APT(Advanced Persistent Threat, 지능형 지속 공격)
1. 타겟 지정형 지능형 지속 공격, APT 개요
- 다양한 IT 기술과 정보수집을 통해 특정 목적(금전, 정보해킹)을 위해 특정대상에게 지속적으로 공격을 가하는 행위
- 특수 목적을 가진 조직이 기간 시설망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT 기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격
- 장기간 동안 은밀하고 지속적으로 목표 조직의 정보를 수집하고 분석하여 공격 루트 확보
- 특징) 특정 타겟 지정, 우회공격, 지능화, 지속적
2. APT 공격 프로세스
1) APT 공격 프로세스
2) APT 공격 단계별 활동
| 단계 | 설명 |
| 정보수집 | - 스파이처럼 목표물을 면밀히 분석하고, 이메일 등의 사회공학적 기법을 이용해 지인이나 회사로 가장해 악성코드가 첨부된 이메일을 보냄 |
| 침입 | - 지인이나 회사로 가장한 이메일을 받은 직원은 아무런 의심 없이 이메일을 열고 첨부파일을 여는 순간 악성코드에 감염 - 이 부분이 최초 감염되는 시점이고, 내부 시스템으로 침투하는 교두보가 됨 |
| C&C 서버통신 | - 해커는 시스템에 활동 거점을 마련하기 위해 악성코드가 실행되면 백도어 프로그램이 설치되도록 하고, 이 백도어를 통해 C&C 서버와 통신하여 원격에서 명령을 내림 |
| 확산 | - C&C 서버 통신을 이용하여 내부의 다른 PC를 차례로 감염 - 사내 시스템 접근 권한을 확보하기 위해 비밀번호를 추측하거나 정보들을 수집하여 점점 높은 권한을 획득하여 내부 시스템 장악 |
| 데이터 접근 | - 중요 데이터에 접근 가능한 관리자 급의 권한을 획득 하였다면, 실제 중요 데이터가 저장되어 있는 시스템에 접근 |
| 데이터 유출/파괴 | - 중요 데이터까지 접근했다면 내부 보안 프로그램이나 모니터링 등에 걸리지 않게 오랜 기간을 두고 조금씩 데이터 유출 |
- 침투 -> 검색 -> 수집 -> 유출 단계의 프로세스로 데이터 유출 및 공격 수행
3. APT 시나리오 별 공격 유형
1) APT 공격 시나리오
① 침투 : 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트웤 내부로 침투
② 검색 : 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획
③ 수집 : 보호되지 않은 시스템 상의 데이터 수집 또는 시스템 운영 방해
④ 유출 : 공격자에게 데이터 전송, 시스템 운영 방해 또는 장비 파괴
2) APT 시나리오 별 공격 유형
| 단계 | 공격기법 | 설명 |
| 침투 (Incursion) 훔친 인증정보, SQL 인젝션, 악성코드 등을사용하여 오랜시간에거쳐 공격대상 시스템에 활동 거점을 구축 |
관찰 (Reconnaissance) |
APT 공격자들은 표적대상을 파악하기 위해 수개월에 걸쳐 철저히 분석 |
| 사회공학 (Social Engineering) |
내부 임직원의 실수 또는 부주의로첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용 | |
| 제로데이취약점 (Zero-day vulnerabilities) |
개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의허점 | |
| 수동공격 (Manual Operation) |
자동화 대신 각각의 개별시스템과사람을 표적으로 삼고, 고도의 정교한 공격을 감행 | |
| 수집 (Collect) APT 공격자는 한번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한정보를 수집하고 기밀데이터를 자동으로 검색 |
다중벡터 (Multiple Vector) |
APT 공격 시 일단 악성코드가 호스트 시스템내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격툴들을 다운로드 |
| 은밀한 활동 (Run silent, run deep) |
APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됨 | |
| 연구 및 분석 (Research and analysis) |
정보 검색은 네트워크구성, 사용자아이디 및 비밀번호등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반함 | |
| 수집 (Capture) 보호되지 않은 시스템의 데이터는 공격자에게 노출 |
은닉 (Convert) |
1차 공격 성공 후, 정상 이용자로 가장하여 정보수집 및 모니터링 활동을 진행 |
| 권한상승 (privilege escalation & lateralization) |
시스템 접근을 위한 시스템 접근권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종접근행위. (브루트포스(Brute Force) : 패스워드 등의 계정정보를 획득) | |
| 유출 (Exfiltrationl) APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW 및 HW에 손상을 입힘 |
유출 (Exfiltration) |
기밀 데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송 |
| 중단 (Disruption) |
APT 공격자는 원격시동 이나 SW, HW 시스템을 자동 종료 할수도 있음 |
4. APT 공격 대응방안
1) APT 공격 대응방안
- PC 검사, 격리, 악성 파일 등의 행위를 통한 감염에 대한 예방
2) APT 공격 대응방안
| 구분 | 대응방안 | 설명 |
| 수직적 보안 | 시그니처/패턴기반 분석 | - 공격 시그니처/패턴을 분석, 공격을 탐지 |
| 행위기반 분석 | - 실제 환경과 동일한 가상환경 구성, 행위를 분석 | |
| 화이트리스트/블랙리스트 | - 접근불가 리스트 or 접근 가능 리스트를 활용 | |
| 평가기반 분석 | - 데이터 수집/평판 평가(시그니처/행위기반 보안) | |
| 상황인지 분석 | - 상황인지 기술을 적용, APT 탐지/방어에 활용 | |
| 수직적/수평적 보안 | 안티바이러스/SPAM | - 안티 프로그램 설치 및 지속적 패치/업데이트 |
| 내부정보유출방지 | - DLP, 매체제어 등 제어를 통한 확산 방지 | |
| 키보드 보안, 화면캡쳐방지 | - 키 입력 후킹, 화면 갈무리에 대한 예방 | |
| 보안 인텔리전스 | 인텔리전스 기반 보안관제 | - 인텔리전스 기반의 지능적 통합 보안 관제 |
| 포렌식 | - 네트워크 포렌식, 디스크 포렌식, DB 포렌식 등 수행 |
- 외부 인터넷과 사내 인터넷 간 수직적 보안과 사내 인터넷 구간 간의 모니터링, 가시성 확보를 통한 수평적 보안 필요
'메가노트 > 토픽과제(정리)' 카테고리의 다른 글
| 웹 해킹(이상희) (0) | 2022.10.01 |
|---|---|
| DDOS 공격(문경숙) (0) | 2022.10.01 |
| 블록 암호 모드(김도현) (0) | 2022.09.28 |
| NFT 특성과 마켓 플레이스 취약점(문경숙) (0) | 2022.09.24 |
| DRM vs. DLP(황선환) (0) | 2022.09.24 |