[IT 및 보안] 💻/[IT 및 보안] 보고서 📋

[KISA] TTPs#2 스피어 피싱으로 정보를 수집하는 공격망 구성 방식 분석

제나나 2025. 1. 4. 02:22
반응형

TTPs#2

스피어 피싱으로 정보를 수집하는 공격망 구성 방식 분석

출처 : KISA 보호나라, https://boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000127&searchWrd=TTPs&menuNo=205021&pageIndex=2&categoryCode=&nttId=35471

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

1. 서론
2. 개요
3. ATT&CK Matrix
 - Initial Access : 최초 침투
 - Execution : 실행
 - Persistence : 지속성 유지
 - Privilege Escalation : 권한 상승
 - Defense Evasion : 방어 회피
 - Credential Access : 계정정보 접근
 - Discovery : 탐색
 - Collection : 정보 수집
 - Lateral Movement : 시스템 내부 이동
 - Command and Control : 명령제어
 - Exfiltration : 정보 유출
 - Impact : 시스템 충격
4. 악성코드 상세 분석
5. 결론
6. Yara rule

개요

ⓛ 공격 준비

먼저 공격자는 다수 홈페이지를 운영 중인 호스팅 서버를 장악하여 거점으로 활용한다. TTPs#1 보고서에 서술된 바와 같이 취약한 홈페이지를 통해 웹셸을 업로드하고 호스트 시스템의 취약점을 공격하여 권한 상승을 시도한다. 시스템의 관리자 권한을 획득하는데 성공하면 웹 소스코드 변조, 데이터베이스 접근 등의 모든 행위가 가능해진다.

 

② 공격 대상에게 스피어 피싱 발송

거점을 확보한 공격자는 공격 대상을 선정한다. 외부에 노출된 메일 주소를 수집하고 공격 대상의 업무와 밀접한 내용으로 메일을 작성한다. 신뢰할 수 있도록 꾸민 메일을 발송하여 악성코드가 담긴 첨부 파일 열람을 유도하거나 취약한 웹 사이트에 접속하도록 유도한다. 그렇기 때문에 IT 관련 실무자보다는 외부인과의 접촉이 많은 인사, 영업 등의 담당자들이 공격에 보다 쉽게 노출된다.

 

③ 최초 침투

공격자는 공격 대상을 감염시킬 때 두 가지 방법을 사용한다. 첫번째는 악성 한글 문서 파일을 첨부하는 방법이고, 두번째는 공격 준비 단계에서 확보한 거점에 취약점 코드를 삽입하고 접속을 유도하는 방식이다.

Spearphishing Attachment : 메일에 악성코드 첨부
Spearphishing Link : 메일에 악성 사이트 링크 삽입
Drive-by Compromise : 웹 사이트 접속 시 악성코드 감염
Exploit Public-Facing Application : 공개된 어플리케이션 취약점 악용

 

④ 시스템 정보 수집

최초 침트에 성공하게 되면 네트워크 정보, 호스트 이름 등의 기본적인 시스템 정보를 수집한다. 이후 확보된 권한 및 내부 네트워크 구조를 파악하고 추가 악성행위 여부를 결정한다. 공격자는 감염된 시스템에 추가 악성코드 설치와 명령 결과 수집을 보다 원활하게 수행하기 위해 원격에 있는 공격자의 드라이브를 감염 시스템에 연결하기도 한다.

 

⑤ 권한 상승

공격자는 최초 침투 시 제한된 권한을 가지며 보다 많은 작업을 수행하기 위해 관리자 권한을 필요로 한다. 따라서 권한 상승 취약점을 유발하는 악성코드 또는 도구 등을 이용한다.

 

⑥ 지속성 확보

최초 침투에 성공하였다 하더라도 감염 기기가 재부팅되거나 예기치 못한 프로세스 충돌 등으로 악성코드가 종료되어 침투 경로를 잃을 수 있다. 이를 방지하기 위해 악성코드가 다시 실행 될 수 있도록 서비스 등록, 시작 프로그램 설정, 작업 스케줄러 등록, 웹셸 삽입 등의 행위를 한다.

 

⑦ 내부 정보 수집

본격적으로 악성코드를 통해 감염 긱기의 내부 기밀문서, 전체 네트워크 구조, 계정 크리덴셜 정보 등을 수집한다. 이때 공격자는 효율적이고 간편한 정보 수집, 백신 탐지 회피 목적으로 정상 프로그램을 사용하기도 한다.

 

⑧ 내부 전파

기존에 수집한 계정정보를 이용하여 공유된 네트워크에 접속을 시도한다. 이후 중요 정보가 담긴 주요 시스템까지 도달하기 위해 ' ④ 시스템 정보 수집 ~ ⑦ 내부 정보 수집'까지의 과정을 반복 수행한다. 망분리 정책이 적용되어있을 경우 외,내부간의 접점이 되는 시스템(망연계 솔루션, DRM 솔루션 등)을 찾고 해당 시스템의 취약점을 발굴하여 공격을 시도하기도 한다.

 

⑨ 흔적 삭제

공격에 사용되었던 악성코드와 사용한 도구들은 즉시 삭제하여 흔적을 지운다. 이때 지속성 확보를 위해 설치한 악성코드는 제외한다.

TTPs_2_스피어_피싱으로_정보를_수집하는_공격망_구성_방식.pdf
10.06MB

 

 

KrCERT Operation BookCode Yara Rule V2.yar
0.01MB

 

 

 

반응형
저작자표시 비영리 동일조건