솔루션 개요:

• 이 공항은 엔드포인트 및 인프라 전반에 걸쳐 탁월한 가시성을 제공하기 위해 NanoOS 기술을 사용하는 IBM Security® QRadar® EDR 소프트웨어를 이용했습니다.       
                
• QRadar EDR의 행동 엔진은 격리된 네트워크에서도 성능 저하 없이 작동합니다.
  
  
• 이 공항에서는 강력한 위협 추적 기능을 사용하여 인시던트를 재구성하고 분석할 수 있습니다.

이 공항에서는 일부 엔드포인트의 속도가 느려진 것으로 보였기 때문에, 에어 갭 네트워크에서 보안 상태 검사를 실행하기 위해 IBM Security QRadar EDR 소프트웨어를 사용했습니다. QRadar EDR을 초기 세그먼트에 배포한 후, 엔진은 소수의 디바이스에서 발생할 수 있는 잠재적인 악성 활동을 포착했습니다. 초기 분석에서는 공용 접근이 가능한 키오스크가 초기 진입 지점으로 나타났고, 그 다음 분석에서는 체크인 구역의 한 디바이스가 두 번째 진입 지점으로 나타났습니다. 이 두 개의 악성 벡터가 제한된 수의 디바이스에 퍼져 다른 네트워크 세그먼트에 영향을 미친 것입니다.

QRadar EDR 플랫폼이 제공한 가시성을 통해 업무를 처음부터 재구성하고 공항의 비즈니스 연속성을 저하시키지 않고도 감염을 안전하게 치료할 수 있었습니다.

근본 원인 분석

초기 전개에서 몇 가지 이상 작동을 발견했습니다. 한 애플리케이션이 인메모리 키로거를 기본 브라우저의 숨겨진 인스턴스에 주입하여 설치했습니다. 그런 다음, 또 다른 스레드가 디스크를 스크러빙하여 Microsoft Word 파일, PDF 파일, 쿠키, 브라우저 데이터베이스를 탐색했습니다. 이러한 정보가 숨겨진 폴더로 수집되었으며 커맨드 및 컨트롤(C2) 서버로의 전송 시도가 일정한 간격으로 발생했으나, 네트워크가 외부로부터 완전히 격리되어 있었기 때문에 성공하지는 못했습니다.

감염 경로를 더 자세히 살펴본 결과 흥미로운 결과가 나왔습니다. 벡터의 크기가 비정상적으로 컸고 로컬 바이러스 백신뿐만 아니라 샌드박스 분석까지 우회하기 위한 일련의 메커니즘이 포함되어 있었습니다. 크기가 크다는 것은 안티바이러스 에뮬레이션 엔진을 회피하려는 시도의 일환일 가능성이 높았습니다. 이러한 시스템은 일반적으로 전체 바이너리의 작은 청크만을 에뮬레이션하기 때문입니다.

최종적으로 서로 다른 두 가지 벡터가 확인되었으며, 하나는 공용 키오스크에 설치되었고 다른 하나는 체크인 관리 네트워크 센서의 일부를 구성하는 디바이스에 설치되었습니다. 두 벡터는 서로 다르게 생겼지만(주로 탐지 회피를 위해 사용되는 엄청난 양의 정크 인스트럭션으로 인해) 멀웨어는 동일하게 보였습니다. 두 가지 사례 모두에서 같은 C2 서버에 접속하려는 시도가 있었고 같은 방식의 움직임이 있었습니다.

공격 재구성

QRadar EDR이 유출 후에 배포된 경우 모든 정보를 이용할 수 없고, 기본 인프라는 최소한의 운영 시스템 수준의 로깅만 사용합니다. 최소의 정보 양에도 불구하고, 추적 분석을 통해 5개월 전에 발생한 감염과 서로 다른 두 개의 USB 드라이브로부터 며칠 간격으로 감염된 두 개의 엔드포인트가 도출되었습니다. 다른 엔드포인트는 이 벡터 중 하나에 의해 감염되었으며, 이는 주로 취약한 패스워드가 원인이었고, 멀웨어가 접속할 수 있는 모든 디바이스에서 패스워드를 맞추려는 시도가 무작위 간격으로 일어났습니다. 멀웨어가 정보를 끊임없이 수집했으며 어떠한 보유 통제를 적용하거나 자체 스토리지에 제한을 적용하지 않은 것으로 보였습니다. C2로 연결하려는 시도가 8시간마다 있었지만 에어 갭 때문에 한 번도 성공하지 못했습니다.

멀웨어가 자가 복제 능력이 있고 자동으로 자체 스토리지를 외부 USB 드라이브로 복사할 수 있다고 할지라도 이 기능이 활성화되지 않았다는 것을 최종 분석에서 확인했습니다. 아마도 유출이 수동으로 개시되어야 했던 것으로 보입니다.

대응 및

공항은 QRadar EDR의 개선 모듈을 사용하여 감염된 디바이스를 복원하고 식별된 저장 폴더를 삭제하여 데이터 유출을 방지했습니다. 이미 감염된 것으로 확인된 디바이스를 제외한 전체 인프라에서 같은 벡터가 없다는 것을 확인하기 위해 위협 추적 인터페이스가 필수라는 것이 입증되었습니다. 또한 공항에서는 다른 디바이스에서 감지되지 않은 채 실행되는 악성 코드 인스턴스가 없는지 확인하기 위해 행동 검색을 수행했습니다. 인프라에서 해당 벡터와 변종의 부재를 확인할 수 있을 때까지 식별된 모든 동작, 지속적인 위협 및 데이터 수집 방법을 검색했습니다.

마지막으로, 로컬 보안 팀은 내부 트래픽 컨트롤을 위한 더 엄격한 규칙을 확립했습니다. 네트워크의 공용 부분은 운영에서 격리되었고, 로컬 보안 팀은 지속적인 엔드포인트 모니터링과 정기적인 위협 추적 캠페인을 추진했습니다. 

에어 갭은 강력한 수준의 보안을 제공할 수 있지만, 엄격한 방식으로 구현되지 않을 경우 잘못된 안도감을 생성할 수 있습니다. 데이터를 수집했지만 외부로 유출하지는 않았기 때문에 공격의 의도가 불분명하다 하더라도, 확실하게 추측할 수 있는 내용은 공격자가 인프라 내부로 진입하는 지점을 확보하고 있던 이유가 단순히 정보를 유출하기 위해서가 아니라 공항의 운영을 적극적으로 방해하기 위해서였다는 사실입니다. 체크인 구역을 겨냥하여 실행된 간단한 랜섬웨어는 불가피한 지연을 야기할 수도 있었으며, 보안 구역을 표적으로 실행된 공격은 노골적으로 항공편을 차단하고 심각한 영향을 미칠 수도 있었습니다. 

이 대형 국제공항은 세계에서 가장 큰 운송 허브 중 하나입니다. 매일 운항되는 1,000편 이상의 항공편을 연간 7,000만 명의 승객이 이용하는 시설로서 중요 인프라로 분류됩니다.