[정보보안] 사이버 공격 - Land Attack
Land Attack은 보통 특정 기업을 타겟으로 사이버 공격을 수행한다.
이러한 특정 기업을 타겟으로하는 고도화 공격은 윈도우에서 정상적으로 사용하는 유틸리티 도구를 이용한다.
윈도우 유틸리티의 정상 프로세스 및 DLL 파일에 악성 페이로드를 주입하여 공격을 실행하는데 기존의 보안 솔루션들의 탐지를 회피하도록 설계하여 공격을 진행한다.
<Land Attack의 특징>
- 윈도우에서 실행되는 정상 파일들을 악용하여 엔드포인트에 설치된 보안 제품의 탐지를 회피한다.
- Fileless 형태로 서버 혹은 데스크톱의 메모리에 상주하여 보안 제품들의 탐지나 대응이 어렵다.
<Land Attack의 주요 공격 Flow>
1) 이메일 송신
- 정상 메일 및 정상 첨부파일로 위장하여 기업내 임직원들의 메일로 사전 배포 된다.
- 해당 메일 혹은 문서를 실행할 경우 오피스나 문서 앱의 취약점을 악용하여 삽입된 커맨드가 실행된다.
2) 윈도우 유틸리티 실행
- 보안 제품의 탐지 및 삭제를 우회하는 목적으로 윈도우 정상 유틸리티 도구를 사용하여 웹사이트를 접속 유도한다.
- 해킹한 웹사이트로부터 암호화 처리된 악성 페이로드를 다운로드한다.
3) 정상 DLL 로드
- 페이로드가 복호화되어 정상 DLL 파일을 로드한다.
- 로드된 정상 DLL 파일을 대상으로 악성 페이로드 코드를 주입하여 공격이 실행된다.
[정보보안] 사이버 공격 - Covering Track
Covering Track은 해커들의 목적을 달성한 후 침입 흔적을 제거하여 침해사고를 인지하더라도 해커의 추적을 어렵게하는 공격 전술이다.
주요 흔적들을 제거하기때문에 포렌식을 통한 사후 조사나 분석에 많은 고충이 발생한다.
<Covering Track의 특징>
- 침해사고를 인지 후 공격자의 의도적인 작업 내역 삭제로 사후 추적이 불가하다.
- 침해 흔적이 남지 않아 사고의 원인 파악 없이 악성 파일의 삭제나 단순 시스템 포맷 등의 일차적 대응만 가능하다.
- 침해 흔적 파악 포렌식 작업에 많은 시간과 전문 인력이 필요하나 원인을 찾지 못하는 경우도 있다.
<Covering Track의 주요 공격 Flow>
1) 사전준비
2) 배포
3) 익스플로잇
4) 백도어 설치
5) C&C 접속
6) 내부이동
7) 데이터 유출
8) 흔적 지우기