목록KISA 사이버 보안 훈련 (60)
작은 메모장
파일리스 공격이란? 실행되는 코드가 파일(.dll, .exe)로 생성되지 않고 메모리에만 존재 흔적을 남기지 않는 공격 == 디스크 터지를 하지 않으려는 성향의 공격 왜? 과거 스캐닝 기술이 떨어지던 시절에는 표적 시스템에 악성코드를 직접 업로드하여 공격했음 이 과정에서 디스크 터치가 무조건 발생 시간이 지나면서 엔드포인트에 설치된 다양한 안티바이러스 프로그램들이, 윈도우 운영체제 함수를 실시간 모니터링 인가되지 않은 작업이 운영체제 퍼포먼스에 영향을 끼침 => 걸림 파일리스 공격의 특징은... 1. 프로세스 인젝션 기술을 사용 정상 프로세스에 공격자가 악성코드 혹은 라이브러리를 로딩 = 정상 프로세스 메모리에서만 공격이 시행됨 = 디스크 터치가 발생하지 않음 2. LoL 바이너리들을 활용 Living ..
기초적인 ATT&CK의 사용방법은 아래를 따름 각 설명은 크게 2파트로 나뉘어져 있는데, 왼쪽이 테크닉에 대한 설명 오른쪽이 이 테크닉을 어떻게 탐지하는 지에 관한 설명 때문에 탐지 전력을 세울때는 오른쪽 내용을 봐야 함 아래의 Procedure Example은 이 공격을 완화하기 위한 기법에 대한 설명 그리고 더 아래는 이 테크닉을 쓰는 해커 그룹에 관련한 정보 로 구성되어 있음
ATT&CK의 택틱 중 하나를 예시로 분석 Initial Access 택틱은 거점 시스템을 접근해서 통제를 하는 것이 목표인 택틱 이를 달성하기 위해 어떻게 해야하는가를 테크닉으로 분류 한 가지 표적시스템을 점유하여 익스플로잇을 통해 접근 및 통제를 하는 Drive-by-Compromise 테크닉 스피어 피싱 메일을 보내서 표적 네트워크에 있는 시스템 엔드포인트를 점유하는 Phishing 테크닉 여러 종류로 구성되어 있음 그럼 ATT&CK의 모든 택틱은 순서대로 작성이 되어 있는가? 단순하게 택틱은 순서를 따라 작성되어 있지 않음 언제든지 변경될 수 있고, 수정될 수 있음 공격자의 입장에서 보면서 어떤 택틱을 선행해야 하는지 판단해야 함 가령, 스피어 피싱을 통해 C&C 서버 통제는 했는데, 일반 유저의..
MITRE사? 미국 NIST(국립표준연구소)의 산하 기관 MITRE사 우리나라의 국방과학연구소(ADD)와 비슷한 성격의 기관 사이버 뿐만 아니라 각종 위협들에 대해 연구, 및 결과 공유 의미있는 프로젝트들을 하는 비영리 단체 공공기관 CVE같은 취약점 일련번호 부여 프로젝트같은 것을 진행함 그래서... MITRE ATT&CK 프레임 워크가 무엇인가? MITER사가 10년 전 진행했던 프로젝트의 일환으로, 해커 그룹들의 공격을 조사하고 최대한 비슷하게 시뮬레이션 혹은 애뮬레이션하는 프로젝트를 의미 즉, 해커 그룹들이 무슨 도구를 사용하고, 공격시 어떤 전략을 이용하며 어떤 명령어를 쓰는지... 이런 내용들을 구체적으로 연구해서 시뮬레이션 하는 프로젝트 이미 완료한 프로젝트로, 프로젝트의 미래성을 느끼고 이..