APT공격이란 ? 공부하자
페이지 정보
작성자 게시판관리자 작성일22-11-30 20:20 조회8,221회 댓글0건관련링크
본문
APT 공격
- 개념
- APT(Advanced Persistent Threat) 정의 - 특수목적을 가진 조직이 기간 시설 망 또는 핵심보안업체 등을
- 표적으로 삼고 다양한 IT기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를
- 바탕으로 피해를 끼치는 공격
I. 다양하고 지속적인 지능형 타깃위협, APT 개요
가. APT(Advanced Persistent Threat) 정의
특수목적을 가진 조직이 기간 시설 망 또는 핵심보안업체 등을 표적으로 삼고 다양한 IT기술과 방식들을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격
나. APT의 특징
특징 | 설명 |
명확한 타겟 (Victim) 목표
| 불특정 다수가 아닌 명확한 표적을 정하여 지속적인 정보수집 후 공격감행 |
우회공격 | 시스템에 직접 침투하는 것뿐 아니라, 표적 내부직원들이 이용하는 다양한 단말을 대상 |
지능화 | 한가지 기술만이 아닌 Zero-day 취약점, 악성코드 등 다양한 보안위협공격기술사용 |
지속적 | 특정조직이 특정목적을 달성하기 위해 끊임없이 새로운 기술과방식을 지속적으로 이용 |
나. APT의 공격방식
공격방식 | 설명 |
스피어피싱 (Spear Phishing) |
|
PLC (Programmable Logic Controller) |
|
익스플로잇(Exploit) |
|
내부자 위협 |
|
APT 라이프 사이클 |
|
사회공학적 기법(Social ngineering) |
|
* 선택과 집중의 방법을 통해 해킹대상의 집요한 지속적 공격
II. APT 공격 시나리오에 따른 공격기법
단계 | 공격기법 | 설명 |
침투 (Incursion) 훔친 인증정보, SQL 인젝션, 악성코드 등을사용하여 오랜시간에거쳐 공격대상 시스템에 활동 거점을 구축 | 관찰 (Reconnaissance) | APT 공격자들은 표적대상을 파악하기 위해 수개월에 걸쳐 철저히 분석 |
사회공학 (Social Engineering) | 내부 임직원의 실수 또는 부주의로첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용 | |
제로데이취약점 (Zero-day vulnerabilities) | 개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의허점 | |
수동공격 (Manual Operation) | 자동화 대신 각각의 개별시스템과사람을 표적으로 삼고, 고도의 정교한 공격을 감행 | |
탐색 (Discovery) APT 공격자는 한번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한정보를 수집하고 기밀데이터를 자동으로 검색 | 다중벡터 (Multiple Vector) | APT 공격 시 일단 악성코드가 호스트 시스템내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격툴들을 다운로드 |
은밀한 활동 (Run silent, run deep) | APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계됨 | |
연구 및 분석 (Research and analysis) | 정보 검색은 네트워크구성, 사용자아이디 및 비밀번호등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반함 | |
수집 (Capture) 보호되지 않은 시스템의 데이터는 공격자에게 노출 | 은닉 (Convert) | 1차 공격 성공 후, 정상 이용자로 가장하여 정보수집 및 모니터링 활동을 진행 |
권한상승 (privilege escalation & lateralization) | 시스템 접근을 위한 시스템 접근권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종접근행위. (브루트포스(Brute Force) : 패스워드 등의 계정정보를 획득) | |
제어 (Control) APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW 및 HW에 손상을 입힘 | 유출 (Exfiltration) | 기밀 데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송 |
중단 (Disruption) | APT 공격자는 원격시동 이나 SW, HW 시스템을 자동 종료 할수도 있음 |
V. APT 대응활동
- APT 발생이전과 이후로 나누어, 위험예방전략, 악성코드유입최소화, 악성코드 감염예방, 데이터유출예방, 위험탐지와 대응활동 등을 수행
시기 | 활동 | 내용 |
위험발생 이전 (시큐리티 대응센터) | 위험 예방 전략 수립 | 보안관제 수행 위험분석 수행 보안전략 유효성 분석 |
위험발생 이전 (시큐리티 대응센터) | 악성코드 유입 최소화 | 보안 인식 교육 수행 지속적 보안 업데이트 관리 보안 소프트웨어 설치 및 운영 |
위험발생 이후 (침해사고 대응센터) | 악성코드 감염 예방 | 어플리케이션 화이트리스트 접근 권한의 최소화 네트워크 접근 제한 및 분리 신원확인 및 접근 권한관리 |
위험발생 이후 (침해사고 대응센터) | 데이터 유출 예방 | 중요 데이터 보호 중요 데이터 유출 예방 |
위험발생 이후 (침해사고 대응센터) | 위험 탐지와 대응 | 호스트 및 네트워크 이상징후 탐지 침해사고 대응 프로세스 수행 침해사고 포렌식 프로세스 수행 |
VI. APT 공격에 대한 대응방법
대응방법 | 보안 강화 내용 | 대상 조직 |
보안관리 및 운영 | 조직의 종합적인 보안위험 분석 후 보안체계 재정비 | 보안정책관리 조직 |
보안교육 강화 | 조직 구성원들의 적극적인 참여 유도, 효과적인 보안교육 실시 | 임직원 대상 |
엔드포인트 보안 | APT공격의 1차대상인 엔드포인트 보안 강화 인터넷, 이메일, 메신저, P2P 통신서비스 제한 | 엔드포인트 단말 |
접근권한관리 | 조직의 중요정보보호에 대한 접근권한관리, 권한관리자 최소화, 접근권한 세분화, 사람/기기 인증 추가 | 권한관리 인가자 |
중요정보 암호화 및 DLP운영 | 조직 내 중요정보는 암호화 저장, 정보유출방지를 위한 DLP(Data Loss Prevention)솔루션 운영 | 암호화 솔루션 |
계층형 방어 (Layered Defence) | 단계별, 용도별 배치로 계층적 방어 구현 | CPNT Layered 방어 |
- APT공격은 조직적으로 하나의 표적을 대상으로 장기간 지속적으로 이루어지므로, 조직내부의 구성원들의 체계적인 대응이 무엇보다도 중요함.
- 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책 필요
출처 : 지식덤프 (jidum.com)
댓글목록
등록된 댓글이 없습니다.