공격자가 한 계정이나 디바이스를 침해하고 다른 계정이나 디바이스에 액세스하기 위해 침해를 사용하는 경우 사이버 보안에서 내부 이동이 발생합니다. 공격자가 네트워크를 통해 이동하고 민감한 데이터를 도난당할 때까지 점점 더 높은 권한으로 액세스 권한을 얻게 되면, 일반적으로 측면 이동과 권한 에스컬레이션이 함께 이루어집니다. 공격자는 네트워크에 모니터링 툴이 없는 경우 탐지 없이 내부 이동을 확보할 수 있습니다. 내부 이동을 막기 위해 조직은 비정상적인 패턴을 감지할 수 있는 복원력이 뛰어난 보안 인프라가 필요합니다.
수평적 움직임 이해하기
민감한 데이터는 일반적으로 소수의 사용자 계정으로만 액세스할 수 있습니다. 반면, 권한이 낮은 사용자 계정은 훨씬 더 많기 때문에 공격자가 초기 침해에 대한 계정이 필요할 때 더 많은 기회를 제공합니다. 예를 들어, 법인세 문서는 일반적으로 회계사, CFO 및 재무 분석가만 액세스할 수 있습니다. 이러한 계정은 몇 개에 불과하지만, 낮은 권한의 계정은 멀웨어를 네트워크에 주입하거나 금융 직원에게 피싱 이메일을 보내 계정 자격 증명을 얻는 데 사용될 수 있습니다.
또한, 횡방향 이동을 통해 공격자들은 다른 디바이스에 액세스할 수 있습니다. 예를 들어, 공격자는 서버에 로컬 머신으로 액세스할 수 있는 워크스테이션의 계정을 손상시킵니다. 맬웨어는 서버에 설치할 수 있습니다. 멀웨어는 랜섬웨어, 원격 액세스 툴(RAT) 또는 데이터 유출에 사용되는 스크립트일 수 있습니다. 대부분의 수평 이동에서 목표는 민감한 데이터를 확보하는 것입니다.
측면 이동에 사용되는 기법
대부분의 내부 이동에서 초기 타협은 비즈니스 사용자 계정입니다. 공격자들은 크리덴셜 스프레이, 해시, 피싱 또는 멀웨어 인젝션 등의 몇 가지 전략을 통해 이러한 계정에 액세스할 수 있습니다. 다음은 각 전략에 대한 간략한 설명입니다.
- 자격 증명 스프레이: 공격자는 알려진 자격 증명을 사용하여 인증 요청을 스크립트로 만듭니다. 사용자가 여러 계정에 동일한 비밀번호를 할당하면, 특히 2단계 인증이 구성되지 않은 경우, 한 웹사이트에서 유출된 크리덴셜이 사용자의 비즈니스 계정에서 공격자를 인증할 수 있습니다.
- 해시: 암호 해시 데이터베이스는 일반 텍스트 값을 공개하지 않지만, 무차별 대입 사전 공격은 일반 텍스트 값을 해시 뒤에 노출시킬 수 있습니다.
- 피싱: 비즈니스 이메일 침해(BEC)에서 공격자는 이메일 계정을 침해하고 권한이 높은 사용자에게 피싱 이메일을 보냅니다.
- 멀웨어 인젝션: 원격 액세스 툴과 데이터를 도용하는 멀웨어는 네트워크의 다른 시스템이나 계정에 대한 액세스를 제공할 수 있습니다.
공격자들은 종종 피싱이나 멀웨어를 사용하여 우선 낮은 권한의 계정에 액세스합니다. 공격자는 해당 사용자의 이메일 계정을 사용하여 재무, 인사 또는 경영진의 다른 사용자에게 특정 리소스에 대한 액세스를 요청하는 메시지를 보냅니다. 피싱 표적이 의무화되면 공격자는 민감한 데이터에 액세스할 수 있습니다.
측면 이동을 촉진하는 툴과 기술
사이버 범죄자들은 일련의 툴을 활용하여 다양한 공격을 수행합니다. 공격자 그룹들은 자체적으로 구축할 수 있지만, 해킹 커뮤니티에는 자체적으로 무료로 사용할 수 있는 애플리케이션이 있습니다. 다음은 몇 가지 예입니다.
- 미미카츠: 일부 프로그램은 메모리에 자격증명을 캐시합니다. Mimikatz는 다른 서버나 워크스테이션에 액세스하기 위해 캐시된 크리덴셜에 대한 컴퓨터 메모리를 조사합니다.
- PsExec: Microsoft는 네트워크 관리자를 위해 PsExec을 개발했습니다. 이를 통해 관리자는 원격 서버에서 서비스를 시작하거나 중지할 수 있습니다. PsExec은 원격 서버에서 멀웨어를 시작하는 데 사용될 수 있습니다. 멀웨어는 데이터 또는 자격 증명을 훔치는 데 사용될 수 있습니다.
- PowerShell: PowerShell은 Microsoft의 스크립팅 및 스크립팅 언어 버전이지만, 원격 컴퓨터에 액세스하거나, 로컬 장치에 멀웨어를 다운로드하거나, 네트워크에서 악의적인 활동을 수행하는 데 사용할 수 있습니다.
측면 이동 감지 및 방지
초기 침해 후 공격자는 권한을 높이거나 네트워크 내부로 이동할 수 있는 시간이 제한되어 있습니다. 낮은 권한의 계정을 분리하기 전에, 조직은 초기 데이터 침해 후 추가적인 피해를 막기 위해 이상한 네트워크 동작을 탐지해야 합니다. 조직들은 비정상적인 활동을 감지하고 측면 이동을 멈추기 위한 몇 가지 전략을 가지고 있습니다.
- 엔드포인트 보호 사용: 엔드포인트(예: 클라우드 인프라 또는 사용자 원격 장치)에서 실행되는 에이전트는 자동으로 소프트웨어를 업데이트하고, 안티바이러스가 실행되고 있는지 확인하며, 멀웨어가 설치되지 않도록 합니다.
- 네트워크 모니터링 활성화: 네트워크 모니터링 솔루션을 사용하여 사용자 계정의 행동 패턴을 지속적으로 관찰하세요. 예를 들어, 과세 시즌 이후 세금 서류에 대한 액세스 요청 수가 증가하면 타협을 의미할 수 있습니다. 네트워크 모니터링은 관리자에게 활동을 검토하도록 알립니다.
- 보안 교육 제공: 높은 권한을 가진 사용자들을 교육하여 피싱 및 소셜 엔지니어링을 식별하세요.
- 네트워크 세분화 구성: 네트워크를 세분화하면 민감한 정보를 저장하는 한 세그먼트에서 다른 세그먼트로의 액세스가 차단됩니다. 예를 들어, 재무 부문은 영업 부문의 요청을 차단해야 합니다. 이 전략은 수평 이동의 이동성을 감소시킵니다.
- 데이터 암호화: 데이터 침해가 발생하는 경우, 암호화된 데이터는 공격자가 읽을 수 없습니다.
결론
내부 이동을 막기 위해, 성공의 열쇠는 선제적 탐지 및 모니터링, 네트워크 세분화 및 디바이스 보호입니다. 또한 규정 준수 규정에 따라 민감한 데이터 액세스 요청을 모니터링하고 감사해야 합니다. SIEM(보안 정보 및 이벤트 관리)은 관리자에게 비정상적인 행동을 모니터링하고 경고하기 위한 좋은 솔루션입니다. 보안 인프라를 보완하려면 직원 및 계약업체가 피싱과 같은 잠재적 공격을 식별하고 보고하는 데 도움이 되는 교육을 제공하십시오.
