 되는 암호 관리자가 필요한 경우.

8. 세션이 끝나면 항상 네트워크에서 프로필이나 계정에 서명하는 것을 잊지 마십시오.

Living off the Land 공격을 피하는 방법(조직 및 기업을 위한 팁)

Living of the Land 전술은 가장 정교한 해킹 기술 중 일부를 구성하기 때문에 조직이 식별하고 방어해야 하는 큰 수준의 도전 과제입니다. 그럼에도 불구하고 기업이 그러한 공격의 위험을 줄일 수 있는 방법은 여전히 ​​존재합니다.

1. 양호한 사이버 위생 유지:

이 팁은 액면 그대로 받아들일 때 간단하거나 기본적으로 보일 수 있지만 아마도 가장 중요할 것입니다. LotL 전술이 사용된 공격을 포함하여 역사상 대부분의 사이버 공격은 부주의나 보안 관행의 부족으로 인해 성공했습니다. 많은 회사에서 사용하는 도구나 프로그램을 업데이트하거나 패치하는 데 신경을 쓰지 않습니다. 소프트웨어는 일반적으로 취약점과 보안 허점을 봉인하기 위해 패치와 업데이트가 필요합니다.

패치나 업데이트가 설치되지 않으면 위협 행위자가 취약점을 찾아 악용할 수 있는 문이 열려 있습니다. 조직은 애플리케이션 인벤토리를 유지해야 할 의무가 있습니다. 이런 식으로 그들은 오래되고 패치되지 않은 프로그램과 운영 체제까지 식별할 수 있습니다. 또한 필수 업데이트 작업을 수행해야 하는 시기와 일정을 준수하는 방법도 알고 있습니다.

또한 직원은 보안 인식에 대해 교육을 받아야 합니다. 개인에게 피싱 이메일을 열지 말라고 가르치는 것 이상입니다. 이상적으로 작업자는 기본 제공 Windows 기능과 코드가 작동하는 방식을 배워야 합니다. 이러한 방식으로 그들은 동작, 악의적인 활동, 백그라운드에서 실행되고 탐지를 회피하려는 의심스러운 애플리케이션이나 스크립트의 이상 또는 불일치를 발견하게 됩니다. Windows 배경 활동에 대해 잘 알고 있는 직원은 일반적으로 일반 사이버 범죄자보다 한 발 앞서 있습니다.

2. 적절한 액세스 권한 및 권한을 구성합니다.

예를 들어, 직원이 이메일에서 악성 링크를 클릭한다고 해서 반드시 직원의 시스템에 악성 프로그램이 상륙하는 것은 아닙니다. 설명된 시나리오에서 악성 프로그램이 네트워크를 통해 이동하고 다른 시스템에 도달하도록 시스템을 설계해야 합니다. 이 경우 타사 앱과 일반 사용자가 엄격한 액세스 프로토콜을 사용할 수 있도록 네트워크가 잘 분할되었다고 말할 수 있습니다.

팁의 중요성은 가능한 한 많은 하이라이트를 받을 가치가 있습니다. 작업자에게 제공되는 액세스 권한 및 권한과 관련하여 견고한 프로토콜을 사용하면 시스템이 손상되는 것을 방지할 수 있습니다. 성공적인 LotL 공격과 아무데도 가지 않는 공격의 차이가 될 수 있습니다.

3. 전용 위협 사냥 전략을 사용하십시오.

위협 헌터가 협력하여 다양한 형태의 위협을 찾도록 하면 위협 탐지 가능성이 크게 높아집니다. 최고의 보안 사례는 기업(특히 대규모 조직)이 전담 위협 헌터를 고용하고 IT 인프라의 다양한 부분을 살펴보고 가장 치명적이거나 정교한 공격의 희미한 징후라도 확인하도록 요구합니다.

귀하의 비즈니스가 상대적으로 작거나 사내 위협 사냥 팀을 둘 여유가 없다면 위협 사냥 회사 또는 유사한 보안 관리 서비스에 요구 사항을 아웃소싱하는 것이 좋습니다. 그 중요한 공백을 채우는 데 관심이 있는 다른 조직이나 프리랜서 팀을 찾을 수 있습니다. 어느 쪽이든 위협 사냥 작전이 수행되는 한 모든 것이 좋습니다.

4. 엔드포인트 감지 및 대응(EDR) 구성:

침묵의 실패는 사이버 공격을 방어할 때 중요한 용어 중 하나입니다. 자동 실패는 전용 보안 또는 방어 시스템이 사이버 공격을 식별 및 방어하지 못하고 공격이 발생한 후 경보가 울리지 않는 시나리오 또는 설정을 나타냅니다.

다음을 예상되는 이벤트와 병행하여 고려하십시오. 파일이 없는 맬웨어가 어떻게든 보호 계층을 통과하여 네트워크에 액세스할 수 있는 경우 시스템에 오랫동안 남아 있을 수 있습니다. 공격.

이를 위해서는 문제를 극복하기 위해 견고한 EDR(Endpoint Detection and Response) 시스템을 구축해야 합니다. 우수한 EDR 시스템을 사용하면 엔드포인트에 존재하는 의심스러운 항목을 파악하고 격리할 수 있으며 제거하거나 제거할 수도 있습니다.

5. 해킹을 당한 경우 이벤트 및 시나리오를 평가합니다(해킹을 받은 경우).

머신이 해킹을 당하거나 네트워크가 손상되면 공격에 대한 구축 이벤트를 조사하는 것이 좋습니다. 공격자가 성공하는 데 중요한 역할을 한 파일과 프로그램을 살펴보는 것이 좋습니다.

사이버 보안 분석가를 고용하고 과거 공격을 측정하는 데 사용할 수 있는 도구와 시스템에 집중하도록 요청할 수 있습니다. 기업이 공격의 피해자가 되는 대부분의 시나리오는 의심스러운 레지스트리 키와 비정상적인 출력 파일, 활성 또는 여전히 존재하는 위협의 식별이 특징입니다.

영향을 받는 파일이나 기타 단서를 발견한 후에는 철저히 분석하는 것이 좋습니다. 이상적으로는 일이 어디에서 잘못되었는지, 무엇을 더 잘했어야 했는지 등을 파악하려고 노력해야 합니다. 이렇게 하면 더 많은 것을 배우고 귀중한 통찰력을 얻을 수 있습니다. 즉, 보안 전략의 공백을 메워 미래의 LotL 공격을 방지할 수 있습니다.

추천

안티맬웨어로 위협으로부터 PC 보호

PC에서 안티바이러스가 놓칠 수 있는 맬웨어를 확인하고 Auslogics Anti-Malware로 위협을 안전하게 제거하십시오.

Auslogics Anti-Malware는 인증된 Microsoft Silver Application Developer인 Auslogics의 제품입니다.

지금 다운로드

팁

보안은 이 가이드의 주요 주제이므로 우수한 제안에 대해 알려드릴 더 좋은 기회가 없을 것입니다. 컴퓨터나 네트워크의 보안을 강화하려는 경우 Auslogics Anti-Malware가 필요할 수 있습니다. 이 최고 수준의 보호 유틸리티를 사용하면 여러 위협을 처리하기에 충분히 동적이지 않을 수 있는 현재 보안 설정을 개선할 수 있습니다.

악성 프로그램과의 싸움에서 개선은 언제나 환영입니다. 어떤 것이 현재 보안 애플리케이션을 넘어섰는지 알 수 없거나 아예 사용조차 하지 않을 수도 있습니다. 또한 귀하의 컴퓨터가 현재 손상되거나 감염되지 않았다고 확실히 말할 수 없습니다. 어쨌든 안전을 유지할 수 있는 더 나은 기회를 제공하기 위해 권장 응용 프로그램을 다운로드하고 실행하는 것이 좋습니다.