사이버 범죄자들이 다크 웹 포럼에서 어떻게 행동하는지 알아보세요. 어떤 서비스를 사고 파는지, 무엇이 그들의 동기를 부여하는지, 심지어 어떻게 서로를 사기치는지도 알아보세요.
클리어웹 vs. 딥웹 vs. 다크웹
위협 인텔리전스 전문가들은 인터넷을 세 가지 주요 구성 요소로 구분합니다.
- 클리어 웹 – 미디어, 블로그, 기타 페이지 및 사이트를 포함한 공개 검색 엔진을 통해 볼 수 있는 웹 자산.
- 깊은 웹 – 검색 엔진에서 색인되지 않은 웹사이트와 포럼. 예를 들어, 웹메일, 온라인 뱅킹, 기업 인트라넷, 폐쇄형 정원 등. 일부 해커 포럼은 딥웹에 존재하며, 들어가려면 자격 증명이 필요합니다.
- 다크웹 – 특정 소프트웨어가 있어야 접근할 수 있는 웹 소스. 이러한 소스는 익명이며 폐쇄적이며 Telegram 그룹과 초대 전용 포럼을 포함합니다. 다크 웹에는 Tor, P2P, 해커 포럼, 범죄 시장 등이 포함됩니다.
Cato Networks의 최고 보안 전략가인 Etay Maor에 따르면, “우리는 범죄자들이 의사소통하고 사업을 수행하는 방식이 빙하의 꼭대기에서 아래쪽으로 이동하는 것을 보았습니다. 아래쪽은 더 많은 보안을 허용합니다.”
주목: Tor란 무엇인가?
Tor는 오픈 소스 기반으로 구축된 무료 네트워크로, 익명의 커뮤니케이션을 가능하게 합니다. Tor는 원래 미국 해군 연구소에서 개발되었지만, 불법 활동에 대한 점점 더 인기 있는 솔루션이 되었습니다.
Clear Web에서 이러한 활동을 수행하면 법 집행 기관의 감시를 받고 범죄자를 추적할 수 있습니다. 하지만 Tor를 통해 통신은 네트워크를 종료할 때까지 모든 노드 점프에서 벗겨지는 세 계층에 걸쳐 암호화됩니다. Tor를 감시하는 법 집행 기관은 범죄자의 IP를 볼 수 없지만 Tor 종료 노드를 볼 수 있으므로 원래 범죄자를 추적하기가 더 어려워집니다.
Tor 통신 아키텍처:
Etay Maor는 “2000년대에 디지털 역량의 천상적 정렬이 범죄 활동을 촉진했습니다. 먼저 다크웹이 등장했습니다. 그런 다음 Tor를 통한 은폐되고 안전한 서비스가 등장했습니다. 마지막으로 암호화폐는 안전한 거래를 가능하게 했습니다.”라고 덧붙였습니다.
다크웹에서 이용 가능한 범죄 서비스
다음은 과거에 다크웹에서 사용 가능했던 몇 가지 서비스 사례입니다. 오늘날 이 중 많은 서비스가 중단되었습니다. 대신 범죄자들은 프라이버시와 보안 기능 때문에 Telegram 메시징 플랫폼으로 이동하고 있습니다.
예시는 다음과 같습니다.
약물 판매:
가짜 신원 서비스:
피싱 시도에 대한 경고를 포함한 공급업체 검색을 위한 마켓플레이스:
범죄 포럼은 어떻게 관리되는가? 신뢰할 수 없는 환경에서 신뢰 구축
공격자는 취약점을 악용하고 시스템에 침입하여 이익을 얻으려고 시도합니다. 다른 상업적 생태계와 마찬가지로, 그들은 온라인 포럼을 사용하여 해킹 서비스를 사고 파는 데 사용합니다. 그러나 이러한 포럼은 회원들 사이에 신뢰를 구축해야 하지만, 포럼 자체는 범죄에 기반을 두고 있습니다.
일반적으로 이러한 포럼은 처음에 다음과 같이 설계되었습니다.
- 관리자 – 포럼을 조정합니다
- 조건부 날인 증서 – 회원 간 결제 원활화
- 블랙리스트 – 결제 및 서비스 품질과 같은 문제를 해결하기 위한 중재자
- 포럼 지원 – 지역사회 참여를 촉진하기 위한 다양한 형태의 지원
- 감독자 – 다양한 주제에 대한 그룹 리더
- 검증된 공급업체 – 사기꾼인 일부 공급업체와 달리 보증된 공급업체
- 정규 포럼 회원 – 그룹 회원. 사기꾼, 법 집행 기관 및 기타 무관하거나 위험한 회원을 걸러내기 위해 포럼에 들어가기 전에 검증되었습니다.
맬웨어 감염에서 다크웹의 기업 데이터 유출까지의 경로
랜섬웨어 목적으로 정보를 훔치는 데 사용되는 맬웨어의 예를 통해 다크 웹에서 공격의 다양한 단계가 어떻게 표현되는지 살펴보겠습니다.
사전 사고 단계:
1. 데이터 수집 – 위협 행위자들은 전 세계적으로 정보 유출 맬웨어 캠페인을 실행하고 손상된 자격 증명과 장치 지문 로그를 훔칩니다.
2. 데이터 공급자 – 위협 행위자는 맬웨어에 감염된 컴퓨터의 자격 증명과 장치 지문을 전문으로 하는 데이터를 다크 웹 시장에 제공합니다.
3. 신선한 공급 – 로그는 다크웹 시장에서 구매할 수 있게 됩니다. 로그의 가격은 일반적으로 몇 달러에서 20달러까지입니다.
활성 사건 단계:
4. 구매 – 초기 네트워크 접근을 전문으로 하는 위협 행위자가 로그를 구매하고 네트워크에 침투하여 접근 권한을 높입니다. 구매한 정보에는 자격 증명 외에도 많은 정보가 포함됩니다. 여기에는 쿠키 세션, 장치 지문 등이 포함됩니다. 이를 통해 피해자의 행동을 모방하여 MFA와 같은 보안 메커니즘을 우회하여 공격을 감지하기 어렵게 만듭니다.
5. 경매 – 접근 권한은 다크 웹 포럼에서 경매되며 숙련된 위협 그룹이 구매합니다.
Etay Maor는 “경매는 경쟁으로 진행될 수도 있고 “플래시”로 진행될 수도 있는데, 즉 위협 행위자는 경쟁 없이 바로 구매할 수 있습니다. 심각한 위협 집단, 특히 국가가 지원하거나 대규모 범죄 조직인 경우 이 옵션을 사용하여 사업에 투자할 수 있습니다.”라고 말합니다.
6. 강탈 – 이 그룹은 공격을 실행하여 조직 내에 랜섬웨어를 심고 돈을 갈취합니다.
이 경로는 범죄 생태계 내의 다양한 전문 분야를 강조합니다. 결과적으로 위협 데이터를 운영화하여 추진되는 다층적 접근 방식은 미래의 사고를 경고하고 예방할 수 있습니다.
HUMINT의 역할
자동화된 솔루션은 사이버 범죄와 싸우는 데 필수적이지만, 이 영역을 완전히 이해하려면 인적 정보(HUMINT)도 필요합니다. 이들은 사이버 범죄 담당관, 포럼에 로그인하고 무역 주체처럼 행동하는 법 집행 기관의 행위자입니다. 참여는 예술이며, 또한 ART(실행 가능하고 신뢰할 수 있으며 시기적절함)이어야 합니다.
사이버 범죄 수사관들이 추적하는 포럼의 몇 가지 예와 이들이 어떻게 대응하는지 살펴보겠습니다.
이 예에서 공격자는 VPN 로그인을 판매하고 있습니다.
사이버 범죄 수사 담당자는 이 공격이 어느 VPN이나 클라이언트에 속하는지 알아내려고 노력할 것입니다.
또 다른 예로, 공격자는 Citrix에 영국의 IT 인프라 솔루션 및 서비스 공급업체에 대한 액세스 권한을 판매하고 있습니다.
사이버 범죄 담당자는 잠재적인 구매자에게 연락하여 샘플을 요청할 수 있습니다. 판매자는 경제적 관점에서 행동하고 있으며 재정 상황이 좋지 않을 수 있으므로(구 소련 국가 출신) 판매를 홍보하기 위해 샘플을 보낼 의향이 있을 것입니다.
네트워크 공격으로부터 보호
다크웹은 구매자, 판매자, 수요와 공급이 있는 경제적 생태계로 운영됩니다. 따라서 네트워크 공격에 대한 효과적인 보호를 위해서는 공격의 각 단계, 사전 사건과 사건 자체 전반에 걸쳐 다층적 접근 방식이 필요합니다. 이러한 접근 방식에는 자동화된 도구와 HUMINT(사이버 범죄자와 온라인에서 교류하여 그들이 운영하는 방식을 모방하여 정보를 수집하는 기술) 사용이 포함됩니다.
더욱 흥미로운 사례를 보고 HUMINT와 다크 웹 포럼에 대한 자세한 내용을 들으려면 여기에서 전체 마스터클래스를 시청하세요.
