[KISA] TTPs#1 홈페이지를 통한 내부망 장악
TTPs#1
홈페이지를 통한 내부망 장악
출처 : KISA 보호나라, https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=TTP&menuNo=205021&pageIndex=1&categoryCode=&nttId=35330
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
1. 서론
2. 개요
3. ATT&CK Matrix
- Initial Access : 최초 침투
- Execution : 실행
- Persistence : 지속성 유지
- Privilege Escalation : 권한 상승
- Defense Evasion : 방어 회피
- Credential Access : 계정정보 접근
- Discovery : 탐색
- Collection : 정보 수집
- Lateral Movement : 시스템 내부 이동
- Command and Control : 명령제어
- Exfiltration : 정보 유출
4. 결론
5. Yara rule
최근까지 공격을 받은 피해 시스템을 2개월에 걸쳐 분석하고 조치하였으며 수집한 정보를 종합하여 다음과 같이를 도출하였다
① 최초 침투(Initial Access)
공격자는 외부에 노출되어있는 사내 홈페이지를 통해 최초로 접근을 시도하였다. 이후 특정 계정으로 로그인을 단번에 성공한 것으로 보아 외부 노출 페이지와 , 계정정보를 기존에 미리 수집한 것으로 추정된다.
공격자는 게시판에 존재하는 파일 업로드 취약점을 이용하여 웹셸을 업로드하고 이를 통해 서버를 제어한다.
② 접근 권한 수집
- 웹셸로 접근하였기 때문에 웹 서비스 권한만 소유한 공격자는 추가적인 악성 행위를 위해 운영체제에 존재하는 취약점을 이용하여 권한 상승을 시도하였다 .
- 이후 추가적인 계정 정보를 수집하기 위해 키로깅 악성코드를 설치한다
③ 내부전파
- 권한 상승에 성공한 공격자는 이후 추가적인 전파를 위해 네트워크 공유를 이용한다. 이때 같은 계정을 사용하거나 세션이 유지되고 있는 서버에 대한 접근에 성공한다.
④ 악성코드 실행
- 이후 공격자는 at 명령어를 이용하여 악성코드를 스케줄러에 등록하여 실행하거나, sc 명령어를 이용하여 서비스로 등록하여 실행시킨다
⑤ 흔적 삭제
- 공격자는 공격을 마치거나 또는 거점으로서 일시적으로 이용한 서버에 대해서는 이벤트로그를 삭제하거나 악성코드를 삭제함으로서 공격의 흔적을 지운다.
⑥ 탈취 정보
- 공격자는 최종적으로 악성코드의 명령을 통하여 사내 정보를 수집하며 웹 페이지가 운영되는 서버에서는 웹로그도 수집한다.