APT 공격을 이용한 침해사고 실습 -1-

개요 및 잡담 

※틀린 내용이 있을 수 있으며, 개인적인 생각임.


1. 해커들은 바이러스 토탈에 올리지않는다. 바이러스 토탈에 해쉬값이 남기 때문이다. 따로 만들어서 백신에 걸리는지 검사한다.

2. 중국 침해 공격을 보통 더럽게 진행이 되며, 북한은 깔끔하다. MBR 등을 날려버리는 행동으로.. 러시아나 동부권 공격은 수학적으로 치밀하게 공격을 진행하고, 러시아의 경우에 공격 흔적을 찾기가 힘들다

3. 최근 북한이 중국 툴보다 러시아 툴을 자주쓰는 경향이 있다.

4. 15년도 방글라데시 은행을 공격해서 털었다. 주 공격자가 북한으로 추정된다.

5. 사고는 100% 막을 수 없다. 막을 수 없는 것을 기반으로 예산 편성할 필요가 있다.

6. 사고당한 담당자를 보직 이동시키거나 해고하는데, 이러면 경험해본 사람이 보직에 없게 된다. 

7. 이메일 훈련하는 이유는 해커는 피해자의 신상정보를 확실히 알고 보내기 때문이다.

8. 정보보호와 정보보안의 차이는 무엇인가? 보안은 통제이다. 하지마라~에서 시작하는 것이다.. (근데 다함) 보호는 부모가 자식을 보호한다는 느낌을 가지면 된다. 수많은 위협에서 모든 방법을 강구해서 지킨다는 의미.

9. 관리컨설팅을 할 때 첫번째가 위협 식별이다(?) 먼저 회사에 자산이 몇대 있는지 물어본다. 그 다음 회사가 꼭 지켜야 하는 자산이 무엇이고, 어디에 있는지 물어본다.

10. 공격자는 크게 3가지 목표를 가진다고 했다 1. 국가 교란 2...? 3...?

11. 현재 개인 정보는 다 털린 상태라고 보면 된다. 하지만 당신의 직책, 회사 등의 세부적인 정보를 더 얻을려고 한다. 이 정보를 통해서 나중에 써먹을 수 있기 때문이다.

12. 침해사고 당하면 조치하고 포맷하기 마련인데, 포맷하지 않는 것을 추천한다. 그 컴퓨터 말고 다른 컴퓨터에도 감염되어 있을 수 있기때문이다. 예를 들어 1번 컴퓨터에 드로퍼 설치, 2번컴퓨터 C&C연결 등 나누어 감염시킬 수 있기 때문이다. 그래서 포맷이 아닌 따로 격리하는 것이 좋다.

13. 스크라이크 존은 사고가 너무 오래되서 최초의 PC나 서버가 없어진 경우에 이때까지 조사한 것을 다 묶고 치료할 수 있는 자산을 다 찾고 네트워크를 전부다 끊는다. 한번에 다 치료하지 않으면 치료하는 도중에 재감염 될 수 있다. 

14. 나중에 침해사고 발생 후 벌금 등을 징수하려고 할 때, 동종 업계와 비교하여 얼마나 보안에 신경썼는지 확인한다. 그렇기 때문에 동종 업계의 보안 조치 등을 확인하고 조치를 취해 나중에 침해사고 발생시 책임 소지를 줄일 필요가 있다.

15. 로컬 어드민은 PC에서 Disable해놔야한다.

16. 현재 윈도우는 파워쉘, 리눅스 쉘도 지원가능하다. 이것은 백신에서 안잡히는 바이러스가 침투할 수 있는 요건이 된다.

17. 공격자가 데이터를 가져갈 때 어떻게 가져갈까? 우리가 쓰던 알집, 빵집 등을 이용하여 가져간다. 기존에 깔려 있기때문에 들킬 위험이 줄어든다

18. 근데 데이터가 너무 많아서 한번에 빼면 의심당한다. 그래서 쪼개서 나간다. 이를 통해 빵집, 알집이 돌았고 분할 압축이 많았다면 침해사고가 발생했을 가능성이 있다.

19. SIEM이 실패한 이유가 이러한 이유를 명확히 제시해주지 않았기 때문이다.

20. 현재 공격은 조직적으로 행해지기때문에 업무 협조등 획일화된 정책이 있다. 그래서 공격자를 알아내면 분석하는 데 큰 도움이 된다. 


+ Recent posts