APT 공격을 이용한 침해사고 실습 -2-

APT(Targeting attack) Life Cycle

1. Initial compromise(초기침투)
  공격자(해커그룹)이 표적 조직의 네트워크 호스트(서버에) 대한 제어 권한을 획득하는 단계
  ex) Watering Holes, Spear Phishing이 APT 공격에 많이 사용되고 있음

2. establish foothold(거점확보)
  첫번째로 감염시킬 때 모든 기는능ㄹ 담은 악성코드를 보내는게 아니라 최소한의 기능만 가진 악성코드를 밀어 넣는다.
이후 추가 공격을 수행하기 위해 필요한 도구/악성코드를 다운로드하고 설치하는 단계이다.
  http(s) 혹은 별도의 암호화된 채널을 이용해서 도구 다운로드, 특정 디렉토리에 설치
  UAC(User Access Control)설정은 매우 중요하다. * UAC : 관리자 권한이 필요합니다 라고 팝업 뜨는 것
  tmp 폴더 등을 통해 일단 쓸 수 있는 폴더에 악성코드를 올리고 추후 실행

3. privilege Escalation (권한상승)
  거점 확보를 통해 악성 코드를 올린다. 이후 원활한 공격을 위해 관리자 권한이 필요한 데, 이를 위한 권한 상승은 필수이다.
  시스템 혹은 서버의 관리자 수준 권한을 탈취하는 단계이다.
  ex) OS 또는 소프트웨어가 가진 취약점을 이용하는 경우가 대부분

4. internal reconnaissance (내부정찰) > Lateral Movement(측면이동) > Maintain persistence (제어 유지)
  스캐닝 기술들(포트 스캐닝 등)을 이용하여 내부 정찰하는 단계
  내부 정찰을 통해 내부망 등 VPN과 연결이 되어있는 핫라인을 발견하고, 그 핫라인에 연결되어 있는 컴퓨터에 접근(측면이동)
  Internal reconnaissnace : 내부 네트워크에 있는 호스트(서버)의 종류, 서비스하고 있는 포트/프로토콜 등의 정보를 수집
  Lateral Movement : 메모리에 존재하는 ID, PW등의 정보를 탈취하고 다른 PC로 로그인하거나 Actvie Directory 사용자의
로그 정보를 키로깅하여 다른 PC로 로그인. 익스플로잇을 이용하여 다른 PC의 취약점을 공격한 후 제어 권한을 획득
(워너크라이 확산)
  Maintain persistence : 레지스트리를 조작하여 백도어가 지속적으로 실행되게 한다. 최근 레지스트리 검사를 자주하여
WMI 저장소(Repository)에 트리거를 설치하여 시스템에서 특정 조건이 만족되면 파워쉘 명령어가 강제로 실행한다.
또는 테스크 스케쥴러, Crontab 등을 이용하여 지속적으로 접근할 수 있도록 하는 단계

5. complete mission(완료)
  Data Exfiltration(데이터 유출) : 그냥 유출하지 않고 분할 유출한다. 추출한 데이터를 희생자 시스템에 다운로드하여
분할 압축 한 후 긴 시간동안 간헐적으로 중계서버(Staging Server)에 전송한다. 한번에 보내면 트래픽이 튀어 들킬 수 있다.
  그리고 Storage Wiping 등을 통하여 흔적 제거한다.

+ Recent posts