[APT 침투] – 표적 공격 절차 및 기술요소(KISA) 온라인 일방향 침해 사고 대비 훈련(중급)

 Chapter1. 표적 공격

APT ( Advanced Persistence Threat )

– Advanced – 고도화된 고급스러운 – Persistence – 지속되는 – Threat – 위협

특징

– 표적에 발각되지 않기 위한 은밀성 – 오랜 지속적으로 대상에 대한 공격 수행

인터넷을 통해 잘 알려진 표적 공격에 대한 절차나 체계는 해커그룹이 만든 것x주체에 대한 전략, 전술분석, 선제적 대응을 위해 만들어진 것o

표적 공격 7단계

1) 침투개시

– 표적 네트워크에 포함된 또는 호스트에 대한 접근 권한을 획득하는 단계

(표적조직에 사용자에게 이메일을 이용하여 악성코드를 전달하여 실행시킨 후 해당 사용자시스템에 RDP를 획득하면 침투시작 단계 완료

기술)-이메일을 통한 스페어 피싱, 웹사이트 악성 프로그램 포함- 악성 프로그램 첨부, 페이크 로그인 페이지 링크

2. 거점 확보

– 제어 권한을 빼앗은 거점 시스템에 추가 공격을 위한 툴을 업로드하고 악성 프로그램 등을 설치하는 단계

– 처음 어렵게 확보한 시스템에 대한 접근 권한을 상실하면 다시 침투 행위를 수행해야 하므로 거점 시스템에 대한 안정적인 접근 환경 구축 필요

기술)-http, sftp 툴 다운로드 및 설치

3)권한상승

– 공격자가 네트워크에 리소스에 접근하는데 필요한 크리덴셜 정보를 확보하거나 시스템상의 관리자에 준하는 권한을 확보하는 단계

ex) SSO 인증에 필요한 credential 정보를 확보하거나 관리자 시스템에 정보를 Sniffing 하는 등의 작업이 대표적이다.

(오퍼레이팅 시스템 소프트웨어 홀을 익스플로이트하여 관리자에 준하는 권한을 확보하는 방법도 있다.기술)-win32k 로컬 권한 에스컬레이션, 코드 인젝션

4) 내부 정찰

– 표적 네트워크 내부에 토폴로지를 그리는 단계 – 공격자의 입장에서 보면 내부 네트워크의 서브넷, 접속된 다른 네트워크의 정보 서비스를 제공하고 서버의 정보를 모르기 때문에 이러한 정보를 확보해야 공격을 구상할 수 있다.

기술) – ARP 라이브 호스트 스캐닝, TCPUDP 포트 스캐닝, 로컬 라우팅 테이블, ARP 캐시 테이블, 네트워크 커넥션

5. 측면 이동

– 공격 대상 네트워크 인프라스트럭처에 다른 시스템을 추가로 공격하여 제어 권한을 탈취하는 단계 – 대부분 운영 체제의 기본 명령어를 사용하여 시스템에 거의 흔적이 남지 않음

기술) – 소프트웨어 방화벽 규칙 조작, 윈도우 레지스트리 조작, 다른 호스트를 손상시키기 위해 공격 – 원격 데스크톱 예외 추가, 원격 데스크톱 사용, 윈도우 메모리에서 자격증 추출, SAM 비밀번호 크래킹, Pass the has ticket, 원격 데스크톱 연결, 윈도우 CIFS NETBIOS 파일 업로드 및 실행

6. 제어 지속-제어 권한을 확보한 시스템에 대한 지속적인 접근이 가능한 조치를 취하는 단계-최근 해커들의 드렌드는 윈도우 악성코드를 설치하는 대신 VMI를 이용하여 악성 명령어를 심는 경우가 빈번하다.

기술) – 윈도우 서비스, 윈도우 레지스트리 자동등록, DLL 하이재킹 등 13개 기술

7. 임무 완료 – 표적 네트워크에서 확인한 중요한 데이터를 외부로 유출시키는 단계 – 많은 경우 공격자가 탈취한 주요 정보를 직접 외부 네트워크로 전송하는 것이 어렵거나 센서에 의해 탐지될 가능성이 높기 때문에 공격자는 데이터를 외부 네트워크로 보낼 수 있는 시스템에서 탈취한 데이터를 이동시키거나 탐지 우회를 위해 분할, 압출을 시도한다.

기술)-와이핑,타일암호화,데이터탈취,OR데이터유출-데이터파괴하여데이터이동,서버복제