반응형

1 ~ 10 으로 나누었으며, 저레벨은 낮은 수준의 공격 기술이고, 정교함에 따라 순위가 올라간다.

 

공격시작지점

 

1. 실수로 실행시킨 악성코드 파일 

2. 감염된 정보기기(USB등 저장매체)

3. 우연한(우발적인) 웹 브라우저 기반의 사용자 익스플로잇 공격 

4. 소셜 네트워크를 통한 감염 

5. 서버 사이드 익스플로잇 도구 

6. 사용자 기반 맞춤형 익스플로잇 

7. 내부자에 의한 감염

8. 사용자 맞춤형 첨부파일 공격(악성코드를 포함한) 

9. 스피어 피싱, 피싱, 수평피싱(사원이 사원을 공격), 수직피싱(부하직원이 상사를 대상으로 공격) 

10. 지능형 타깃 공격(이메일) 

 

공격 규모

 

1. 일반 사원의 시스템 

2. 팀장의 시스템 

3. 네트워크 관리자의 시스템 

4. 네트워크 관문 시스템 (DMZ, 웹 서버) 

5. 관리 보조로 회사의 중요한 이메일 처리, 문서 출력, 스캔하는 사람의 시스템 

6. 내부 DNS 서버 

7. 내부 메일 서버 

8. 파일 서버 또는 DB서버 

9. 보안팀의 시스템 

10. CEO, 고위 경영층의 시스템 

 

위험 수준

 

1. 로그가 조작되지 않았다. 

2. 로그인이나 인증 로그가 조작되었다.

3. 연결 로그나 시간이 조작되었다. 

4. 모든 시스템 로그가 유실되었다.(공격이 발생된 시간 전후로) 

5. 모든 시스템 로그가 변조되었다. 

6. 운영체제의 보안 기능이 중지되었다. 

7. 특정 보안 프로그램이 중지되었다. 

8. 특정 프로그램이 변조되었다. 

9. 운영체제가 변조되었다. 

10. 모든 시스템이 깨끗이 지워졌다. (변조되거나 완전히 삭제) 

 

타임 라인

 

1. 오랜 기간 동안 여러 시스템이 접속되었다. (탐색 중) 

2. 오랜 기간 동안 특정 위치의 여러 시스템들이 접속되었다. 

3. 오랜 기간 동안 특정 애플리케이션을 통해 여러 시스템들이 접속되었다. 

4. 오랜 기간 동안 소수 시스템들이 접속되었고, 특정 정보를 가져갔다. 

5. 정기적으로 특정 파일 유형을 목적으로 소수 시스템들이 접속되었다. 

6. 정기적으로 소수 시스템들이 접속되었다.(특정 팀과 연관된) 

7. 짧은 시간 동안 소수 시스템들이 접속되었다. (특정 팀과 연관된) 

8. 짧은 기간 동안 정기적으로 단일 시스템이 접속되었다. (특정 팀원과 관련된) 

9. 짧은 기간 동안 잠깐씩 목적한 단일 시스템에 접속되었다. (특정 팀원과 관련된)

10. 짧은 기간 동안 그리고 바로 단일 시스템에 접속되었다. (특정 팀원과 관련된) 

 

기술과 방법

 

1. 기초적인 기법과 공개용 도구를 이용하였다. 

2. 일부 변형된 기법과 공개용 도구를 이용하였다.

3. 완전히 변형된 기법과 공개용 도구를 이용하였다.

4. 완전히 변형된 기법과 일부 변형된 공개용 도구를 이용하였다. 

5. 일부 변형된 기법과 변형된 공개용 도구와 상업용(크랙 포함) 도구를 같이 이용했다. 

6. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했다. 

7. 전문 기법과 변형된 도구와 상업용 도구를 같이 이용했고 탐지 가능한 패턴과 시그니처가 있다.

8. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 중간 지식을 가지고 특정 용도로 사용 

9. 완전 변형된 맞춤형 도구를 사용해 중간 정도의 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 작업 목적으로 사용 

10. 한 번도 사용하지 않았던 변형되고/맞춤형 툴과 공격자가 여러분의 네트워크 환경에 대해 잘 알고 있고, 운영체제 명령과 옵션, 인자값에 대해 전문 지식을 가지고 특정 용도로 사용

 

행위

 

1. 공격자가 여러분의 시스템을 연습용으로 이용했다. (아무런 피해도 정보 탈취도 하지 않음)

2. 공격자가 토렌트 시드 파일을 저장했다(영화나 포르노 음악) 

3. 공격자가 웜을 이용해 시스템에 악성코드를 유포했다. 

4. 공격이 악성 사이트를 통한 전형적인 감영 형태다. 

5. 공격자가 여러분의 시스템을 대규모 사이버 범죄의 좀비 PC로 활용했다. 

6. 공격자가 여러분의 시스템을 대규모 범죄에 활용하고 정보를 훔치는데 이용한다.

7. 공격자가 여러분의 시스템을이용해 외부의 또 다른 시스템을 공격하는데 이용한다.

8. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템이나 파트너, 소비자, 연관 시스템을 공격하는데 발판으로 사용한다. 

9. 공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격하는데 이용한다. 

10.공격자가 여러분의 시스템을 이용해 내/외부에 있는 또 다른 시스템을 공격하고, 조직내의 특정 정보에 초점 맞춰 공격해 탈취한 정보를 팔아 금전적 이득을 취했다.

 

목표

 

1. 호기심으로 시도

2. 로그인 정보가 목적 

3. 회사 관련 정보가 목적(이메일, 로그인정보, 기타 정보) 

4. 회사 관련 정보, 관련 파트너, 고객 정보가 목적 

5. 회사 직원의 개인 식별 정보가 목적 

6. 회사 직원의 금융 정보가 목적 

7. 회사의 금융 정보가 목적 

8. 회사 운영정보, 금융정보, 연구개발 정보가 목적 

9. 회사의 특정 고위 관리자의 정보가 목적 

10. 회사의 가장 중요하고 민감한 기밀 정보가 목적 

 

자원 과 정보 수집은 표로 분류하여 측정하기는 힘들고 직접 정보를 얻어서 표로 만들면 좋을 것이다.

 

 

 

 

 

공격시작 지점 

  1-10 

 공격 규모

  1-10 

 위험 수준

 1-10

 타임라인

 1-10

 기술과 방법

 1-10

 행위

 1-10

 목표

 1-10

 자원

 N/A

 정보 수집

 N/A

 

 

반응형

'프로젝트 관련 조사 > APT' 카테고리의 다른 글

APT 공격 예방  (0) 2015.10.08
APT 탐지 프레임워크  (0) 2015.10.01
APT 공격 사례 탐구  (0) 2015.09.30
APT 공부 - 표적형 공격 보안 가이드 책 정리  (0) 2015.09.09
APT 공격유형과 대응방안  (0) 2015.09.02

+ Recent posts