1 ~ 10 으로 나누었으며, 저레벨은 낮은 수준의 공격 기술이고, 정교함에 따라 순위가 올라간다.
공격시작지점
|
1. 실수로 실행시킨 악성코드 파일 |
|
2. 감염된 정보기기(USB등 저장매체) |
|
3. 우연한(우발적인) 웹 브라우저 기반의 사용자 익스플로잇 공격 |
|
4. 소셜 네트워크를 통한 감염 |
|
5. 서버 사이드 익스플로잇 도구 |
|
6. 사용자 기반 맞춤형 익스플로잇 |
|
7. 내부자에 의한 감염 |
|
8. 사용자 맞춤형 첨부파일 공격(악성코드를 포함한) |
|
9. 스피어 피싱, 피싱, 수평피싱(사원이 사원을 공격), 수직피싱(부하직원이 상사를 대상으로 공격) |
|
10. 지능형 타깃 공격(이메일) |
공격 규모
|
1. 일반 사원의 시스템 |
|
2. 팀장의 시스템 |
|
3. 네트워크 관리자의 시스템 |
|
4. 네트워크 관문 시스템 (DMZ, 웹 서버) |
|
5. 관리 보조로 회사의 중요한 이메일 처리, 문서 출력, 스캔하는 사람의 시스템 |
|
6. 내부 DNS 서버 |
|
7. 내부 메일 서버 |
|
8. 파일 서버 또는 DB서버 |
|
9. 보안팀의 시스템 |
|
10. CEO, 고위 경영층의 시스템 |
위험 수준
|
1. 로그가 조작되지 않았다. |
|
2. 로그인이나 인증 로그가 조작되었다. |
|
3. 연결 로그나 시간이 조작되었다. |
|
4. 모든 시스템 로그가 유실되었다.(공격이 발생된 시간 전후로) |
|
5. 모든 시스템 로그가 변조되었다. |
|
6. 운영체제의 보안 기능이 중지되었다. |
|
7. 특정 보안 프로그램이 중지되었다. |
|
8. 특정 프로그램이 변조되었다. |
|
9. 운영체제가 변조되었다. |
|
10. 모든 시스템이 깨끗이 지워졌다. (변조되거나 완전히 삭제) |
타임 라인
|
1. 오랜 기간 동안 여러 시스템이 접속되었다. (탐색 중) |
|
2. 오랜 기간 동안 특정 위치의 여러 시스템들이 접속되었다. |
|
3. 오랜 기간 동안 특정 애플리케이션을 통해 여러 시스템들이 접속되었다. |
|
4. 오랜 기간 동안 소수 시스템들이 접속되었고, 특정 정보를 가져갔다. |
|
5. 정기적으로 특정 파일 유형을 목적으로 소수 시스템들이 접속되었다. |
|
6. 정기적으로 소수 시스템들이 접속되었다.(특정 팀과 연관된) |
|
7. 짧은 시간 동안 소수 시스템들이 접속되었다. (특정 팀과 연관된) |
|
8. 짧은 기간 동안 정기적으로 단일 시스템이 접속되었다. (특정 팀원과 관련된) |
|
9. 짧은 기간 동안 잠깐씩 목적한 단일 시스템에 접속되었다. (특정 팀원과 관련된) |
|
10. 짧은 기간 동안 그리고 바로 단일 시스템에 접속되었다. (특정 팀원과 관련된) |
기술과 방법
|
1. 기초적인 기법과 공개용 도구를 이용하였다. |
|
2. 일부 변형된 기법과 공개용 도구를 이용하였다. |
|
3. 완전히 변형된 기법과 공개용 도구를 이용하였다. |
|
4. 완전히 변형된 기법과 일부 변형된 공개용 도구를 이용하였다. |
|
5. 일부 변형된 기법과 변형된 공개용 도구와 상업용(크랙 포함) 도구를 같이 이용했다. |
|
6. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했다. |
|
7. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했고 탐지 가능한 패턴과 시그니처가 있다. |
|
8. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 중간 지식을 가지고 특정 용도로 사용 |
|
9. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 작업 목적으로 사용 |
|
10. 한 번도 사용하지 않았던 변형되고/맞춤형 툴과 공격자가 여러분의 네트워크 환경에 대해 잘 알고 있고, 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 특정 용도로 사용 |
행위
|
1. 공격자가 여러분의 시스템을 연습용으로 이용했다. (아무런 피해도 정보 탈취도 하지 않음) |
|
2. 공격자가 토렌트 시드 파일을 저장했다(영화나 포르노 음악) |
|
3. 공격자가 웜을 이용해 시스템에 악성코드를 유포했다. |
|
4. 공격이 악성 사이트를 통한 전형적인 감영 형태다. |
|
5. 공격자가 여러분의 시스템을 대규모 사이버 범죄의 좀비 PC로 활용했다. |
|
6. 공격자가 여러분의 시스템을 대규모 범죄에 활용하고 정보를 훔치는데 이용한다. |
|
7. 공격자가 여러분의 시스템을이용해 외부의 또 다른 시스템을 공격하는데 이용한다. |
|
8. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템이나 파트너, 소비자, 연관 시스템을 공격하는데 발판으로 사용한다. |
|
9. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격하는데 이용한다. |
|
10.공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격해 탈취한 정보를 팔아 금전적 이득을 취했다. |
목표
|
1. 호기심으로 시도 |
|
2. 로그인 정보가 목적 |
|
3. 회사 관련 정보가 목적(이메일, 로그인정보, 기타 정보) |
|
4. 회사 관련 정보, 관련 파트너, 고객 정보가 목적 |
|
5. 회사 직원의 개인 식별 정보가 목적 |
|
6. 회사 직원의 금융 정보가 목적 |
|
7. 회사의 금융 정보가 목적 |
|
8. 회사 운영정보, 금융정보, 연구개발 정보가 목적 |
|
9. 회사의 특정 고위 관리자의 정보가 목적 |
|
10. 회사의 가장 중요하고 민감한 기밀 정보가 목적 |
자원 과 정보 수집은 표로 분류하여 측정하기는 힘들고 직접 정보를 얻어서 표로 만들면 좋을 것이다.
|
공격시작 지점 |
1-10 |
|
공격 규모 |
1-10 |
|
위험 수준 |
1-10 |
|
타임라인 |
1-10 |
|
기술과 방법 |
1-10 |
|
행위 |
1-10 |
|
목표 |
1-10 |
|
자원 |
N/A |
|
정보 수집 |
N/A |
'프로젝트 관련 조사 > APT' 카테고리의 다른 글
| APT 공격 예방 (0) | 2015.10.08 |
|---|---|
| APT 탐지 프레임워크 (0) | 2015.10.01 |
| APT 공격 사례 탐구 (0) | 2015.09.30 |
| APT 공부 - 표적형 공격 보안 가이드 책 정리 (0) | 2015.09.09 |
| APT 공격유형과 대응방안 (0) | 2015.09.02 |