2024년 7월 17일에 공개했던 T9 Project의 첫 번째 T9 Data 이어 벌써 두 번째 공개일이 돌아왔습니다. 본 포스팅에서는 두 번째 T9 Data(공격/데이터)에 대한 설명과 사이버 위협 대응을 위한 인공지능 탐지 모델 연구 계획에 대해 간략히 소개하고자 합니다. [이전 블로그 바로가기]
T9 Data 선정
T9 Project의 두 번째 T9 Data는 이전과 동일하게 최근 2년 이내에 발생한 최신 공격을 모사하였고, 공격을 탐지할 수 있는 영역에 따라 Network 3종, End Point 3종을 선정하였습니다. 또한 단일 공격을 연계한 복합공격 3종으로 [표 1]과 같이 총 9종의 공격을 선정하였습니다.
표 1. T9 Project 2024년도 공격 목록 (2024-02)
| 순번 | T9 공격 아이디 | 공격 영역 | 공격 명 / 방법 |
| 1 | T1-24–02–S–N–CIKM | Network | Jenkins Args4j |
| 2 | T2-24–02–S–N–CL | Network | JNDI Injection RCE |
| 3 | T3-24–02–S–N–CL | Network | Apache2 HTTP Path Traversal RCE |
| 4 | T4-24-02-S-E-M | End Point | Cl0p Ransomware |
| 5 | T5-24-02-S-E-DL | End Point | Backdoor(with ARCANUS Tool) |
| 6 | T6-24-02-S-E-DEGN | End Point | Tedy Spyware |
| 7 | T7-24-02-M-NE-CDEGLN | Network End Point | SMBGhost(T2-24–01–S–N–CL) + Tedy Spyware(T6-24-02-S-E-DEGN) |
| 8 | T8-24-02-M-NE-CDL | Network End Point | JNDI Injection RCE(T2-24–02–S–N–CL) + Backdoor(with ARCANUS Tool)(T5-24-02-S-E-DL) |
| 9 | T9-24-02-M-NE-CLH | Network End Point | Apache2 HTTP Path Traversal RCE(T3-24–02–S–N–CL) + Cl0p Ransomware(T4-24-02-S-E-M) |
[표 1]의 1~3번 T9 Data는 Network 영역에서 탐지할 수 있는 공격으로, 정보 유출 행위를 목적으로 하여 Jenkins Args4j 취약점 공격을 활용한 서버의 파일을 열람하는 공격입니다. 또한, Apache2 HTTP Path Traversal RCE 공격의 경우 2021년에 공개되어 다소 오래되었으나 기록된 로그를 분석해 보면 원격 명령어 실행이 아닌 단순 디렉토리 접근으로 오인할 수 있으며, 모델의 검증에 유효하여 해당 공격을 선정하게 되었습니다.
4~6번은 End Point 영역에서 탐지할 수 있는 공격으로, 최신 악성코드를 수집하여 유의미한 로그를 기록할 수 있는 공격을 위주로 선정하였습니다. Backdoor(with ARCANUS Tool) 공격의 경우 자체적으로 악성코드를 제작하였고, 공격자 서버와 Reverse Shell 연결을 통해 실제 악성코드에 의한 원격 명령이 수행될 수 있도록 구현하였습니다. 또한, Tedy Spyware는 시스템의 설정이나 정보 수집하는 유의미한 행위 로그를 획득할 수 있기에 선정하였습니다.
7~9번은 복합공격(Network, End Point)으로 현재까지 T9 Project에서 구현된 단일 공격을 기반으로 침투부터 감염까지의 공격 시나리오 기반 연계 공격을 자동화한 것입니다. 7번 공격(SMBGhost + Tedy Spyware)에서 SMBGhost는 2024년 상반기에 공개한 공격으로[T2-24–01–S–N–CL 바로가기] 이번 하반기에 공개한 Tedy Spyware 악성코드와 연계하여 복합공격을 구현하였습니다.
동작 데모 (예시)
T9 Project의 공격 데이터를 생성 방법을 설명하기 위해 본 포스팅에서 공개한 T9 Data 중 복합공격인 T8-24-02-M-NE-CDL을 예시로 자세히 설명하도록 하겠습니다.
T8-24-02-M-NE-CDL 공격은 JNDI Injection RCE와 Backdoor(with ARCANUS Tool) 공격 행위와 시나리오 기반의 복합공격입니다. 먼저, JNDI Injection RCE 공격은 CVE-2023-25194 취약점으로 스트리밍 플랫폼인 Apache Kafka 소프트웨어의 JNDI 주입 문제로 인하여 RCE(Remote Code Execution) 취약점이 발생합니다. 그리고 Backdoor(with ARCANUS Tool)는 자체 제작하였고, 리눅스 실행파일인 ELF(Executable and Linkable Format) 형식의 악성코드로 실행 시 Reverse Shell 연결을 통해 악성 행위 동작이 수행됩니다. 두 공격을 연계하기 위해 정의한 시나리오는 JNDI Injection RCE 취약점을 이용하여 C&C 서버에서 추가 악성코드를 다운로드 및 실행하여 원격 세션을 확립하는 것이며, 전체적인 동작 아키텍처는 [그림 1]과 같습니다.
그림 1. T8-24-02-M-NE-CDL 동작 아키텍처
실질적인 공격 수행을 위해 ‘run.py’를 실행 시 가장 먼저 Victim, Attacker 환경이 자동으로 구축되고 공격을 시작하기 전 ICMP 패킷을 전송합니다. 이후 정의된 시나리오에 따라 취약점을 이용한 악성 행위를 수행하며, T8-24-02-M-NE-CDL은 최종적으로 Malware Hosting Server에서 추가적인 Backdoor(with ARCANUS Tool)를 다운로드 및 실행하여 Attacker와 Reverse Shell 연결을 확립합니다. 공격이 끝난 후 다시 ICMP 패킷을 전송하여 공격 데이터의 시작과 끝을 구분하기 위한 목적으로 수행하고 있습니다.
그림 2. T8-24-02-M-NE-CDL 공격 실행 화면
[그림 2]는 도구 실행 화면으로 공격 수행 절차를 출력하여 실시간으로 확인할 수 있으며, 수행 결과로 log 디렉토리에 Network Packet(.pcap)과 Sysmon Log(.xml)를 생성합니다.
그림 3. T8-24-02-M-NE-CDL 공격의 Network Packet(상단), Sysmon Log(하단)
[그림 3]은 T8-24-02-M-NE-CDL 공격 데이터 일부로 Network Packet과 Sysmon Log를 통해 Network 및 End Point에서의 악성 행위를 분석할 수 있습니다.
이렇게 T9 Data는 다양한 단일 공격과 이를 활용하여 복합적이고 실질적인 위협 시나리오를 구현할 것이며, 이는 사이버 위협을 탐지하는 AI 모델 학습에 필요한 고품질의 효과적인 데이터로 활용될 것으로 기대합니다.
사이버 위협 탐지 모델 (T9 Detection)
현재 T9 Project는 취약점 및 공격 도구를 이용하여 최신 공격과 알려진 공격을 통해 실제 공격 데이터와 유사한 데이터 생성을 목표로 자동화 공격 도구를 개발하고 데이터셋을 구축하고 있습니다. 이후 2025년 하반기에는 그동안 구축한 T9 Data와 실제 환경에서 수집한 정상 데이터를 학습하여 [그림 4]의 사이버 위협 특화 인공지능 탐지 모델 개발을 목표하고 있습니다.
그림 4. 사이버 위협 특화 인공지능 탐지 모델 개발
글을 마치며
이번 포스팅에서는 T9 Project의 두 번째 T9 Data에 대한 설명과 이 공격을 효과적으로 방어를 위한 인공지능 탐지 모델 연구 계획에 대해 간략히 소개하였습니다. 현재까지 T9 Project의 공격 데이터는 총 18개의 자동화 공격 도구를 이용한 데이터를 공개하였으며 지속적인 업데이트를 통해 더욱 다양한 공격 데이터를 생성할 예정입니다. 또한, 위협 시나리오 고도화, 정상 데이터, 인공지능 탐지 모델 등 다양한 연구 결과를 공개할 예정이므로 많은 관심 부탁 드리겠습니다.
참고 문헌
[1] Jenkins 취약점 노출 국내 서버 현황 (CVE-2024-23897, CVE-2024-43044), https://asec.ahnlab.com/ko/82870/, 2024
[2] CVE-2023-25194 Detail, https://nvd.nist.gov/vuln/detail/CVE-2023-25194, 2023
[3] Medium – Victor Park [Apache Kafka 보안 업데이트 권고], https://medium.com/spitha-techblog/apache-kafka-%EB%B3%B4%EC%95%88-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8-%EA%B6%8C%EA%B3%A0-cve-2023-25194-23-02-08-a0cb5903c40e
[4] CVE-2021-42013 Detail, https://nvd.nist.gov/vuln/detail/cve-2021-42013, 2021
[5] Apache HTTP Server [CVE-2021-41773 / CVE-2021-42013 [Apache HTTP Server]], https://omoknooni.tistory.com/32
[6] Cl0p [Cl0p Ransomware: Active Threat Plaguing Businesses Worldwide], https://cyble.com/blog/cl0p-ransomware-active-threat-plaguing-businesses-worldwide/
[7] CTX [28AB56D70469C88E4DDE1241C1A2F742202757D4C7AC5259C4308DDD74337045], https://www.ctx.io/report/file/28AB56D70469C88E4DDE1241C1A2F742202757D4C7AC5259C4308DDD74337045
[8] Github – EgeBalci [ARCANUS], https://github.com/EgeBalci/ARCANUS
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 리버싱 및 악성코드 분석 관련된 연구를 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.