컴퓨터 시스템, 네트워크, 소프트웨어, 데이터 등에 대한 불법적인 침투나 접근으로 인해 발생하는 사고
정부나 공공기관에서 가장 많이 일어남 그리고 비즈니스 및 전문기관에서도 마찬가지
크리덴셜(credential)
계정 도용된 크리덴셜은 공격자가 획득한 계정이라고 보면됨 이미 들어와서 위장하면 인지하기 어려움 다크웹같은 곳에서 공격자가 구매하는 경우가 있음
공격자가 악성행위 하는 이유가 금전적인 이유 , 데이터 도용 등이 있음
APT
지속적으로 어떠 한 목적을 위해 계속 공격 하는것 짧으면 2개월 3개월정도 근데 거의 길게 2~3년 보고 하는 공격도 있음
백도어
사용하는 이유는 이용자가 인지하지 못하게 하게끔 하기 위해 공격자가 사용
다운로더
웹에 들어가면 자동으로 다운로드 악성 파일 다운로드되는 구조
드로퍼
하나 이상의 파일을 받았는데 그 안에 있던 악성코드가 실행되는거 A안에 다른 악성코드들이 있는데 다운 받고 실행하게되면 지뢰마냥 악성코드가 실행되는 구조
랜섬웨어
이건 세간에 많이 알려져있다싶이 유명함
파일들이 다 잠기게됨 피해자에게 돈을 요구 풀어주지 않는 경우도 있음 그대로 다크웹에 올리는 경우도 생각보다 많이 당함
랜섬웨어 파일에 암호거는 거 말고도 다른기능들이 많음
리버스쉘
공격자들은 리버스쉘을 자주 사용함 터널이라고도 함 공격자 피씨에서 입력하면 피해자 컴퓨터에서 실행되는거
TTPs의 이해
TTP를 분석하여 악의적인 활동의 패턴 인식
공격자가 반복하여 사용하는 전술 식별
공격자의 동기 이해
Tactics : 전략 - 공격자가 달성하고자 하는 것
Techniques : 기술 - 공격자가 목적을 달성하기 위해 시도하는 방법
Procedures : 절차
사이버 킬 체인 Cyber-Kill-Chain 록히드 마틴 - 사이버 킬 체인 개념을 가지고 사이버 공격에 적용 침해사고 조사 할때 가장 중요하게 생각을 해야하는 것이 사이버 킬 체인 공격자가 어떠한 행위를 하기 위해 어떤 생각을 하고 했는지 생각하면서 분석해야 더 잘할 수 있다고 생각을 함 그래서 잘 알아야 한다.
총 7단계 9단계 6단게 등등 단계가 다양하지만 7단계가 가장 비슷하다 생각함 가장 오래 걸리는게 1단계, 2단계임 조금이라도 실수하면 바로 들키기에 어디가 약하고 어디로 들어가야좋은지 많은 생각이 요함 보통 3~4개월 정도 악성코드 개발하는것도 굉장히 오래걸림 초기 접근이 3단계 4단계는 이제 침투에 성공을 한 상태인데 공격자는 아무런 권한이 없는데 이제 데이터를 가져가려하거나 레지스트리를 건들일라면 관리자 권한이 있어야하는데 여기서 이루어짐 권한을 탈취하기 위해 악성코드를 실행 시킴 5단게 지속성 설치 는 공격자가 피해자 피씨에 붙어있어야 함 계속 있으면 뭐함 그래서 6단계 명령 및 제어를 함 C2서버를 많이 사용해서 원격으로 제어하고 모니터링을 한다 리버스쉘같으로 명령을 내리게 됨 공격자가 C2서버에서 리버스쉘로 명령을 하면 피해자 PC에서 실행이 되고 이런느낌 계속 피해자 PC에 붙어있기 위해 다른 함정도 파놓는 경우도 있음
지금은 이건 사용하지않고 마이터에서 1, 2단계로 더 상세하게 세부하게 나눠논게 있음 이게 굉장히 중요함 TTPs는 공격자가 절차 안에있는 기술이 무엇인지 설명하는것 왜 알아야하나 ttps를 분석해서 어떠한 악의적인 행위를 하는지 알고있어야함 이러한걸 알고있어야 분석할때 빠르고 신속하게 분석이 가능하기에 알아야함
Tactics : 전략 전략 안에 기술이 있다 내가 피해자 피씨에 붙어있을거야 하면 이게 전략 그리고 붙어있기위해 하는 행위들이 기술 이 모든걸 절차 Techniques : 기술 Procedures : 절차
고통의 피라미드 공격자의 피라미드임 해쉬값만 봤을때 공격자를 알아보긴 어렵다 그래서 맨 밑에있음 해쉬값은 계속 변하잖아 아이피 주소는 이벤트로그같은걸 분석했을때 수사한 아이피가 있을 수 있는데 공격자 아이피 일수도있음 근데 그게 실제 아이피가 아니라 proxy서버 아이피 인경우도 있음
Tactics : 전략 은 총 14가지가 있음 탐지 우회의 한가지 방법은 데이터 유출까지 싹다 유출 하고 더이상 여기 있을 필요가 없을때 나갈때 공격자는 자신의 흔적을 지움 이게 탐지 우회 이벤트로그나 로그들을 다 지우고 나감 아까 위에서 얘기 한 크리덴셜이랑 여기에서 크리덴셜은 좀 다름 저기 위에서는 다크웹에서 사는거고 여기선 권한을 얻게끔 하는거
AD서버 Active Directory DC(domain control server) 가 MS(member server)의 계정을 다 가지고있음 DC는 가장 최상단에 위치하고 보안관련을 여기서 담당 ms는 사용자 PC라 생각하면 됨 AD의 구조 자체가 도메인의 tree가 되는거임 근데 tree가 여러게가 있으면 포레스트forest가 되는거임
OU가 뭐냐 비밀번호 정책같은걸 생각하면됨 OU도 DC에서 관리 한 피씨에서 다른 피씨로 이동하려 할때 Latarel Movement 라고함
공격한 피씨에서 관리자 권한을 획득하고 DC에 접근 후 다른 피씨에 접근 하는것 수집 collection은 어디에서나 이루어 질 수 있음 C2서버에서는 DC를 쉽게 제어 가능함
이제 공격할거 다하고 빠져 나올때 공격자가 너무 깔아논게 너무 많아 지우기 귀찮아 그래서 싹다 정리를 한번에 하는데 그 단계가 Impact임 이 Tactics는 공격자의 전략을 정리해논거임 이게 무슨 공격이닞 어떤 공략인지 정리해논거 Mitre Attack에 들어가먄 되게 많음
