반응형
출처: 해킹사고의 재구성 - 최상용
1. 위 변조 사고
o 입력 값 검증에 관련된 공격 방법
- SQL 인젝션
- 웹셀 업로드
- XSS 및 CSRF 관련 공격
o 설정 오류에 관련된 공격 방법
- PUT 메소드
- 터미널 서비스, RPC, 텔넷, FTP등 원격 접근 공격
- 취약한 ID/패스워드를 유추하는 공격
위 변조 사고의 경우 육안상 나타나는 증상
1) 관리자만이 쓰기가 가능한 게시판의 게시물이 추가/변경/삭제
2) 관리자가 생성하지 않은 파일이 생성되어 있으며, 소스파일 중 특정 파일의 M-time이 변경되어 있음
3) 피싱 페이지 등 홈페이지 내 관리자가 추가하지 않은 페이지가 생성되어 있음
4) 로그 변경, 허가 받지 않은 포트 오픈, 서비스 및 프로세스 실행
5) 특정 게시물을 클릭할 때마다 사용자 정보 변경창 등 의도 되지 않은 기능이 실행됨
2. 정보 유출 사고
정보유출 사고의 경우 육안상 나타나는 증상
1) DB서버의 트랜젝션 및 입/출력이 일부 증가, DB서버의 부하가 소량 증거하나 크지 않아서 파악하기 힘듬
2) 특정 파일의 atime이 변경됨. 모니터링 툴이 있는 경우 인지 가능하나 현실적으로 쉽지 않음
정보 유출 사고의 경우 보통 APT공격 형태로 진행되므로 파악하기 힘들다. 보통 위 변조 공격을 통해 서서히 침투해 나간다.
반응형
'프로젝트 관련 조사 > APT' 카테고리의 다른 글
| DDOS 공격 차단 방법 (0) | 2015.11.24 |
|---|---|
| Arcsight SIEM 활용 방안 (0) | 2015.11.24 |
| 개인정보 유출사고 분석 (0) | 2015.10.21 |
| APT 공격 예방 (0) | 2015.10.08 |
| APT 탐지 프레임워크 (0) | 2015.10.01 |