보안 위협 트렌드

맨디언트 OT 레드팀의 실전 해킹, IT와 OT의 경계를 넘나드는 기법

산업 환경에서 OT 보안의 중요성은 강조할 필요가 없습니다. 인더스트리 4.0 시대가 되면서 OT 환경 역시 디지털 전환 대상이 되었고, 사이버 보안은 이전 OT 환경과 비할 수 없이 높은 수준이 요구되고 있습니다. 그렇다면 현재 OT 환경이 보안은 공격자들에게 어느 정도 난이도로 보일까요? 많은 산업계 보안 운영 담당자는 OT는 격리된 환경이라 안전하다고 생각합니다. 그들은 OT 환경이 격리된 네트워크 환경이므로 IT에 비해 상대적으로 안전하다고 봅니다. 하지만 OT 환경을 둘러싼 안전지대(Air gap)를 제대로 구축한 곳은 생각보다 많지 않다는 것이 맨디언트가 현장에서 보고 느낀 것입니다. 네, 침해 조사를 나가 보면 IT에서 OT로 넘어갈 수 있는 경로가 생각보다 많이 존재해서 OT를 완전히 격리된 환경이라 말할 수 없는 경우가 많습니다.

관련해 2018년 TRITON 관련 사고 분석에 대한 글을 맨디언트에서 올린 적이 있습니다. 내용을 간단히 요약하자면 IT의 약한 고리로 침투를 한 다음 OT 환경의 깊숙한 곳까지 이동해 공격을 감행한 사고였죠. 이런 위험은 언제든 다시 불거질 수 있습니다. 이번 포스팅에서는 맨디언트 OT 레드팀이 여러 고객을 대상으로 수행한 OT 환경 모의 공격을 하며 얻은 교훈을 공유하겠습니다. 더 자세한 내용은 파이어아이 맨디언트 버추얼 서밋(FireEye Mandiant Virtual Summit) 세션을 듣거나 또는 파이어아이에 문의 바랍니다. 자, 이제 맨디언트 OT 레드팀이 어떻게 성공적으로 침투하여 공격 목표를 달성하는지 살펴보겠습니다.

기반 구축: IT에서 OT 환경으로 넘어가기 위한 정보 수집

OT 환경 침투는 사전에 치밀한 계획이 필요합니다. 공격자는 충분한 시간을 투자해 정보를 수집하고, 이를 바탕으로 계획을 수립합니다. 이 기간 동안 공격자는 공격 대상 조직의 설비와 장비 제어 프로세스를 배우고, IT 환경의 보안 제어 회피 방법을 찾고, 필요한 경우 맞춤형 OT 맬웨어를 개발하기도 합니다. TRITON 사고에서 볼 수 있듯이, IT 환경에서 정보를 수집하는 것은 OT 공격에 매우 중요합니다. 네, 공격 생명주기 측면에서 볼 때 가장 먼저 시작되는 정찰 단계는 OT가 아니라 IT 환경에서 이루어집니다. 여기서 OT 네트워크 접근을 위한 조각 정보들을 모으는 것입니다. 이후 IT 환경에 침투하고, 조용히 몸을 숨긴 상태에서 IT에서 OT로 넘어갈 기회를 엿봅니다.


Figure 1: Targeted OT attack from a public network

적처럼 생각하기: 스마트 그리드 에너지 미터 끄기 (공격 목표)

맨디언트 OT 레드팀의 공격 시나리오는 에너지 기업을 침투하는 것입니다. 가상의 에너지 기업이 운영하는 스마트 그리드 에너지 미터를 끄는 것이 최종 목표입니다. 이 시나리오는 꽤 흥미롭습니다. 최근 기후 변화 문제로 화석 연료 사용 자재에 대한 범 지구적인 공감이 확산되고 있죠. 더불어 차세대 교통수단으로 전기 자동차가 주목받고 있습니다. 이런 변화를 뒷받침하려면 스마트 그리드 전력 인프라가 꽤 중요한 역할을 합니다. 네, 친환경을 향하는 미래 사회의 핵심 인프라인 스마트 그리드를 노린 공격이 소개하는 시나리오입니다. 본론으로 돌아가 보겠습니다. 맨디언트 OT 레드팀은 공격 대상 조직의 사람, 프로세스, 기술 관련 약점을 찾은 다음 IT 네트워크에 침투하여 OT 시스템에 접근하기 위한 권한을 획득합니다. 그리고 스마트 그리드 에너지 미터를 끄는 최종 목표 달성을 목표를 달성합니다. 이것이 모의 공격의 시뮬레이션의 전체 내용입니다. 각 단계를 자세히 알아보겠습니다.

Step 1: IT 네트워크 거점 구축

맨디언트 OT 레드팀은 조직 네트워크에 접근하기 위해 스피어 피싱을 하였습니다. 이메일 필터링 및 보안 모니터링을 테스트하기 위해 두 가지 시나리오를 적용하였습니다.

  • - 맨디언트 소유 도메인에서 호스팅 되는 악성 파일 링크
  • - 자동 실행 매크로 코드가 포함된 마이크로소프트 오피스 문서 이메일 첨부

이 테스트를 통해 맨디언트 OT 레드팀은 조직 IT 네트워크 내에 있는 워크스테이션에서 악성코드를 실행하는 한편 맨디언트가 호스팅 하는 Cobalt Strike C&C 서버에 대한 비공인 경로를 설정하였습니다. 기업 환경에 있는 워크스테이션과 안정적인 통신 경로를 확보한 다음 맨디언트 OT 레드팀은 인터넷에서 쉽게 찾을 수 있는 보안 공격 도구를 사용해 권한 상승을 통해 도메인 관리자 수준의 접근 권한을 획득하였습니다. 이를 위해 사용한 도구는 다음과 같습니다.

  • - Idapsearch: 엔터프라이즈 도메인 정보 확보를 위해 사용
  • - PowerSploit: IT 환경의 보안 구성 허점을 악용하기 위해 사용
  • - WMImplant: 내부 네트워크에서 측면 이동을 위해 사용
  • - Mimikatz: 로컬 사용자 및 도메인 관리자 계정의 자격 증명 추출을 위해 사용

도메인 관리자 권한을 확보한 다음 맨디언트 OT 레드팀은 엔터프라이즈 도메인에 연결된 서버 리소스, 파일 공유, 응용 프로그램, 관리자 콘솔 같은 다양한 자원에 제한 없이 접근할 수 있었습니다.

Step 2: OT 네트워크로 가는 길 찾기

다음으로 맨디언트 OT 레드팀은 공격 대상 조직의 사람, 프로세스, 기술에 대한 조각 정보를 모읍니다. 내부 정찰을 통해 최대한 정보를 끌어모은 다음 IT에서 OT로 넘어갈 경로와 필요 자격 증명을 찾습니다. 정보 탐색 과정에서 목표가 되는 내용은 네트워크 아키텍처 다이어그램, 호스트 이름과 IP 주소, 사용자 이름과 자격 증명 같은 것들입니다.


Figure 2: Information sources and target information from enterprise networks

공격 시뮬레이션에서 맨디언트 OT 레드팀은 획득한 도메인 관리자 자격 증명을 사용해 IT 환경 통합 운영 도구인 Microsoft System Center Configuration Manager(SCCM)에 성공적으로 접근하였습니다. 맨디언트 OT 레드팀은 SCCM 콘솔에 로그인한 다음 소프트웨어 배포 기능을 이용해 OT 침투를 위해 사전에 고른 부서에 있는 워크스테이션과 C&C 서버 간 연결을 설정했습니다. 맨디언트 OT 레드팀이 고른 부서는 네트워크 인프라와 애플리케이션 관리에 대한 높은 권한을 가진 구성원들이 있을 가능성이 높습니다. 실제로 시뮬레이션 과정에서 맨디언트 OT 레드팀이 고른 부서는 네트워크 관리, 방화벽 관리, 제어 엔지니어링 및 스마트 미터 운영 같은 역할을 맡은 구성원이 포함되어 있었습니다. 이 부서 사용자의 워크스테이션에 접근한 맨디언트 OT 레드팀은 다음과 같은 작업을 수행할 수 있었습니다.

  • - Cobalt Strike 수정 스크립트를 사용하여 키 입력을 캡처해 OT 네트워크에 대한 RDP 자격 증명 획득
  • - 부서 파일 공유 서비스에 로그인하여 OT 시스템 설계 문서 및 백업 파일 추출
  • - 방화벽 관리 콘솔에 있는 OT 방화벽 구성에 대한 문서 및 백업 파일 추출
  • - 운영 매뉴얼에서 OT 관리 시스템에 대한 일반적인 텍스트 기반 자격 증명 탐색

Step 3: OT 네트워크 전파

맨디언트 OT 레드팀은 손상된 시스템, 자격 증명, 애플리케이션을 활용하여 OT의 DMZ 구간을 넘어서는 접근을 시도합니다. OT 환경에 대한 레드팀 참가를 많이 해본 맨디언트의 경험에 비추어 볼 때 이 과정에서 사용하는 공격 벡터는 다음과 같습니다.

Table 1: Most likely attack vectors for IT/OT propagation

OT 환경에 성공적으로 진입하려면 경로를 잘 잡아야 합니다. 공격 대상 조직의 엔지니어가 다단계 인증(MFA을 사용해 OT 네트워크의 jumpbox 원격 액세스하는 경로로 OT 환경으로 넘어갑니다. 이 경로를 활용하는 것도 불가능하지는 않지만 보안 설정을 우회하려면 많은 시간과 리소스가 필요합니다.


Figure 3: Formal communication path from enterprise to OT network

그래서 맨디언트 OT 레드팀은 시스템 아키텍처 분석을 바탕으로 최적의 경로를 정의했습니다. 맨디언트 OT 레드팀은 방화벽 구성 파일을 검토하여 IT와 OT 네트워크 경계인 DMZ에 있는 마이크로소프트 윈도우 패치 관리 서버에 접근하였습니다. 이 패치 관리 서버는 DMZ 네트워크의 가상 머신에서 실행되는데, 하이퍼 바이저에 대한 관리는 IT 네트워크에서 이루어집니다. 이에 맨디언트 OT 레드팀은 IT 네트워크 도메인 관리자 자격 증명을 이용해 하이퍼 바이저 관리 콘솔에 로그인한 다음 게스트 시스템 관리 기능을 통해 DMZ 네트워크의 패치 관리 서버에 명령을 실행하였습니다. DMZ의 패치 관리 서버를 손상시킬 수 있게 되면서 이 시스템을 OT 침투 거점으로 활용할 수 있게 되었습니다.

Figure 4: Remote attack propagation path from IT network to OT network

침투 경로를 확보한 맨디언트 OT 레드팀은 OT 환경에 있는 마이크로소프트 윈도우 서버를 손상시켜 목표 달성에 가까이 다가설 수 있었습니다. 맨디언트 OT 레드팀은 이전 단계에서 검색한 OT 자격 증명을 사용해 DMZ 네트워크의 패치 관리 서버를 통해 피벗 하여 SMB 서비스를 인증하였습니다. 이를 통해 OT 네트워크의 관리 서버에서 원격 콘솔 명령을 실행할 수 있었습니다. 핵심 OT 네트워크 도메인 컨트롤러에 접근할 수 있게 되자 맨디언트 OT 레드팀은 DCSYNC, Mimikatz를 사용해 OT 네트워크의 높은 권한을 가진 도메인 관리자 계정에서 자격 증명을 추출했습니다. 이 계정을 이용해 맨디언트 OT 레드팀은 OT 네트워크 관리 서버, 애플리케이션 서버, 운영자 워크스테이션을 제어하였습니다. 또한, 손상된 자격 증명을 사용해 스마트 그리드 에너지 미터 제어 인프라용 HMI(Human Machine Interface) 포탈에 로그인하여 최종 목표인 미터를 끄는 작업을 수행하였습니다.

이상으로 맨디언트 OT 레드팀이 수행한 OT 모의 해킹 시뮬레이션에 대해 알아보았습니다. 살펴본 바와 같이 레드팀을 통한 모의 훈련은 OT 네트워크를 표적으로 삼은 공격자에 의해 손상될 수 있는 시스템이 무엇인지 식별하는 데 큰 도움이 됩니다.