주 공격 통로 : 이메일, SNS통한 악성 링크, USB
2차 확산 : SMB , RAT
표적형 이메일 공격 흐름
|
정보수집 |
페이스북, 트위터, 메신저, 검색 엔진등을 이용 |
|
내부 접근 침입 |
소셜엔지니어링 이용
공격 초기단계 - 사진, 주소, 근무처 정보 등을 압수 - 메신저 및 이메일로 연락(공격)
공격 개시 -클라이언트 PC가 표적 -안티바이러스 소프트웨어에 대응 * 발각되지 않기 위한 궁리 -악용할 취약점 선택 |
|
지속적인 공격 |
표적 네트워크에 지속적 공격 O RAT 설치 후 네트워크 장악 -PsTools 등을 이용 -패스워드 해쉬 값 절취 O 접속처 음폐 공작 -해킹 툴 등을 이용 O 파괴 공작 -Master Boot Table 등을 파괴 |
|
절취 | |
|
목적 성공 |
표적형 이메일의 헤더 정보를 주로 살펴 봐야 한다.
표적형 이메일을 방어 할려면..
1. 이메일 헤더를 통한 선별
해외 공격자 판단 방법
발신 경로
-> 도메인이나 IP를 보고 보낸 국가를 파악할 수 있다.
문자 코드
-> Subject부분에 다른 나라의 언어가 사용됬을 경우 의심해볼 수 있다.
타임 존
->해외에서 보낼 경우 Date의 + 시간이 다를 것이다.
2. 이메일에 담겨 있는 첨부파일 분석
-Word
-Excel
-PPT
-HWP
-Rich Text Format
--> Zero Day 취약점은 어케 막아야 할까..?
3. 이메일에 담겨 있는 URL 분석
위협 탐지
1. 표적형 이메일 수신자에 의한 탐지
2. 안티바이러스 게이트웨이, 안티바이러스 소프트웨어에 의한 탐지
3. 감사로그에 의한 탐지
4. MPS 등 멀웨더 대책 제품에 의한 탐지
5. 자산관리 툴에 의한 멀웨어 탐지
6. 앤드 포인트 대책 툴, 호스트형 IPS등에 의한 멀웨어 탐지
7. IPS, NGF 에 의한 탐지
8. 프록시 서버, URL 필터 로그에서 탐지
공격 트리거
중요한것
1. 압축과 업로드 관련 정보를 파악
2. Windows Prefetch 등 명령어 흔적 남는 곳을 파악
궁금한것
1. 다운로더의 패킷을 잡아 낼 수 있을까??
'프로젝트 관련 조사 > APT' 카테고리의 다른 글
| APT 탐지 프레임워크 (0) | 2015.10.01 |
|---|---|
| APT 공격 평가 (0) | 2015.10.01 |
| APT 공격 사례 탐구 (0) | 2015.09.30 |
| APT 공격유형과 대응방안 (0) | 2015.09.02 |
| APT대응 솔루션 비교 (0) | 2015.09.02 |