홈페이지를 통한 내부망 장악 (한국인터넷진흥원)
KISA는 최근까지 공격을 받은 피해 시스템을 2개월에 걸쳐 분석하고 조치하였으며 수집한 정보를 종합하여 다음과 같이 TTPs를 도출하였다.
① 최초 침투
- 공격자는 외부에 노출되어있는 사내 홈페이지를 통해 최초로 접근을 시도하였다.
이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아, 외부 노출 페이지와 계정정보를 기존에 미리 수집한 것으로 추정된다.
이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아, 외부 노출 페이지와 계정정보를 기존에 미리 수집한 것으로 추정된다.
- 공격자는 게시판에 존재하는 파일 업로드 취약점을 이용하여 웹셸을 업로드하고 이를 통해 서버를 제어한다.
② 접근 권한 수집
- 웹셸로 접근하였기 때문에 웹 서비스 권한만 소유한 공격자는 추가적인 악성행위를 위해 운영체제에 존재하는 취약점을 이용하여 권한 상승을 시도하였다.
- 이후 추가적인 계정 정보를 수집하기 위해 키로깅 악성코드를 설치한다.
③ 내부전파
- 권한 상승에 성공한 공격자는 이후 추가적인 전파를 위해 네트워크 공유를 이용한다.
이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.
이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.
④ 악성코드 실행
- 이후 공격자는 at 명령어를 이용하여 악성코드를 스케줄러에 등록하여 실행하거나, sc명령어를 이용하여 서비스로 등록하여 실행시킨다.
⑤ 흔적 삭제
- 공격자는 공격을 마치거나 또는 거점으로서 일시적으로 이용한 서버에 대해서는 이벤트로그를 삭제하거나 악성코드를 삭제함으로서 공격의 흔적을 지운다.
⑥ 탈취 정보
- 공격자는 최종적으로 악성코드의 명령을 통하여 사내 정보를 수집하며, 웹 페이지가 운영되는 서버에서는 웹로그도 수집한다.
<목차>
1. 서론
2. 개요
3. ATT&CK Matrix
- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출
- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출
4. 결론
5. Yara rule
☞ 첨부파일 :
☞ YARA ?
구글에서 진행하는 오픈소스 프로젝트의 유틸리티인 YARA로 악성 파일이나 프로세스의 시그니처를 이용하여 악성 여부를 판별하도록 정책을 설정합니다.
문자열 패턴, 바이너리 패턴, 정규식 표현을 이용하여 생성한 YARA 규칙을 검사하려는 파일/프로세스에 시그니처가 포함되어 있는지 여부를 판단하여 악성으로 분류할 수 있습니다.
컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기