정보보안개론 3. APT

1. APT (Advanced Persist Threat) 지능형 지속 공격

• 지능형 지속 공격으로, 특정 타깃을 선정한 후 장기간에 걸쳐 지속적인 공격 수행
  • 지능형 (Advanced): 시스템 내의 취약점을 공격하기 위해 악성 소프트웨어를 복잡한 기법을 사용하여, 정교하고 전문적인 지식을 활용
  • 지속성 (Persistent): 지속적으로 특정 대상의 데이터를 감시하고 공격하는 행위
  • 위협성 (Threat): 공격자가 목표 시스템에 대해 조직적이고 계획적인 위협을 수행
  • 대규모 그룹 (조직적)
  • 정보 탈취, 인프라 파괴 등을 수행하기 위한 목적
  • 목표를 특정하여 지속적이고 공격을 수행
  • 기업, 정부기관, 국가 기관 등 고도의 보안 시스템을 보유한 곳 공격

2. Cyber Attack Life Cycle

• APT 공격을 성공적으로 수행하기 위해 체계적이고 단계적인 흐름을 따름
• Initial Reconnissance (초기 정찰) -> Initial Compromise (초기 침해) -> Establish Foothold (발판 마련) -> Escalate Privileges (권한 상승) -> internal Reconnaissance (내부 성찰) -> Move Laterally (수평 이동) -> Maintance Presence (상태 유지) -> Complete Mission (임무 완료)

3. Inital Reconnaissance 초기 정찰

• 공격자가 목표 조직에 대한 정보를 수집하는 단계
• 웹사이트, 공개 문서, 소셜 미디어 등을 통해 이루어질 수 있음
• 해당 과정에서 초기 침투에 관련된 공격 경로를 탐색
• 방법: OSINT (Open - Sourece Inteligence), 소셜 엔지니어링, 도메인 및 IP 주소 분석

4. Initial Compromise 초기 침해

• 수집된 정보를 바탕으로 초기 침입점을 찾아 시스템에 처음으로 접근하는 단계
• 방법: 피싱 이메일 (매크로가 포함된 문서 전송), 취약한 웹 애플리케이션 공격

5. Establish Foothold 발판 마련

• 시스템 내에 안정적인 접근 방법을 마련
• 방법: 백도어 설치, 악성코드 배포, C & C (Command and Control)

6. Escalae Privileges 권한 상승

• 더 높은 수준의 접근 권한을 획득하기 위해 권한 상승 기법을 이용함
• 공격자가 시스템이나 네트워크 상의 더 많은 자원에 접근할 수 있게 해줌
• 방법: 권한 상승 취약점 악용, 관리자 계정 정보 탈취

7. Internal Reconnaissance 내부 정렬

• 이미 침투한 내트워크 내에서 추가적인 정보를 수집
• 다음 목표를 가기 위해 내부 자원들의 취약한 서비스나 부적절한 설정을 탐색
• 방법: 네트워크 스캔, 중요 시스템 및 데이터 위치 파악

8. Move Laterally 수평 이동

• 네트워크 내에서 다른 시스템으로 이동하여 공격 범위를 확장
• 다른 중요한 정보나 시스템에 접근하기 위해 수행
• 방법: Pass-the-Hash, Pass-the-Ticket, kerberoasting

9. Maintain Presence 상태 유지

• 공격자는 탐색되지 않게 하면서 네트워크 내에 지속적으로 머물기 위한 조치를 취함
• 공격 중 탐지됐을 때 임무 실패로 이어질 수 있어 이에 대응하기 위한 행위
• 방법: 스틸스 악성코드 배포, 로그 삭제 및 탐지 회피 기법 사용