표적공격(Targeting Attack)-실습

K-shield 정규교육과정 1차 실습을 통한 표적공격(Targeting Attack)

강사 : 주한익(코어시큐리티/보안기술연구소/CTO)

https://www.boannews.com/media/view.asp?idx=98601

이론 정리 (지난 주 수업내용 링크 걸기)

이론) 표적공격과 관련된 기술적 동향과 관련 용어 MITRE ATT&CK 모델 TTPs(Tactic, Technique, Procedure)s BAS(Breach and Attack Simulation) 데이비드 비얀코's Incident Response Pyramid of Pain LoL(Living of the Land) / LoLBins

Fileless Attack (파일리스 공격)

이론) Fireless 공격
 Q. 공격자가 실행파일(PE)을 공격대상 시스템에 업로드하기 힘들어진 이유가 무엇일까요?

백그라운드
프로세스 메모리 가상주소 공간에서 어떤식으로 동작할 수 밖에 없는지(공격자 관점에서 이해)
공격자들이 과거에는 악성실행 파일들을 조각조각 만들어서 공격을 시도
요즈음에는 보안장비에서 탐지가 잘 되도록 용이
드웰타임? 공격자가 표적 네트워크나 시스템에 머무르는 시간을 의미 (FireEye, Mandiant 보고서에서 자주 사용하는 용어), 공격자가 최초 발견된 시간부터 발견이 되서 흔적이 제거되기 전까지의 시간 예:우리 솔루션, 서비스는 드웰타임을 평균 2~3개월, 6개월 내로 줄일 수 있습니다. 침해사고 발생하면 금방 탐지된다는 얘기. 드웰타임 체계들 때문에 실행파일을 올리는 것을 꺼려하게 되고 탐지되면 이것자체가 프로파일되기 때문에.
그렇기 때문에 LoLBins을 사용하게 되었다.

운영체제 부팅 - 커널이미지 로딩(ntoskrnl.exe)