오브의 빛나는 별

공격자가 직접 침투해 다양한 도구를 이용하여 시스템을 장악하고 내부 정보를 유출하며 악용 가능. 이 과정에서 사용한 도구들은 모두 악성코드에 해당하며, 필요에 따라 분석할 역량 필요사이버 킬 체인최근 침투 동향은 군사적인 용어인 킬 체인을 사이버 세계에 접목한 사이버 킬 체인으로 언급전통적인 킬 체인1991년 걸프전 당시, 미공군이 처음 사용이를 통해 적의 공격 시설을 탐지하여 파괴 -F2T2EA 구성 방식을 가짐Find: 대상의 위치 파익Fix: 위치 수정 및 대상의 이동 제제Track: 대상의 움직임 모니터링Target: 대상에 사용할 무기 선정. 원하는 목적 수행Engage: 대상에 무기 사용Assess: 대상에 적용한 무기와 사용 이후의 정보를 수집하여 공격의 영향 평가사이버 킬 체인록히드 마틴에..

공격자들은 악성코드를 유포하기 위해 다양한 공격 기술뿐 아니라 사람의 심리까지 이용함. 따라서 악성코드 유입 경로를 알아보고 각각의 경로에 대해 악성코드에 감염되지 않기 위한 방안 계획해야 함감염 경로웹 사이트 방문인스턴트 메시징 프로그램전자 메일파일 다운로드사회 공학 기법OS와 소프트웨어 취약점이동형 저장 장치P2P 프로그램OS의 취약한 보안 설정 및 환경보안 의식 부재사용자의 호기심에 의한 클릭, 사용자의 불법적 행위를 이용하여 악성코드를 감염시키는 방식. 대부분의 백신이 손쉽게 탐지하고 차단사회 공학적 기법클릭 사기사용자가 필요한 형태로 악성코드 위장 ex) 윈도우 제품 인증 프로그램, 엔터테인먼트를 위장한 파일 또는 서리 프로그램대부분 사용자가 직접 다운로드 후 실행사이트에 머리카락 모양을 해놓고..

랜섬웨어의 감염 경로는 드라이브-바이 다운로드 공격과 스팸 메일 그리고 메일 서버에 직접 침투하여 설치하는 형태를 가짐. 또한 취약성을 이용하여 네트워크를 통해 스스로 전파하는 웜 형태도 나타남랜섬웨어 감염 경로악성 이메일봇넷을 임대하여 진행메일 서버를 탈취하여 진행메일에 랜섬웨어 감염 파일을 첨부해 전달다운로더 형태의 파일 전달실행하면 랜섬웨어를 다운로드하고 실행마이크로 오피스에서 사용하는 매크로 기능을 자주 이용JavaScript(.js)나 Windows Script File(.wsf)을 이용하기도 함첨부파일 자체가 랜섬웨어인 경우도 있음“고소장.doc.lnk” 바로가기와 함께 PE 파일로 구성된 “증거사진.jpg” 파일 실행 → 고소장.doc.lnk 실행 시 랜섬웨어를 동작시키는 C:\\Window..

몸값을 요구하는 Ransom과 제품을 의미하는 Ware의 합성어로 피해자의 시스템이나 파일을 볼모로 잡아 공격자의 요구사항을 수행할 수 밖에 없도록 구성하는 악성코드랜섬웨어 정의몸값을 요구하기 위해 암호학, 비암호학 등 다양한 방법 사용비암호학보통 Locker로 분류(MBR, 스크린 세이버 등 락을 걸어 협박게임 시간이나 점수를 만족해야 풀어주는 랜섬웨어도 등장랜섬웨어 역사암호학을 이용한 랜섬웨어의 발전은 2013년부터 시작본격적인 발전은 2014년부터 시작초기 암호기 관리 미흡으로 쉽게 대응 가능추적이 어려운 디지털 화폐 발생다양한 언어로 다양한 플랫폼에 적용 가능배포, 제작이 서비스 형태로 제작기존 고급 공격 기법과 조합이 쉬움 ex) APT + Ransomware암호화를 이용하는 랜섬웨어는 하이브리..

RAT 악성코드는 지속적으로 감시하고 분석할 수 있게 도와주는 역할 수행. 스파이웨어로 분류되기도 하며, 다양한 악성코드 기능이 함께 추가될 수 있음. 주로 APT 공격에 주요 악성코드임RAT 악성코드 정의Remote Access Trojan 약자감염시킬 악성코드를 생성하고 감염된 시스템을 통합 관리하는 도구 지칭대분류로 트로이목마에 속함정상적인 프로그램의 경우 Remote Administration Tool로 부름 ex) 팀 뷰어, MSTSCRAT 악성코드에 감염되면 감염된 시스템의 대부분을 감시/변조/관리/제어 가능RAT 소프트웨어, C2 서버, 악성코드 총칭1998년 NetBus와 BackOrifice 백도어를 시작으로 발전하기 시작초기엔 RAT 소프트웨어와 C2 서버가 하나로 구성되어 운영최근 A..

악성코드는 결국 프로그래밍으로 제작하기에 하나의 악성코드에 다양한 기능이 구현될 수 있음악성코드 분석가의 관점에 따라 동일한 악성코드가 분류되는 소유형이 상이할 수 있음협박Ransomware정상 기능을 제한한 후 협박하이브리드 암호 시스템의 발전과 블록체인, 코인 발전으로 급부상도청 & 감시Spyware도청과 감시에 특화된 소프트웨어Fedware - 연방 정부에서 제작한 SpywareKeylogger키보드 입력 정보 수집접근 & 강탈RAT원격 접속 및 제어Backdoor사용자 몰래 접근Rookits - Backdoor에 은닉 기능을 강화한 악성코드Banker금융 거래를 가로채거나 금융 정보를 수집ex) POS Malware, Phaming MalwareGame Thief게임 로그인 계정 수집다운로드Dro..

최초로 바이러스 용어를 사용한 사람은 프레드 코헨. 그가 쓴 논문에서 ‘변조’, ‘감염’, ‘전파’의 중요성 언급바이러스 개요프로그램이나 실행 가능한 어느 일부분 혹은 데이터에 자기 자신 또는 변형된 자신으로 복사하는 명령어들의 조합바이러스라는 단어를 사용하게 된 계기ex) 메르스 바이러스감염 대상 : 사람, 낙타증상 : 급성 호흡기 질환 + @ex) 컴퓨터 바이러스감염 대상 : 컴퓨터증상 : 컴퓨터 이상 증상 + @1971년 최초의 바이러스 - CreeperIT가 대중화되지 않았기 때문에 스턱스넷의 시초로 대평가1981년 교수들의 대화에서 Computer Virus 용어를 처음 사용1983년 프레드 코헨이 세미나에서 처음으로 바이러스 개념 제기1984년 프레드 코헨은 “컴퓨터 바이러스와 실험”을 첫 번..

POS기 해킹은 생각보다 빈번하게 발생하지만, 뉴스화된 경우가 적음. 대형 호텔의 POS기가 악성코드로 인해 오작동을 일으킨 사건이 있음2010년 스턱스넷이 발경된 이후 산업기반시설을 대상으로 한 공격도 꾸준히 발생 중. 국내에서는 서울 메트로에서 발생한 사건 존재산업 기반 시설 악성코드2015년 서울 메트로 해킹업무용 컴퓨터 관리 서버 해킹그 후 내부 PC 악성코드에 감염로그 관리 기간이 5개월 → 5개월 이전 공격 유무 및 유출 유무 파악 힘듦특별 감사 보고서 작성 및 공개분석, 감사 등 원인 규명하기 전 대부분 업무용 PC 포맷북한으로 추정국가의 보안을 책임지는 군사망을 해킹하는 사건 발생. 중국, 러시아, 미국 등 강대국은 서로의 국방력을 강화하거나 상대 국방력을 파악하기 위해 해킹 시도특수망 해..