Yozzang의 해킹일기 💻
article thumbnail
Published 2022. 7. 26. 00:35
시스템 보안 Certificate/정보보안기사
728x90

해당 포스트는 정보보안기사 필기시험을 대비하기 위해 작성한 필기본이다.

## 보안 운영체제 보호방법

  • 물리적 분리(Physical separation) : 사용자별로 별도의 장비만 사용하도록 제한하는 방법
  • 시간적 분리(Temporal separation) : 프로세스가 동일 시간에 하나씩만 실행되도록 하는 방법
  • 논리적 분리(Logical separation) : 각 프로세스가 논리적인 구역을 갖도록 하는 방법
  • 암호적 분리(Cryptographic separation) : 내부에서 사용되는 정보를 외부에서는 알 수 없도록 암호화하는 방법

## 파일 보호기법

  • 파일의 이름 명명(naming) : 다른 사용자 파일의 이름을 알 수 있는 기법이 없고 그 이름을 추측하기도 힘들다는 가정에 근거
  • 패스워드(password) : 각 사용자마다 다른 패스워드를 제공하여 그 패스워드를 알아야만 파일을 이용할 수 있게 하는 방법
  • 암호화(cryptography) : 파일 내용 자체를 암호화하여 누구나 공유할 수 있지만 인가된 사용자만 그 내용을 파악 가능토록 함

## 보안 운영체제의 보안 기능

  • 사용자 식별 및 인증 : 개별 사용자의 안전한 식별을 요구하며, 각각의 사용자는 고유하게 식별될 수 있어야 함
  • 임의적/강제적 접근 통제 : DAC신분기반정책이라고도 하는데, 주체나 소속 그룹의 신분에 근거하여 객체에 대한 접근을 제한하는 방법이고 MAC은 규칙기반정책이라고도 하는데, 객체의 비밀등급과 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제한하는 방법이다.
  • 객체 재사용(Object Reuse) 보호 : 보안 운영체제는 재할당되는 모든 기억장치 공간을 깨끗하게 지워야 함
  • 완전한 조정 : 보안 운영체제는 모든 접근을 통제하는 완전한 조정을 수행하여야 함
  • 신뢰 경로(Trusted Path) : 패스워드의 설정 및 접근 허용의 변경 등과 같은 보안 관련 작업을 수행할 때 사용자는 안전한 경로라고 불리는 안전한 통신을 원하는데 보안 운영체제는 이러한 안전한 경로를 제공
  • 감사 및 감사 기록 축소 : 모든 보안 관련 사건은 감사 기록부에 반드시 기록되어야 하고 감사 기록부는 명백하게 보호되어야 함

## 참조모니터, 보안커널, TCB

  • 참조모니터 : 주체의 객체에 대한 모든 접근통제를 담당하는 추상머신
  • 보안커널 : TCB 내에 있는 하드웨어, 소프트웨어, 펌웨어로 구성되며, 참조 모니터 개념을 구현하고 집행
  • TCB : 하나의 컴퓨터 시스템 내의 모든 보호 메커니즘의 총체로서, 시스템과의 조화를 통하여 보안 정책을 적용할 책임을 가짐

## 참조모니터 및 보안커널의 3가지 특징

  • 격리성(Isolation) : 분리되고, 부정조작을 방지한다.
  • 검증가능성(Verifiability) : 크기가 작아야 한다.
  • 완전성(Completeness) : 우회 불가능해야 한다.

*** 악성 프로그램 특성 비교

구분 컴퓨터 바이러스 트로이목마
자기복제 있음 없음 매우 강함
형태 파일이나 부트섹터 등 감염대상 필요 유틸리티로 위장하거나 유틸리티 안에 코드 형태로 삽입 독자적으로 존재
전파 경로 사용자가 감염된 파일을 옮김 사용자가 내려 받음 네트워크를 통해 스스로 전파
주요 증상 해당 컴퓨터의 시스템 및 파일 손상 PC 성능 저하, 좀비 PC 네트워크 성능 저하

*** 악성 소프트웨어의 분류

구분 설명 종류
독립형과 기생형 독립형 자체적으로 구동될 수 있는 프로그램으로 운영체제에 의해 스케줄되어 구동 웜, 좀비
기생형 프로그램 단편으로 다른 실제 응용프로그램이나 유틸리티나 시스템 프로그램 없이 독립적으로 존재할 수 없음 바이러스, 논리폭탄, 백도어
자기 복제 여부 바이러스성 자기 복제 함 웜, 바이러스
비-바이러스성 자기 복제 안 함 트로이목마, 백도어

## 바이러스의 분류

  • 부트 바이러스 : 부트 섹터
  • 파일 바이러스 : 실행되는 모든 파일
  • 부트/파일 바이러스 : 부트 섹터와 실행되는 모든 파일
  • 매크로 바이러스 : 오피스 문서

## 바이러스의 세대별 분류

  • 원시형 바이러스(Primitive Virus, 1) : 실력이 뛰어나지 않은 프로그래머가 만들어 프로그램 구조가 단순하고 분석이 상대적으로 쉬움
  • 암호화 바이러스(Encryption Virus, 2) : 백신 프로그램이 진단할 수 없도록 바이러스 프로그램의 일부 또는 대부분을 암호화시켜 저장
  • 은폐형 바이러스(Stealth Virus, 3) : 백신 프로그램이 감염된 부분을 읽으려고 할 때 감염되기 전의 내용을 보여줘 바이러스가 없는 것처럼 백신 프로그램이나 사용자를 속임
  • 갑옷형 바이러스(Armour Virus, 4) : 바이러스 분석을 어렵게 하고 백신 프로그램 개발을 지연 시킴
  • 매크로 바이러스(Macro Virus, 5) : 데이터 파일 중에 명령어를 실행시키는 MS 워드나 엑셀 등에 붙어서 그 파일이 열릴 때 실행됨

### 악성 소프트웨어 정리

  • 기생 바이러스 : 프로그램에 기생해서 자신의 복제를 다른 프로그램으로 확산시킨다.
  • : 자신의 복제를 다른 컴퓨터로 확산시킨다.
  • 논리폭탄 : 조건이 충족되면 트리거가 작동한다.
  • 트로이목마 : 생각지 못한 추가적인 기능을 포함하고 있는 프로그램
  • 백도어 : 기능에 허가받지 않은 접근을 허용하는 프로그램의 변형
  • 모바일 코드 : 스크립트, 매크로나 다른 이동성 명령어 같은 소프트웨어로, 서로 성격이 다른 많은 플랫폼으로 옮겨서 실행될 수 있고 똑같은 기능을 수행한다.
  • Exploit : 하나 혹은 여러 개의 취약점을 노리는 코드
  • Downloaders : 공격을 받는 컴퓨터에 다른 아이템을 설치하는 프로그램. 보통 다운로더는 전자우편을 통해 전달된다.
  • Auto-rooter : 악성 해커 도구로 새로운 시스템에 원격으로 침입할 때 사용하는 툴
  • Kit(virus generator) : 바이러스를 자동으로 생성하는 도구모음
  • 스패머 프로그램 : 원하지 않는 대량의 전자우편물을 보내는 데 사용한다.
  • 플러더 : 네트워크 컴퓨터 시스템에 대량의 자료를 보내어 서비스 거부 공격을 감행하는 데 사용하는 코드
  • Keyloggers : 피해를 입은 시스템의 키 입력을 갈취한다.
  • Rootkit : 컴퓨터 시스템에 침입 후 루트 수준의 접근허락을 얻기 위해 사용하는 해커 도구모음
  • 공격 킷 : 다양한 번식방법과 payload 기술을 사용하는 새로운 악성코드를 자동으로 만들어 주는 툴의 모음
  • 좀비 : 감염된 컴퓨터에서 활성화되는 프로그램으로 다른 컴퓨터에 대한 공격을 시작하는 데 사용된다.
  • 스파이웨어 : 컴퓨터에서 정보를 수집해서 다른 시스템으로 전송하는 소프트웨어
  • 애드웨어 : 소프트웨어에 내장된 광고, 감염시 팝업 광고가 뜨거나 브라우저가 광고 사이트로 연결한다.
  • 크라임웨어 : 온라인을 통해 불법적인 행동을 하기 위해 만들어진 프로그램
  • 브라우저 하이재커 : 브라우저를 하이재킹하여 홈페이지와 검색 페이지, 툴바를 통제하고 조작하는 프로그램
  • 다이얼러 : 모뎀이 특정 번로(1-900)로 연결되도록 하여 전화를 걸 때마다 공격자가 수익을 얻게 만드는 프로그램
  • 조크 : 실제 바이러스는 아니지만 사용자에게 심리적인 위협이나 불안을 조장하는 프로그램
  • Hoax : 남을 속이거나 장난을 목적으로 퍼트리는 가짜 바이러스로, 일반적으로 허위 바이러스 경고 메일형태

## 브라우저 사용 가능한 영역

  • 인터넷 : 다른 세 가지 영역에 포함되지 않은 웹사이트를 위한 영역
  • 로컬 인트라넷 : 사용자의 컴퓨터와 네트워크 상에 있는 웹사이트를 위한 영역
  • 신뢰할 수 있는 사이트 : 사용자가 안전한 콘텐츠를 갖고 있다고 신뢰하는 페이지를 설정하는 웹사이트 영역
  • 제한된 사이트 : 어떤 이유에서든 사용자가 신뢰할 수 없거나 보안 페이지로 설정할 수 없는 웹사이트 영역

### 쿠키 유형

  • 임시 쿠키(세션 쿠키) : 인터넷 익스플로러가 실행되고 있는 시간동안만 유효하다. 인터넷 익스플로러를 닫은 후 컴퓨터에서 제거되는 쿠키
  • 영구 쿠키(저장된 쿠키) : 하드디스크에 남아 있음. 보존기간은 설정에 따라 달라지며 몇 초에서 몇 년까지도 컴퓨터에 남아 있을 수 있음.

## 윈도우의 특징

  • GUI 환경
  • Plug & Play
  • 단축 아이콘/바로가기
  • 멀티태스킹
  • OLE(Object Linking Embedding)
  • 네트워크 기능 향상
  • 다중 모니터 지원
  • 정보의 전송 통합

### 윈도우 기본 그룹

  • Administrators : 도메인 자원이나 로컬 컴퓨터에 대한 모든 권한이 있다.
  • Account Operators : 사용자나 그룹 계정을 관리하는 그룹이다.
  • Backup Operators : 시스템 백업을 위해서 접근할 수 있다.
  • Guests : 사용권한이 제한된 그룹이다.
  • Print Operators : 도메인 프린터에 접근할 수 있다.
  • Power Users : 디렉터리나 네트워크 공유, 공용 프로그램 그룹 생성, 컴퓨터의 시계 설정 권한이 있다.
  • Replicator : 파일을 복제할 수 있는 권한을 가지고 있는 그룹이다.
  • Server Operators : 로컬 로그인과 시스템 재시작 및 종료 권한이 있다.
  • Users : 도메인과 로컬 컴퓨터를 일반적으로 사용하는 그룹이다.

### 윈도우 인증의 구성요소

  • LSA (Local Security Authority) : 모든 계정의 로그인에 대한 검증
  • SAM (Security Account Manager) : 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
  • SRM (Security Reference Monitor) : SID(Security Identifier)를 부여

### 레지스트리 루트 키

  • HKEY_CLASSES_ROOT(HKCR) : 파일 확장명과 응용프로그램의 연결정보가 들어있고, 윈도우 시스템에 들어있는 개체들 및 응용프로그램과 그 자동화에 대한 정보
  • HKEY_CURRENT_USER(HKCU) : 현재 로그인 되어 있는 사용자에 따라 달리 적용되는 제어판 설정, 네트워크 연결, 응용 프로그램 등을 저장
  • HKEY_LOCAL_MACHINE(HKLM) : 개별 사용자 단위가 아닌 시스템 전체에 적용되는 하드웨어와 응용 프로그램의 설정 데이터를 저장
  • HKEY_USERS : 사용자 프로필을 만들 때 적용한 기본 설정과 사용자별로 정의한 그룹 정책 등
  • HKEY_CURRENT_CONFIG(HKCC) : 현재 하드웨어 프로필 설정 등

## UNIX 시스템의 특징

  • 대화식 운영체제
  • 멀티태스킹
  • 멀티유저
  • 호환성 및 이식성
  • 계층적 파일시스템
  • 뛰어난 통신 기능
  • 다양한 기능의 유틸리티와 개발환경 제공

*** 데몬실행모드 비교

구분 xinetd 환경 서비스(리눅스) standalone 서비스
의미 xinetd 슈퍼데몬에 의해 제어되는 서비스들의 데몬 독립적으로 실행되는 서비스들의 데몬
실행방법 필요할 때 xinetd에 의해 수행됨 독립적인 서비스를 위하여 항상 독립적으로 수행됨
데몬상주 여부 xinetd에 의해 불린 후에 서비스 완료 후에는 종료됨 돌립적인 서비스를 위하여 항상 메모리에 독립 데몬으로 상주해 있음
접근제어 tcpd에 의해 접근제어됨(/etc/hosts.allow, /etc/hosts.deny 파일로 접근제어) tcpd와는 무관하지만 자체 설정파일에 의해 접근제어를 할 수도 있음
기타 /etc/xinetd.d/ 서비스명으로 된 xinetd 제어파일이 존재함 (telnetd, ftpd 등) httpd, sendmail, named 등

## 시스템 관리의 6가지 주제

  • 계정과 패스워드 관리 : 적절한 권한을 가진 사용자에 대한 인증 관리
  • 세션 관리 : 사용자와 시스템 또는 두 시스템 간의 활성화된 접속에 대한 관리
  • 접근 제어 : 시스템에 대한 네트워크 관점의 접근 통제
  • 권한 관리 : 시스템의 각 사용자가 적절한 권한으로 적절한 정보 자산에 접근할 수 있도록 통제
  • 로그 관리 : 시스템에 영향을 미치는 관련 사항을 기록
  • 취약점 관리 : 시스템 자체의 결함에 대한 관리

### 윈도우 시스템 이벤트 로그의 종류

  • 응용 프로그램 로그 : 응용 프로그램이 기록한 다양한 이벤트가 저장되며, 기록되는 이벤트는 소프트웨어 개발자에 의해 결정된다. (AppEvent.Evt)
  • 보안 로그 : 유효하거나 유효하지 않은 로그인 시도 및 파일 생성, 열람, 삭제 등의 리소스 사용에 관련된 이벤트를 기록한다. 감사로그 설정을 통해 다양한 보안 이벤트 저장이 가능하다. (SecEvent.Evt)
  • 시스템 로그 : Windows 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 이벤트에 기록한다. (SysEvent.Evt)
  • 디렉터리 서비스 로그 : Windows Active Directory 서비스에 발생하는 이벤트 (도메인 컨트롤러 구성)
  • 파일 복제 서비스 로그 : Windows 파일 복제 서비스에서 발생하는 이벤트 (도메인 컨트롤러 구성)
  • DNS 서버 로그 : Windows DNS 서비스에 발생하는 이벤트 (DNS 서버 구성)

### 윈도우 감사 정책

  • 개체 액세스 감사 : 특정 파일이나 디렉터리, 레지스트리 키, 프린터 등과 같은 객체에 대하여 접근을 시도하거나 속성 변경 들을 탐지한다.
  • 계정 관리 감사 : 신규 사용자, 그룹의 추가, 기존 사용자 그룹의 변경, 사용자의 활성화나 비활성화, 계정 패스워드 변경 등을 감사한다.
  • 계정 로그인 이벤트 감사 : 로그인 이벤트 감사와 마찬가지로 계정의 로그인에 대한 사항을 로그로 남기는데 이 둘의 차이점은 전자는 도메인 계정의 사용으로 생성되는 것이며, 후자는 로컬 계정의 사용으로 생성되는 것이다.
  • 권한 사용 감사 : 권한 설정 변경이나 관리자 권한이 필요한 작업을 수행할 때 로깅한다.
  • 로그인 이벤트 감사 : 로컬 계정의 접근 시 생성되는 이벤트를 감사한다. 계정 로그인 이벤트 감사에 비해 다양한 종류의 이벤트를 확인할 수 있다.
  • 디렉터리 서비스 액세스 감사 : 시스템 액세스 제어 목록이 지정되어 있는 액티브 디렉터리 개체에 접근하는 사용자에 대한 감사 로그를 제공한다.
  • 정책 변경 감사 : 사용자 권한 할당 정책, 감사 정책 또는 신뢰 정책의 변경과 관련된 사항을 로깅한다.
  • 프로세스 추적 감사 : 사용자 또는 응용 프로그램이 프로세스를 시작하거나 중지할 때 해당 이벤트가 발생한다.
  • 시스템 이벤프 감사 : 시스템의 시동과 종료, 보안 로그 삭제 등 시스템의 주요한 사항에 대한 이벤트를 남긴다.

## 리눅스/유닉스 시스템 로그 정리

  • wtmp : 사용자 로그인, 로그아웃 정보 및 시스템의 shutdown, booting 정보를 가진 파일
  • utmp : 현재 로그인한 사용자 정보를 담고 있는 DB 파일
  • btmp : 로그인 실패 정보를 기록한다.
  • pacct : 사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 시간, 작동된 tty 등에 대한 정보를 수집한다.
  • history : 사용자별로 실행한 명령을 기록하는 로그
  • lastlog : 각 사용자들의 최근 로그인 시각과 접근한 소스 호스트에 대한 정보를 가진 파일
  • sulog : su 명령어를 사용한 경우, 그에 대한 정보를 가진 파일
  • dmesg : 리눅스가 부팅될 때 출력되는 모든 메시지를 기록한다.
  • cron : 시스템의 정기적인 시스템 로그파일
  • messages : 시스템의 가장 기본적인 시스템 로그파일로서 시스템 운영에 대한 전반적인 메시지를 저장한다.
  • secure : 주로 사용자들의 원격접속 즉, 원격로그인 정보를 기록한다.

## 네트워크 모니터링 및 침입탐지 도구

  • Snort : 실시간 트래픽 분석과 IP 네트워크에서의 패킷 처리를 담당하는 공개 소스 네트워크 침입 방지 시스템(IPS)
  • 방화벽 (TCP-Wrapper) : 네트워크 서비스에 관련한 트래픽을 제어하고 모니터링 할 수 있는 UNIX 기반의 방화벽 툴
  • IPchain/IPtable : 패킷필터링 방화벽

## 프로세스 메모리 구조

  • Text 영역 : 프로그램 코드와 상수가 정의되어 있고, 읽기만 가능한 메모리 영역이기 때문에 데이터를 저장하려고 하면 분할 충돌을 일으켜 프로세스가 중지됨
  • Data 영역 : 전역 변수와 정적 변수가 저장되어 있는 영역
  • Heap 영역 : 프로그래머의 필요에 따라 동적 메모리 호출에 의해 할당되는 메모리 영역
  • Stack 영역 : 함수 인자 값, 함수 내의 지역 변수, 함수의 반환 주소 등이 저장되는 영역으로 상위 메모리 주소에서 하위 메모리 주소로 데이터가 저장됨

## 버퍼 오버플로우

: 프로그램의 복귀주소를 조작, 궁극적으로 해커가 원하는 코드가 실행하게 하는 공격 방법

### 종류

  • 스택 오버플로우 : 저장된 데이터는 인접한 변수영역까지 침범하여 포인터 영역까지 침범하므로 해커가 원하는 특정 코드가 실행
  • 힙 오버플로우 : malloc 같은 메모리 할당 함수를 이용하여 프로그램을 사용할 때 할당하며 힙 영역을 오버플로우 시켜서 특정 코드를 실행

### 대응책

  • 경계값 체크나 파라미터 체크
  • 안전한 라이브러리의 사용
  • 스택보호 메커니즘 (Stack Guard) : 함수의 진입과 종료 코드를 조사하고 함수의 스택 프레임에 대해 손상이 있는지를 검사
  • 스택 쉴드 (Stack Shield) : 리턴 주소를 안전한 공간에 복사해 두고, 함수가 종료될 때 현재 스택의 리턴 주소와 복사해둔 리턴 주소를 비교하여 변조되었는지 확인
  • 실행가능 주소 공간의 보호 : 스택과 힙을 실행불능으로 만듦
  • 주소 공간의 임의 추출 (ASLR) : 공격을 막는 다른 실행 시간 기법으로는 프로세스 주소 공간에 있는 중요 데이터 구조의 위치를 조작
  • 벤더에서 제공하는 소프트웨어 관련 패치를 적용

## 각종 시스템 보안위협 정리

  • 버퍼 오버플로우 공격 : 프로세스가 정해진 크기의 버퍼 한계를 벗어나 이웃한 메모리 위치에 데이터를 겹쳐 쓰려고 시도하는 것과 같은 프로그래밍 오류의 결과로 발생
  • 포맷 스트링 공격 : printf 등의 함수에서 문자열 입력 포맷을 잘못된 형태로 입력하는 경우 나타나는 버그
  • 레이스 컨디션 공격 : 관리자 권한으로 실행되는 프로그램 중간에 끼어들어 자신이 원하는 작업을 하는 것
  • 백도어/트랙도어 : 시스템의 보안이 제거된 비밀통로로서, 서비스 기술자나 유지보수 프로그래머들의 접근 편의를 위해 시스템 설계자가 고의적으로 만들어 놓은 통로
  • 루트킷 : 관리자 권한 획득 등 주로 불법적인 해킹에 사용되는 기능들을 제공하는 프로그램의 모음
  • 리버스 엔지니어링 : 공격자는 리버스 엔지니어링을 통해 공격대상 시스템 또는 응용프로그램에 대한 분석을 수행

## 블록 체인

: 온라인 금융 거래 정보를 블록으로 연결하여 피투피 네트워크 분산 환경에서 중앙 관리 서버가 아닌 참여자들의 개인 디지털 장비에 분산, 저장시켜 공동으로 관리하는 방식

### 기반 기술

  • 분산 네트워크 : 블록체인 정보는 네트워크에 참여하는 노드들이 가지고 있으며 동일한 거래 내역이 분산 저장되어 관리
  • 암호기술 : 공개키 암호와 전자서명, 해시 함수
  • 이중거래 방지 : 두 곳 이상의 계좌로 송금하는 행위를 방지하기 위해서 총 통화량, The Longest Chain Wins 메커니즘을 이용
  • 합의 기법 : 작업증명, 지분증명
  • 작업증명(PoW, Proof of Work) : 새로 만든 블록을 앞 블록에 연결하는데 필요한 해시를 만들고 해시 연결성을 검증하여 데이터가 중간에 위변조가 되지 않았음을 확인
  • 지분증명(PoS, Proof of Staking) : 컴퓨팅 파워가 아닌 자신이 가진 가상통화의 양, 즉 지분에 따라 블록을 생성하고 추가적으로 발행되는 코인을 받음

*** 블록체인 유형별 주요 특징

구분 퍼블릭 블록체인 프라이빗 블록체인
속도 느림 빠름
권한 모든 참여자가 읽기, 쓰기, 합의 등 권한 보유 구성원에 따라 사용 가능한 권한 지정 가능
서례 비트코인(가상통화), 이더리움(가상통화/스마트계약) 코다(금융), 하이퍼레저(범용)

## 사물인터넷

: 실세계와 가상 세계의 다양한 사물들을 연결하여 진보된 서비스를 제공하기 위한 서비스 기반시설

### 암호 알고리즘

  • 무선통신/네트워크 : ZigBee, Bluetooth, 6LoWPAN, Z-Wave, IEEE802.15.4, LoRA, Wi-Fi

*** 구축형 환경 vs 클라우드 환경

구축형(소유형) 환경 클라우드(공유형) 환경
많은 초기 구매 비용(HW 임대 및 구축) 초기 투자비용 없음
인력, 패치 및 업그레이드 등 높은 유지비용 낮은 유지비용
고정 용량 및 정해진 자원 할당 유연한 용량 및 효율적인 자원 할당
구매 및 설치 신청 후 빠른 서비스 이용 가능
지리적 한정 지리적 한정 없음
한정된 트래픽 처리 대규모의 트래픽 수용 가능

*** 일반 악성코드와 랜섬웨어의 차이점

구분 일반 악성코드 랜섬웨어
유포 웹사이트, 이메일, 네트워크, 취약점 등 유포방식 동일
감염 SW 취약점 또는 피해자의 실행으로 악성코드 감염 동일
동작 정보 및 파일 유출, DDoS 공격 등 문서, 사진, MBR 등 데이터 암호화
치료 백신 등을 통해 악성코드 치료 백신 등을 통해 악성코드 치료 -> 암호화된 파일은 복구 어려움
피해 개인, 금융 정보 유출 및 이를 이용한 2차 공격으로 피해 발생 암호화된 파일에 대한 복호화를 빌미로 가상통화로 금전을 요구

## APT(Advanced Persistent Threat)

: 특정 대상을 겨냥해 다양한 공격 기법을 이용하여 장기간 지속적으로 공격하는 것

### 공격 단계

  1. 침투
  2. 정보 검색
  3. 기밀 정보 수집
  4. 유출

### 주요 침투 기법

  • 스피어 피싱(Spear Phishing) 공격 : 불특정 다수가 아닌 특정인을 표적으로, 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 이용해 악성 웹사이트로 유도 또는 악성 첨부 파일로 악성코드에 감염시키는 방식
  • 드라이브-바이-다운로드 공격(dirve-by-download attack) : 목표로 삼은 조직의 구성원이 방문할 가능성이 높은 사이트를 미리 알아서 침해한 뒤 접속 즉시 악성 코드가 다운로드 되도록 하는 공격
  • 워터링 홀(Watering Hole) 공격 : 사자가 먹이를 습격하기 위해 물웅덩이 근처에서 매복하고 있는 형상을 빗댄 것으로 표적 공격의 일종

'Certificate > 정보보안기사' 카테고리의 다른 글

애플리케이션 보안  (0) 2022.08.02
네트워크 보안  (0) 2022.07.29
접근통제  (0) 2022.07.25
암호학  (0) 2022.07.24
정보보호 개요  (0) 2022.07.22
profile

Yozzang의 해킹일기 💻

@요짱

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

검색 태그

웹해킹
LENA
포렌식
리눅스
레나 튜토리얼
Python
워게임
Lord of SQLInjection
wargame
Computer Graphics
명령어
forensic
lena tutorial
Reverse Engineering
리버싱
sql injection
알고리즘
DVWA
pwnable
리눅스 명령어
디지털 포렌식
XSS
reversing
레나
정보보안기사
python challenge
Los
드림핵
CTF
dreamhack

티스토리툴바