이메일 보안 – Deep Scan 기존의 스팸 필터링만으로 이메일 공격에 대응이 충분한가?

Presentation on theme: "이메일 보안 – Deep Scan 기존의 스팸 필터링만으로 이메일 공격에 대응이 충분한가?"— Presentation transcript:

1 이메일 보안 – Deep Scan 기존의 스팸 필터링만으로 이메일 공격에 대응이 충분한가?
Trend Micro Korea

2 최근 A.P.T 공격 사례 및 기법 문서파일 기반의 지능형 A.P.T 공격 대응 방안 Trend Micro Messaging Security for A.P.T Prevent Trend Micro 회사 소개

3 APT 공격 예방을 위한 10가지 방법 - 보안뉴스 2012년8월17일
공격 방어위해 정부 차원 제도 마련 시급 전자신문 2012년 08월 16일 국가 정보수집 목적의 표적형 공격 보안뉴스 2012년 8월14일 APT 공격을 위한 악성코드 대량유포 진행중! 데일리시큐 2012년8월16일 APT 공격 예방을 위한 10가지 방법 - 보안뉴스 2012년8월17일 더욱 강력해진 APT악성코드가 나왔다. 전자신문 2012년8월21일 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

4 3/5/2017 최근 A.P.T 공격 사례 및 기법 Using is the most efficient way to reach targets. Attached documents In a typical targeted attack, a target receives a contextually relevant that encourages a potential victim to click a link or open a file. first-stage malware 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

5 Source : http://www.malwaretracker.com/
최근 A.P.T 공격 사례 및 기법 Source : 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

6 최근 A.P.T 공격 사례 및 기법 A Mail From Your Boss
When you receive this mail, a mail from your colleague or your boss, talking something about your job, will you open the attachment? 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

7 최근 A.P.T 공격 사례 및 기법 Internal Notification Source : 보안뉴스 2012년08월14일자
3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

8 전형적인 A.P.T 공격의 흐름 1 2 3 4 5 6 3/5/2017 Intelligence Gathering
목표 대상 선정 및 정보 수집(페이스북, 트위터 등) 1 Point of Entry Social Engineering 수법을 이용하여 목표 대상에 Zero-day 백도어를 투입(주로 이메일 또는 메신저 등을 이용) 2 Command & Control (C&C) Communication 투입된 백도어를 통해서 C&C서버와 지속적으로 통신 3 Lateral Movement 목표 대상 네트워크의 다른 컴퓨터들에도 백도어를 전파. 목표 대상 확장.. 4 In a typical targeted attack, a target receives a contextually relevant that encourages a potential victim to click a link or open a file. first-stage malware Asset/Data Discovery 포트스캔 등의 방법으로 목표 대상 네트워크의 중요 자료(파일서버, 데이터 베이스)에 대한 접근 권한을 확보. 5 Data Exfiltration 암호화된 통신을 이용하여 외부의 다수 서버에 중요 자료를 지속적으로 전송 6 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

9 A.P.T 공격 사례: 코카콜라 C&C서버와 통신 코카콜라에서의 A.P.T 공격 사례 1 타겟 파악 및 조사
Paul Etchels Pres, Pacific Region CEO의 비서로부터 발송된 것으로 위장된 피싱 메일을 발송 2 C&C서버와 통신 설치된 다수의 툴이 이메일과 문서를 유출 키스트로커가 키입력을 가로챔 관리자 권한을 획득 사내 네트워크를 자유롭게 액세스 3 4 5 China Huiyuan Juice Group 인수 프로젝트와 관련한 문서들과 이메일을 유출 6 3/5/2017 Confidential | Copyright 2012 Trend Micro Inc.

10 최근 A.P.T 공격 사례 및 기법 문서파일 기반의 지능형 A.P.T 공격 대응 방안 Trend Micro Messaging Security for A.P.T Prevent Trend Micro 회사 소개

11 문서파일 기반의 지능형 A.P.T 공격 대응은? 문서파일 취약성 탐지 전용 엔진 실시간/정기적인 메일서버/클라이언트 스캔 수행
기존 Signature 기반의 탐지로는 대응 불가능 !!! 다양한 문서 타입의 취약점을 분석할 수 있는 엔진 필요 A.P.T 대응 솔루션의 필수 요건 실시간/정기적인 메일서버/클라이언트 스캔 수행 사내 유입 메일에 대한 A.P.T 위협을 실시간으로 감시 메일 서버 스토리지 스캔 실시간 예측분석과 연계 샌드박스를 이용한 실시간 예측 분석 추가 악성파일 다운로드 행위 분석 Global A.P.T Intelligence Service연계 A.P.T 공격의 Knowledge base 이용 WRS(Web Reputation Service),FRS(File Reputation Service), ERS( Reputation Service), ARS(Application Reputation Service) 실시간 정보 조회: C&C List 추출, 악성코드 상관관계 /그룹정보 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

12 트렌드마이크로 APT 전용 엔진(ATSE)
첨부파일 기반 Exploit 진단 0-day Exploits: 예: CVE (Adobe Flash), CVE (MS Office) Common Vulnerabilities: 예: CVE (Adobe), CVE (RTF) 등 휴리스틱 및 패턴의 혼합 탐지기법 휴리스틱 엔진에 의하여 “HEUR_”명으로 진단되는 파일 시그너쳐 기반 패턴에 의하여 “EXPL_”명으로 진단되는 파일 지원 문서 형식 MS Office, PDF, HWP, Flash, OLE, RTF, LNK 등 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

13 최근 A.P.T 공격 사례 및 기법 문서파일 기반의 지능형 A.P.T 공격 대응 방안 Trend Micro Messaging Security for A.P.T Prevent Trend Micro 회사 소개

14 Trend Micro Custom Defense A.PT 공격 대응에 필요한 완벽한 라이프사이클 제공
3/5/2017 Trend Micro Custom Defense A.PT 공격 대응에 필요한 완벽한 라이프사이클 제공 탐지 을 통한 A.P.T 위협 탐지 및 방어 Trend Micro security products 분석 고객환경에 맞는 가상화분석을 통한 위협에 대한 분석 정보 제공 적용 고객환경에 맞는 블랙리스트 와 패턴을 적용하여, 네트워크 보안 환경 대비 Today’s most dangerous attacks are those targeted directly and specifically at an organization – its people, its systems, its vulnerabilities, its data. Combating these custom attacks requires a custom defense. The Trend Micro Custom Defense: • Actively monitors an organization’s specific environment • Uses specialized detection methods tailored to its specific host configurations • Leverages deep analysis and relevant intelligence to generate custom updates to its protection points • Provides custom and relevant intelligence to guide a rapid remediation response Trend Micro is the only vendor who can deliver the complete and tailor-made Detect – Analyze – Adapt – Respond 라이프사이클 of a custom defense solution. Trend gets APTs and is has created a solution that offers a best-in-class detection & analysis product, plus an overall strategy to adapt and respond to these attacks. Other major security vendors lack the specialized detection and cross-product adaptive protection, while niche vendors supply only a limited, stand-alone detection and analysis capability. The meaning of “custom” is about detection, analysis and blocking techniques that are specific and relevant to a particular customers environment and the attacks it receives. To achieve this, some true customization can be done by the customer itself – e.g., creating custom sandbox environments that duplicates their employee desktop configurations and application. But this or any other configuration, custom rule creation, or custom security signature updates are all accomplished using standard VMware tools and Trend Micro products. There is very little effort involved and no need for 3rd party customization experts. The Custom Defense – How It Works Detect – what standard defenses can’t Trend Micro Deep Discovery is at the core of the Custom Defense solution. Its specialized network inspection engines and custom sandbox simulation identify zero-day malware, malicious communications, and attacker activities that are invisible to standard security defenses. Deep Discovery sandbox simulation is also integrated with Trend Micro Messaging Security products, giving them the power to block the spear phishing and social engineering exploits commonly used by attackers in the initial phase of a targeted attack. Deep Discovery supports an open Web Services interface so that any security product can integrate with the custom sandbox. Analyze – using real-time global and local intelligence Deep Discovery provides in-depth profiling of discovered threats based on sandboxing, packet capture and other analytics. The analysis is augmented by the intelligence of the Trend Micro Smart Protection Network and the largest set of threat analysts in the industry. Attack-relevant intelligence is also directly integrated into Deep Discovery via the Threat Connect portal –to help quickly characterize an attack and guide assessment, containment and remediation procedures. Adapt – security defenses to block the new threat To provide the truly adaptive protection of a custom defense, the in-depth threat profiles of Deep Discovery analysis can generate automated security updates to Trend Micro and other security products to immediately strengthen protection against further attack. Respond – with rapid containment and remediation Deep Discovery threat profiles, Threat Connect intelligence and network-wide event collection provide 360 degree contextual visibility to help the customer rapidly identify and remediate the full extent of the attack. Deep Discovery Advisor 공격에 대한 정보 및 이벤트를 통한 빠른 위협 제거 및 가이드 제공 대응 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

15 트렌드마이크로 Deep Scan 메일게이트웨이 격리 맞춤형 샌드박스
트렌드마이크로 메시징게이트웨이 보안 제품과 A.P.T대응 분석장비의 통합으로 구성되며, 기존 스팸기능과 이메일 첨부파일 기반의 표적형 A.P.T 공격을 효과적으로 탐지, 분석, 대응할 수 있는 맞춤형 방어(Custom Defense)를 제공합니다. 메일게이트웨이 IMSVA Internet FW Cloud Center 격리 기업내부 맞춤형 샌드박스 DDA 3/5/2017 Confidential | Copyright 2012 Trend Micro Inc.

16 Trend Micro Messaging Security
즉각적인 보호 웹 검증 및 이메일 검증 강력하고 확장된 안티스팸 기능 A.P.T 진단 엔진 적용 안티바이러스 & 안티스파이웨어 트루-파일타입 진단 컨텐츠 필터링 데이터 유출 방지 그룹웨어에 최적화된 ScanMail Exchange 2010, 2007, 2003 지원 Domino R8.x 64비트 지원 추가 또는 변형된 메시지만 검색 플랫폼에 최적화된 설정 사서함 데이터 베이스 검색 SMTP 게이트웨이용 IMSVA SMTP 게이트웨이에서 Virtual Appliance 형태로 가상머신에 쉽게 설치 Enterprise환경에 적합한 대용량 메일 처리 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

17 맞춤형 샌드박스를 이용한 행동기반 분석 사용자 정의 샌드박스 라이브 모니터링 Core Threat Simulator
WinXP SP3 Win7 Base Isolated Network Filesystem monitor Registry Process Rootkit scanner Network driver Fake Explorer Fake Server Fake AV API Hooks Hardened Core Threat Simulator 사용자 정의 샌드박스 사용자 정의 OS Image 시간가속 가상분석 회피 탐지기술 32 & 64 bits 코드 실행, 문서파일 & URL 검증 라이브 모니터링 Core integration(hooking, dll injection..) 네트워크 모니터링 이벤트 상관관계 분석 3/5/2017 Confidential | Copyright 2012 Trend Micro Inc.

18 Deep Discovery Advisor
샌드박스 기반의 실행 및 행위 분석 리스크 분석 결과 IMSVA or ScanMail 의심 첨부 파일 격리 안전한 메일 파일 위협여부 감사 1 3 Deep Discovery Advisor 2 Win 7 Office10 Custom Win 8 Office07 Sandbox에서의 실행 및 행위분석 64-bit OS …. < 0.1% <1 min 배달? (Risk + policy) 3/5/2017 Confidential | Copyright 2012 Trend Micro Inc.

19 Trend Micro Deep Scan 구성
Risk Level Management DDA에서 분석한 결과는 High, Medium, Low, No Risk로 구분 설정한 Risk Level에 따라 배달 또는 영구 격리 여부 결정 인터넷 1. 외부로부터 메일을 수신 2. A.P.T 의심 메일을 임시 격리 3. A.P.T 의심 첨부 파일을 분석기에 전달 InterScan or ScanMail Exchange/Domino Deep Discovery Advisor (DDA) 4. 시뮬레이션 결과를 피드백 의심 첨부파일의 행위 분석 5. 피드백 결과에 따라 A.P.T메일은 영구 격리 5. 피드백 결과에 따라 정상메일만을 배달 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

20 Drop new malicious files
문서파일 기반의 A.P.T 예측분석 사례 Drop new malicious files C&C communication Create registry Autorun entries pdf 파일 열람시 다음과 같은 분석 결과 생성 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

21 최근 가장 많은 A.P.T 공격 사례 및 기법 문서파일 기반의 지능형 A.P.T 공격 대응 방안 Trend Micro Messaging Security for A.P.T Prevent Trend Micro 회사 소개

22 Global Threat Intelligence Trend Micro는 세계 최대의 독자적인 보안 공급사입니다.
3/5/2017 Trend Micro What We Do How We Do It Who We Are 서버, 가상화와 클라우드 보안에서의 글로벌 리더 혁신적인 보안 솔루션 사업 및 고객에 적합한 디지털 정보 교환 방어 전세계12개 TrendLabs 의1,200 침해 전문가 ; 1,492 R&D엔지니어 에바 첸(Eva Chen): CEO 및 창립자 창립: 1988년 오피스: 36개 직원: 4942명 매출: $1.2B USD 자본금: $1.65B USD 본사: 도쿄 운용 수입: $330M USD 최근 4년간 $400M USD 와 500 여명의 엔지니어를 투자해 클라우드 관련 솔루션 개발 For Deep Discovery – focus on 1200 experts and SPN As a global leader in cloud security, Trend Micro develops innovative security solutions that make the world safe for businesses and consumers to exchange digital information. As the largest independent security vendor, with 23+ years of dedicated security expertise, we’re recognized as the market leader in cloud, virtualization and server security. Trend Micro’s dominance in the cloud security market is the product of the focus and dedication our company has poured into cloud security innovations, which has enabled us to extend the reach of the global cloud infrastructure while maximizing security, reducing complexities, and providing a better user experience. Over the last four years we’ve invested $400M USD and 500 engineers to this effort. Trend Micro has 36 offices globally, 1200 threat experts in 12 TrendLabs locations across the globe. Trend Micro’s CEO, Eva Chen, co-founded the company in 1988 and continues to drive the company into the future. Trend Micro has almost 5000 employees located around the globe and Annual revenues of $1.2B USD Roughly 60% of our revenue comes from business and 40% from consumer. Annual Operating Income: $330M US Annual Cash Assets: $1.65B US We are headquartered in Tokyo and traded on the Tokyo Stock Exchange. Trend Micro protects 48 of the top 50 global corporations. Global Threat Intelligence Trend Micro는 세계 최대의 독자적인 보안 공급사입니다. 전세계 상위 50개 사 중 48개사 보안 방어 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

23 Trend Micro Consistently Outperforms the Competition
3/5/2017 Trend Micro Consistently Outperforms the Competition COPORATE 2010 CONSUMER 2010 COPORATE 2010 CONSUMER 2010 COPORATE 2010 SMB 2010 CORPORATE 2011 CONSUMER 2011 (TIE) (TIE) Symantec 3rd 1st (TIE) 7th 8th 5th 5th 5th 1st (TIE) McAfee 5th 4th 2nd 2nd 4th 2nd 4th 11th Kaspersky Again and again, test results continue to confirm the effectiveness of Trend Micro’s cloud-era security in enabling lighter, leaner solutions while blocking over 230 million threats daily for customers worldwide. As new threats and vulnerabilities emerge, the Smart Protection Network rapidly delivers the global security reach with the personalized, local threat intelligence that customers need to stay ahead of the targeted attack nature of today’s threats.   - 3rd 5th 9th - 4th - 7th ESET - - 6th 10th - 3rd - - 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc. Confidential | Copyright 2012 Trend Micro Inc.

24 메일 보안 솔루션 국내외 주요 고객사 국가 고객사명 사용자 국내 현대기아자동차 POSCO 한전 삼성 SK그룹 롯데그룹
50,000 POSCO 60,000 한전 20,000 삼성 300,000 SK그룹 롯데그룹 12,000 스탠다드차타드제일은행 10,000 일본 H사 250,000 P기관 120,000 정부기관 T사 110,000 E기관 65,000 T기관 중국 제1공산은행 460,000 인도 Cognizant Technology INFOSYS Technologies 70,000 홍콩 Office of Government 대만 CHT 30,000 3/5/2017 Confidential | Copyright 2013 Trend Micro Inc.

25 경쟁사 비교 기능 트렌드마이크로 F사 A사 A.P.T 메일 탐지 및 행위 분석 O (의심첨부파일 검사)
(전수검사, 메일지연시간 큼) (전수검사, Agent 방식) 안티바이러스/안티스파이웨어 클라우드 방식 악성코드 진단 X 피싱메일 차단 Web장비연동으로 가능 C&C 메일 차단 정규식 기반 정보유출 차단(DLP) 시그너쳐기반 스팸 차단 블랙리스트 IP주소 DB기반 스팸 차단 ( Reputation Service) 단위 시간 내 스팸 과다 전송 IP 차단 단위 시간 내 바이러스 과다 전송 IP 차단 DKIM (DomainKeys Identified Main) 기반 스팸 차단 악성 URL 검증 및 차단 (Web Reputation Service) DHA(Directory Harvest Attack) 스팸 차단 Bounced Mail 차단 일별/주별/월별 트래픽 및 악성코드 레포트 Exchange Server & Domino Server 연동 3/5/2017 Confidential | Copyright 2012 Trend Micro Inc.

26 Demo Trend Micro Korea 3/5/2017
Confidential | Copyright 2013 Trend Micro Inc.

27 Deep Scan Demo IMSVA –> MS SMTP Mail Server Internet
Deep Discovery Advisor (DDA) Internet IMSVA (Vmware VM) Anti-Virus Anti-Spam ATSE(APT 탐지 및 격리) Mail Server Microsoft SMTP/POP3 도메인: Antivirus.co.kr 사용자: mspark, kdhong 3/5/2017 Copyright 2013 Trend Micro Inc.