2020 년 제로 데이 가이드:최근 공격 및 고급 예방 기술
일라이 바바 티
제로 데이 취약점을 통해 위협 행위자는 보안 맹점을 활용할 수 있습니다. 일반적으로 제로 데이 공격에는 제로 데이 취약점 식별,관련 악용 생성,취약한 시스템 식별 및 공격 계획이 포함됩니다. 다음 단계는 침투 및 출시입니다.
이 문서에서는 마이크로 소프트,인터넷 익스플로러,소포스를 대상으로 세 가지 최근의 제로 데이 공격을 검사합니다. 마지막으로 네 가지 제로 데이 보호 및 예방 솔루션에 대해 알아봅니다.
제로데이 취약성이란?
제로데이 취약점은 아직 공개되지 않았거나 공격의 결과로만 발견된 중대한 위협입니다. 정의에 따르면 공급 업체와 사용자는 아직 취약점에 대해 알지 못합니다. 제로 데이라는 용어는 위협이 발견 된 시간(제로 데이)에서 비롯됩니다. 이 날부터 보안 팀과 공격자 사이에 레이스가 발생하여 위협을 먼저 패치하거나 악용합니다.
제로 데이 공격의 해부학
제로 데이 공격은 범죄자가 제로 데이 취약점을 악용 할 때 발생합니다. 제로 데이 공격의 타임 라인에는 종종 다음 단계가 포함됩니다.
- 취약점 식별:범죄자는 아직 보고되지 않은 취약점에 대해 오픈 소스 코드 및 독점 애플리케이션을 테스트합니다. 공격자는 아직 공개되지 않은 취약점에 대한 정보를 구매하기 위해 암시장으로 전환 할 수도 있습니다.
- 익스플로잇 생성:공격자는 검색된 취약점을 악용할 수 있는 키트,스크립트 또는 프로세스를 만듭니다.
- 취약한 시스템 식별:악용이 가능한 경우 공격자는 영향을 받는 시스템을 찾기 시작합니다. 여기에는 자동 스캐너,봇 또는 수동 프로빙이 포함될 수 있습니다.
- 공격 계획:범죄자가 수행하려는 공격 유형에 따라 이 단계가 결정됩니다. 공격 대상이 되는 경우 공격자는 일반적으로 잡힐 가능성을 줄이고 성공 가능성을 높이기 위해 정찰을 수행합니다. 일반적인 공격의 경우 범죄자는 피싱 캠페인이나 봇을 사용하여 가능한 한 빨리 많은 대상을 공격 할 가능성이 더 큽니다.
- 침입 및 실행:취약점에 먼저 시스템에 침투해야 하는 경우 공격자는 악용을 배포하기 전에 작업을 수행합니다. 그러나 취약점을 악용하여 항목을 얻을 수 있는 경우 악용이 직접 적용됩니다.
최근 공격 사례
제로 데이 공격을 효과적으로 방지하는 것은 모든 보안 팀에게 중요한 과제입니다. 이러한 공격은 경고없이 제공되며 많은 보안 시스템을 우회 할 수 있습니다. 특히 서명 기반 메소드에 의존하는 사람들. 보안을 개선하고 위험을 줄이려면 최근에 발생한 공격 유형에 대해 먼저 알아봅니다.
마이크로소프트
2020 년 3 월,마이크로소프트는 사용자들에게 두 개의 취약점을 악용하는 제로 데이 공격을 경고했다. 이 취약점은 지원되는 모든 윈도우 버전에 영향을 어떤 패치는 주 후까지 예상되지 않았다. 현재 이 취약점에 대한 식별자가 없습니다. 2375>
공격 대상 원격 코드 실행 취약점 이 라이브러리는 포스트 스크립트 유형 1 글꼴을 관리하기 위해 윈도우에 내장되어 있습니다. 현금 지급기의 결함은 원격으로 스크립트를 실행하는 악성 문서를 사용하는 공격자를 사용할 수 있습니다. 문서는 스팸을 통해 도착하거나 의심하지 않는 사용자가 다운로드했습니다. 열,또는 윈도우 파일 탐색기로 미리 볼 때,스크립트는 사용자 장치를 감염,실행됩니다.
인터넷 익스플로러
마이크로소프트의 레거시 브라우저인 인터넷 익스플로러는 최근 제로데이 공격의 또 다른 출처이다. 이 취약점은 스크립팅 엔진이 메모리의 객체를 관리하는 방식의 결함으로 인해 발생합니다. 그것은 매우 간단합니다.
공격자는 사용자가 결함을 악용하기 위해 제작 된 웹 사이트를 방문하도록 속여이 취약점을 활용할 수 있습니다. 이는 피싱 이메일 또는 링크 및 서버 요청의 리디렉션을 통해 수행 할 수 있습니다.
소포스
2020 년 4 월,소포스의 방화벽에 대한 제로데이 공격이 보고되었다. 이러한 공격은 방화벽의 기본 제공 사후 데이터베이스 서버를 대상으로 하는 취약점을 악용하려고 시도했습니다.
악용에 성공한 경우 이 취약점을 통해 공격자는 데이터베이스에 코드를 삽입할 수 있습니다. 이 코드는 방화벽 설정을 수정하거나 시스템에 대한 액세스 권한을 부여하거나 맬웨어 설치를 활성화하는 데 사용할 수 있습니다.
보호 및 예방
제로데이 공격을 적절히 방어하려면 기존 도구와 전략 위에 고급 보호를 계층화해야 합니다. 다음은 알 수 없는 위협을 탐지하고 방지하는 데 도움이 되도록 설계된 몇 가지 솔루션 및 방법입니다.
차세대 바이러스 백신
차세대 바이러스 백신은 기존 바이러스 백신으로 확장됩니다. 기계 학습,행동 감지 및 악용 완화 기능을 포함하여이 작업을 수행합니다. 이러한 기능을 통해 알려진 서명이나 파일 해시가 없는 경우에도 맬웨어를 탐지할 수 있습니다.
또한 이러한 솔루션은 종종 클라우드 기반이므로 툴링을 격리 및 규모에 맞게 배포할 수 있습니다. 이렇게 하면 모든 장치가 보호되고 장치가 영향을 받더라도 보호 기능이 활성 상태로 유지되도록 할 수 있습니다.
엔드포인트 탐지 및 대응
엔드포인트 탐지 및 대응 솔루션은 엔드포인트에 대한 가시성,모니터링 및 자동화된 보호를 제공합니다. 이러한 솔루션은 모든 엔드포인트 트래픽을 모니터링하고 인공 지능을 사용하여 의심스러운 엔드포인트 동작을 분류할 수 있습니다. 이러한 기능을 사용하면 공격 방법에 관계없이 위협을 차단할 수 있습니다.
또한 사용자 또는 파일을 추적하고 모니터링하는 데 사용할 수 있습니다. 추적된 측면이 일반 지침 내에서 동작하는 한 아무런 조치도 취해지지 않습니다. 그러나 행동이 벗어나는 즉시 보안 팀에 경고 할 수 있습니다.
이러한 기능은 특정 위협에 대한 지식이 필요하지 않습니다. 대신 기능은 위협 인텔리전스를 활용하여 일반화된 비교를 수행합니다. 이는 제로 데이 공격에 대한 효과적인 제로데이 공격을 가능하게 합니다.
이를 통해 팀은 데이터 인증 조치를 적용하고 연결 지점 간의 무결성 및 기밀성을 확인할 수 있습니다. 또한 암호화 및 보안 키 관리 및 교환을 가능하게합니다.
모든 네트워크 트래픽을 인증하고 암호화할 수 있습니다. 이를 통해 연결을 보호하고 비 네트워크 또는 의심스러운 트래픽을 신속하게 식별하고 대응할 수 있습니다. 이러한 기능을 사용하면 제로데이 취약점 악용의 어려움을 증가시키고 공격이 성공할 가능성을 줄일 수 있습니다.
네트워크 액세스 제어 구현
네트워크 액세스 제어를 통해 매우 세분화된 방식으로 네트워크를 세그먼트화할 수 있습니다. 이를 통해 자산에 액세스 할 수있는 사용자 및 장치와 어떤 수단을 통해 정확하게 정의 할 수 있습니다. 여기에는 적절한 보안 패치 또는 도구를 사용하여 장치 및 사용자에게만 액세스를 제한하는 것이 포함됩니다.
네트워크 액세스 제어를 통해 생산성을 방해하거나 외부 액세스를 완전히 제한하지 않고 시스템을 보호할 수 있습니다. 예를 들어,소프트웨어를 서비스로 호스팅할 때 필요한 액세스 유형입니다.
이러한 컨트롤은 네트워크의 측면 이동을 방지 할 수 있기 때문에 제로 데이 위협으로부터 보호하는 데 유용합니다. 이를 통해 제로 데이 위협이 초래할 수있는 모든 피해를 효과적으로 격리 할 수 있습니다.
안전 유지
최근의 제로데이 공격은 점점 더 많은 위협 행위자가 엔드포인트 사용자에서 쉬운 표시를 찾는다는 것을 보여줍니다. 마이크로 소프트에 제로 데이 공격은 개방 악성 코드로 사용자를 속여 현금 인출기 취약점을 악용. 위협 행위자가 인터넷을 악용 제로 데이 취약점을 탐색 할 때,그들은 악의적 인 사이트를 방문하도록 사용자를 속였다. 소포스에 대한 제로 데이 공격은 잠재적으로 위협 행위자에 대한 사용자 액세스 권한을 부여 할 수 있습니다.
그러나 제로 데이 공격은 예측하기 어렵지만 이러한 공격을 예방하고 차단할 수 있습니다. 또한 차세대 바이러스 백신은 알려진 서명에 의존하지 않고도 맬웨어로부터 보호 기능을 제공합니다. 네트워크 액세스 제어는 악의적인 행위자에 대한 액세스를 거부할 수 있는 도구를 제공합니다. 위협 행위자가 우위를 차지하지 않도록하십시오. 이러한 여러 도구와 접근 방식을 활용하고 계층화함으로써 직원,데이터 및 조직을 더 잘 보호 할 수 있습니다.
Leave a Reply