[Education]/[정보보안] 악성코드 유형과 유입경로 12

[보안] 12. 악성코드 대응전략 프로세스 - 정책, 인식, 취약성 완화, 위협 완화, 방어 아키텍처, 침해사고대응 프로세스

A. 대응방안 요약- 악성코드 사고 예방에 대한 정책을 준수- 악성코드 사고 예방과 사후 대응을 인식 프로그램에 통합- 악성코드 사고 예방하는데 도움 되는 취약성 안화 기능을 구현- 악성코드 사고 예방하는데 도움되는 위협 완료 기능을 구현- 악성코드 사고 영향을 줄이기 위해 방어 아키텍처 고려- 악성코드 사고를 처리하는 강력한 침해 대응 프로세스를 구현 B. 정책(Policy)1) 주요 이점과 쟁점- 정책 구현의 유연성을 제공 / 잦은 업데이트를 하지 않아야 함 > 일반적이어야 하지만 정책의 의도와 범위를 명확하고 구체적으로 제작 - 기존 정책과 겹치는 경우 > 기존 정책을 유지하며 악성코드 대응을 위한 별도의 정책을 유지 - 정책 대상 > 조직에 방문하거나 조직에 접속하는 모든 사용자를 대상으로 구성 ..

[보안] 11. 이메일을 이용한 악성코드 - 특징, 감염 경로, EGG 압축 파일

A. 감염 경로 1) 악성코드를 첨부한 이메일 ( Malware File Attachment in Email ) - 과거 단순히 확장자를 속이는 형태의 첨부파일을 전송 ex) 인사_이동_명령.pdf.exe > 확장자 자동 숨김에 의해 인사_이동_명령.pdf로 보여짐  - 최근 지능형 지속 공격을 위해 문서 형태의 악성코드 전송 ( Spear Phishing ) > 3rd Party Application ( 한글, 워드, 엑셀, 파워포인트 등)의 취약점 이용하는 형태 > 개인사, 가족사 등 특정인의 정보를 고도로 활용한 경우 - 드라이브-바이 다운로드 연계 - 사회공학 기법을 이용하여 읽을 수밖에 없는 내용으로 전송 > 인사과 - 이력서 형태 > 직장상사 - 기업 내부 직원 이름, 이메일로 전송 > 개..

[보안] 10. 드라이브-바이 다운로드 감염 - 개요, 용어 정리, 토폴로지, 워터링 홀 공격, 제휴 광고 악성코드, 트래픽 분배 시스템, 도메인 쉐도잉

A. 드라이브-바이 다운로드 개요 1) 일반적으로 웹 페이지에서 악의적인 목적에 의해 사용자에게 메시지를 표시하지 않고 스크립트(Script) 등의 계기로 악의적인 소프트웨어(Malware)를 다운로드하고 실행하는 것   2) 용어 정리 - 경유지(Landing Pages) - 사용자가 웹 서비스에 접근하는 웹 페이지, 변조 행위 -> 경유지 = 정상 페이지 + 악성 페이지(중계지) - 중계지(Redirection Pages, Hopping Pages) - 악성코드 유포지로 트래픽 전송을 위한 징검다리 역할을 하는 숨겨진 웹 페이지, 삽입 행위 -> 중계지 = (리디렉션으로 구성된) 악성 페이지 - 유포지(Exploit Pages) - 브라우저 및 브라우저 플러그인 취약성을 이용하여 악성코드를 다운로드하..

[보안] 09. USB를 이용한 악성코드 감염 - 공격 동향 및 BadUSB 개요, 시연

A. 이동식 저장장치 공격 동향 1) User Really Do Plug in USB Drives Thet Find - 5가지 유형의 USB를 구성  > 레이블 없는 USB > 열쇠를 포함한 USB > 돌려받을 수 있는 연락처를 포함한 USB > 레이블에 기밀로 표기한 USB > 레이블에 시험 답지로 표기한 USB - 결과 > USB 중 45%인 135개가 컴퓨터에 연결되어 하나 이상의 파일을 열람 > USB 중 98%인 290개를 돌려받지 못함  2) Infection via USB (with Supply Chain Attack) - Tick Group Weaponized Secure USB Drives to Target Air-Gapped Critical Systems ( 18.06.22 )  3)..

[보안] 08. 해킹 공격 방법론과 악성코드 - 사이버 킬체인 및 ATT&CK, TTPs 이해

A. 사이버 킬 체인의 이해 1) 사이버 킬 체인- 전통적인 킬 체인 -> 1992년 걸프전 당시, 미 공군이 처음 사용 -> 이를 통해 적의 공격 시설을 탐지하여 파괴 - F2T2EA 구성 방식을 가짐 > Find : 대상의 위치 파악 > Fix : 위치 수정 및 대상의 이동을 제재함 > Track : 대상의 움직임을 모니터링 > Target : 대상에 사용할 무기를 선정, 원하는 목적을 수행 > Engage : 대상에 무기를 사용 > Assess : 대상에 적용한 무기와 사용 이후의 정보를 수집하여 공격의 영향을 평가 - 최근 침투 동향은 군사적인 용어인 킬 체인(Kill Chain)을 사이버 세계에 접목한 사이버 킬 체인(Cyber Kill Chain) 언급 -> 록히드 마틴에서 언급한 킬 체인을 ..

[보안] 07. 악성코드 유입 경로 - 클릭 사기, Weak Point, Lateral Movement, Modificaition Attack, Kooface 악성코드

A. 악성코드 주요 유입 경로     B. 실제 악용된 사례 분석  1) 사회 공학적 기법- 클릭 사기 ( Click Fraud )   -> 사용자가 필요한 형태로 악성코드를 위장 -> 윈도우 제품 인증 프로그램 -> 엔터테인먼트 형태를 위장한 파일 또는 설치 프로그램 -> 대부분 사용자가 직접 다운로드하고 실행  2) 직접 침투 ( Direct Penetration ) - 해커가 직접 대상이 되는 시스템에 침투하여 악성코드 설치 - Weak Point -> 접근 제어 실패, 아이디 패스워드 관리 등 취약점을 이용하여 접근 -> 백도어 설치와 같은 추가 악성코드 감염이 필요 없음 -> Miral 악성코드 감염 경로 - DDos에 사용될 봇넷 - Vulnerability -> 최근 내부 직원 PC의 제어..

[보안] 06. 랜섬웨어 정의, 역사, 특징, 종류, 감염 경로 - 하이브리드 암호 시스템, Crypt0L0CKER, Locky, CryptXXX, 악성 이메일, 드라이브-바이 다운로드, 기업 침투(Penetration), Hidden-tear

A. 랜섬웨어 정의 1) 랜섬웨어는 몸값을 요구하여 협박하는 Ransom과 제품을 의미하는 Ware의 합성어 - 몸값을 요구하기 위한 다양한 방법을 사용 -> 암호학을 이용 -> 비암호학을 이용 - 보통 Locker로 분류 ( MBR, 스크린세이버 등 락을 걸어 협박)- 게임 시간이나 점수를 만족해야 풀어주는 랜섬웨어도 등장 . B. 랜섬웨어 역사   1) 암호학을 이용한 랜섬웨어의 발전은 2013년부터 시작  - 암호학의 발전 -> 초기에 암호키 관리 미흡으로 쉽게 대응 가능- 추적이 어려운 디지털 화폐의 발생- 다양한 언어로 다양한 플랫폼에 적용 가능- 배포, 제작이 서비스 형태로 제작 -> X-as-a-Service- 기존의 고급 공격 기법과 좋바이 쉬움 -> APT + Ransomware   C...

[보안] 05. RAT 악성코드 기본 이론, Orcus RAT 악성코드 생성 및 제어

A. RAT 악성코드 정의 1) Remote Access Trojan 약자  - 감염시킬 악성코드를 생성하고 감염된 시스템을 통합 관리하는 도구를 지칭 -> 대분류로 트로이목마에 속함 - 정상적인 프로그램의 경우 Remote Administraion Tool로 부름 -> 예) 팀 뷰어, MSTSC - RAT 악성코드에 감염되면 감염된 시스템의 대부분을 감시/변조/관리/제어가 가능  B. RAT 악성코드 흐름   C. RAT 악성코드 역사와 종류 1) RAT 악성코드 역사  - 1998년 NetBus와 BackOrifice 백도어를 시작으로 발전하기 시작  - 초기엔 RAT 소프트웨어와 C2 서버가 하나로 구성되어 운영  2) 종류 - 최근 APT 공격에서 많이 사용 - DarkComet RAT- njRA..

[보안] 04. 악성코드 소유형 - Ransomware, Spyware, Keylogger, RAT, Backdoor, Dropper, Downloader, Adware, Bot, Spammer

A. 금융 & 협박1) Ransomware - 정상 기능을 제한한 후 협박하는 기능- 하이브리드 암호 시스템의 발전과 블록체인 코인의 발전으로 급부상  B. 도청 & 감시1) Spyware - 도청과 감시에 특화된 소프트웨어-> Fedware : 연방 정부에서 제작한 Spyware 2) Keylogger - 키보드 입력 정보를 수집 가능  C. 접근 & 강탈 1) RAT - 원격 접속 및 제어 2) Backdoor - 사용자 몰래 접근하는 기능-> Rootkits - Backdoor에 은닉 기능을 강화한 악성코드 3) Banker - 금융 거래를 가로채거나 금융 정보를 수집하는 기능-> POS Malware, Pharming Malware  4) Game Thief - 게임 로그인 계정 수집 기능   ..

[보안] 03. 악성코드 대유형 - 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), PUP(Potentially Unwanted Program)

A. 바이러스 개요 1) 프레드 코헨(Fred Cohen) 정의 - 최초 바이러스 용어 창시자- 확장 정의 -> 프로그램이나 실행 가능한 어느 일부분 혹은 데이터에 자기 자신 또는 변형된 자신을 복사하는 명령어들의 조합  2) 바이러스라는 단어를 사용하게 된 계기는? - EX) 메르스 바이러스 - 감염 대상 : 사람, 낙타 / 증상 : 급성 호흡기 질환 + @ EX) 컴퓨터 바이러스 - 감염 대상 : 컴퓨터 / 증상 : 컴퓨터 이상 증상 + @  3) 역사 - 1971년 최초의 바이러스 - Creeper -> IT 시스템이 대중화되지 않았기에 스턱스넷의 시초로 재평가- 1981년 교수 Leonard M.Adleman이 Fred Cohen 과의 대화에서 Computer Virus 용어를 처음 사용함- 19..

[보안] 02. 악성코드 및 해킹 최신 동향 - POS 악성코드, 산업기반시설 악성코드, 특수망 해킹, 정치적 해킹, 상업 해킹, 기업 해킹, 불특정 다수 해킹, 가상화폐거래소 해킹

A. POS 악성코드 1) Starwood 호텔, 리조트에서 발생 (2015년) - http://www.starwoodhotels.com/Media/PDF/Corporate/Hotel_List.pdf 2) 인터콘티넨탈 호텔 그룹 (2016년)- https://krebsonsecurity.com/2016/12/holiday-inn-parent-ihg-probes-breach-claims/ Holiday Inn Parent IHG Probes Breach Claims – Krebs on SecurityInterContinental Hotels Group (IHG), the parent company for more than 5,000 hotels worldwide including Holiday Inn, s..

[보안] 01. 악성코드 정의, 악성코드 종류, 감염 위치, 네이밍 스키마

A. 악성코드 정의  1) 이론적 정의  - 악성코드는 악성 소프트웨어 (Malicious Software)의 줄임말 -> 컴퓨터 작동을 방해 -> 민감한 정보를 수집 -> 개인 컴퓨터에 불법 접근  - 일반적으로 악성코드는 제작사의 악의적인 의도에 따라 정의  2) 실질적의 정의  - 심리적, 실질적인 피해를 입히는 컴퓨터 프로그램 또는 실행 가능한 코드 - 개발자의 실수로 포함된 버그는 제외되나 광범위한 피해가 발생할 경우 해당하기도 함 3) 역사   - 1949년 폰 노이만 논문 "자기 복제 자동 기계 이론(the theory of self-reproducing automata)" -> 하지만 기술적 구현 불가 - 최초로 바이러스라는 이름으로 사용하다가 더욱 큰 개념인 악성코드로 통합 -> 악성코..

반응형