KR20150122009A - 공격 분류 맵 제공 장치 - Google Patents

공격 분류 맵 제공 장치 Download PDF

Info

Publication number
KR20150122009A
KR20150122009A KR1020140048327A KR20140048327A KR20150122009A KR 20150122009 A KR20150122009 A KR 20150122009A KR 1020140048327 A KR1020140048327 A KR 1020140048327A KR 20140048327 A KR20140048327 A KR 20140048327A KR 20150122009 A KR20150122009 A KR 20150122009A
Authority
KR
South Korea
Prior art keywords
attack
classification map
attack classification
point corresponding
malicious code
Prior art date
Application number
KR1020140048327A
Other languages
English (en)
Other versions
KR102186212B1 (ko
Inventor
김영수
김익균
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140048327A priority Critical patent/KR102186212B1/ko
Publication of KR20150122009A publication Critical patent/KR20150122009A/ko
Application granted granted Critical
Publication of KR102186212B1 publication Critical patent/KR102186212B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 실시예에 다른 공격 분류맵 제공 장치는 사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스, 미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서, 상기 명령어를 적재하는 메모리 및 상기 공격 분류맵을 저장하는 스토리지를 포함하되, 상기 명령어는 상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 한다.

Description

공격 분류 맵 제공 장치{APPARATUS AND METHDO FOR PROVIDING A PHASED ATTACK CLASSIFICATION MAP}
본 발명은 보안 기술에 관한 것으로, 보다 상세하게는 사이버 표적 공격(APT, Advanced Persistent Threat) 탐지를 위한 공격 분류 맵을 제공하는 기술에 관한 것이다.
2009년 7월과 2011년 3월에 각각 발생하였던 7.7 DDoS 공격과 3.4 DDoS 공격은 청와대와 포털 등 국내 주요 홈페이지를 대상으로 한 사이버 테러의 예로, 400억 가량의 경제적 손실이 발생하였다. 1년 이상의 장기간 침투를 통해 공격이 이루어졌던 농협 전산망 장애 공격은 서비스 정상화가 며칠 동안 차질을 빚으면서 세간의 이슈가 되었고, 포렌식 준비도(Forensic Readiness)의 필요성이 제기되는 계기가 되었다.
본 발명이 해결하고자 하는 과제는 사이버 표적 공격을 사전 준비, 내부망 침투, 내부 행위, 그리고 최종 목적 달성 등 4단계로 구분하고 각 단계별로 발생 가능한 공격 방법들을 분류함으로써 공격을 다양한 포인트에서 탐지할 수 있도록 하는 공격 분류 맵을 제공하는 장치를 제공하는 것을 목적으로 한다.
본 발명의 일 측면에 따르면, 사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스; 미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서; 상기 명령어를 적재하는 메모리; 및 상기 공격 분류맵을 저장하는 스토리지를 포함하되, 상기 명령어는 상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계; 를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 장치가 제공된다.
상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함할 수 있다.
상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함할 수 있다.
상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함할 수 있다.
상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함할 수 있다.
본 발명의 다른 측면에 따르면, 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정에 있어서, 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계; 를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 방법이 제공된다.
상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함할 수 있다.
상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함할 수 있다.
상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함할 수 있다.
상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함할 수 있다.
상술한 바와 같이 본 발명에 따르면, 사이버 표적 공격을 단계별로 나누고 각 단계별로 가능한 공격 방법들을 분류한 맵을 통하여 다양한 시나리오를 도출함으로써 사이버 표적 공격을 다양한 공격 포인트에서 탐지하는 것을 용이하게 할 수 있다.
또한, 본 발명에 따르면, 사이버 표적 공격을 공격 분류맵을 통해 정형화된 형태로 표현할 수 있다.
도 1은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치를 예시한 도면.
도 2는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정을 예시한 도면.
도 3은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면.
도 4는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면.
도 5는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면.
도 6은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면.
도 7은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면.
도 8은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면.
도 9는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면.
도 10은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 “전송한다”로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치를 예시한 도면이다.
도 1을 참조하면, 데이터 통신 장치는 통신 인터페이스(110), 프로세서(120), 메모리(130) 및 스토리지(140) 를 포함한다.
통신 인터페이스(110)는 사용자 단말과 통신망을 통해 연결되어 데이터를 송수신한다.
프로세서(120)는 메모리(130)에 적재된 명령어에 따라 공격 분류맵을 제공하는 과정을 수행한다.
메모리(130)는 데이터 전송을 위한 명령어를 스토리지(140)로부터 적재하고, 적재된 명령어를 프로세서(120)로 제공한다.
스토리지(140)는 데이터 전송을 위한 명령어를 저장한다. 또한, 스토리지(140)는 사이버 표적 공격 탐지를 위한 공격 분류맵을 저장한다. 공격 분류맵에 대해서는 추후 도 3 내지 10을 참조하여 상세히 설명하도록 한다.
이하, 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 미리 지정된 명령어에 따라 공격 분류맵을 제공하는 과정을 상세히 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정을 예시한 도면이다.
도 2를 참조하면, 단계 210에서 공격 분류맵 제공 장치는 사용자 단말로부터 공격 분류맵을 요청하는 공격 분류맵 요청 신호를 수신한다.
단계 220에서 공격 분류맵 제공 장치는 사용자 단말로 스토리지(140)에 저장된 공격 분류맵을 통신 인터페이스(110)를 통해 전송한다.
단계 230에서 공격 분류맵 제공 장치는 사용자 단말로부터 공격 포인트를 선택하는 공격 포인트 선택 정보를 수신한다.
단계 240에서 공격 분류맵 제공 장치는 사용자 단말로부터 수신한 공격 포인트 선택 정보에 따라 선택된 공격 포인트 이외의 공격 포인트를 단계 220에서 전송한 공격 분류맵에서 삭제 또는 비활성화시킨 갱신 공격 분류맵을 생성한다.
단계 250에서 공격 분류맵 제공 장치는 갱신 공격 분류맵을 사용자 단말로 전송한다.
따라서, 상술한 바와 같이 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치는 공격 분류맵을 사용자 단말로 제공할 뿐만 아니라, 사용자 단말로부터 수신한 공격 포인트 선택 정보에 따라 현재 공격되지 않은 포인트를 공격 분류맵에서 삭제 또는 비활성화 시켜 사용자가 공격 분류맵을 확인하여 현재 대비 또는 대응하여야 하는 공격 포인트를 용이하게 확인하도록 할 수 있다.
상술한 공격 분류맵은 이하 도 3을 참조하여 상세히 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면이다.
도 3을 참조하면, 공격 분류맵은 사전 준비, 내부망 침투, 내부 행위 및 최종 목적 달성의 단계로 구분되는 각 공격 포인트를 트리 형태로 표시한다. 이 때, 특정 공격 포인트는 하위 공격 포인트를 포함할 수 있고, 각 공격 포인트의 포함 관계에 따라 특정 공격 포인트를 타 공격 포인트에 상응하는 상위 노드의 하위 노드로 표시할 수 있다.
예를 들어, 도 3의 사전 준비의 상위 노드인 '타겟 사이트 정보 수집/분석'은 '홈페이지 취약점 파악' 및 'URL(Uniform Resource Locator) 변조(사용자 정보)'인 공격 포인트가 될 수 있다. 따라서, 공격 분류맵은 타겟 사이트 정보 수집/분석을 상위 노드로 표시하고, '홈페이지 취약점 파악' 및 'URL 변조(사용자 정보)'를 '타겟 사이트 정보 수집/분석'의 하위 노드로 포함한다. 이 때, 공격 분류맵은 각 공격 포인트에 상응하는 분류 코드를 포함할 수 있다. 사용자 단말은 사용자의 공격 포인트를 선택하는 입력에 따라 각 선택된 공격 포인트에 상응하는 분류 코드를 포함하는 공격 포인트 선택 입력을 당해 공격 분류맵 제공 장치로 전송할 수 있다.
이하 도 3을 참조하여, 사전 준비 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.
- (G-1-1) 공격 대상 홈페이지 취약점 파악: 공격 대상 홈페이지들에 대한 취약점을 검색한다.
- (G-1-2) 공격 대상 홈페이지에 대한 URL 변조로 사용자 정보 수집: 공격 대상 홈페이지의 URL을 변조하여 사용자 정보를 획득한다.
- (G-2-1) 웹크롤러/봇을 이용한 SNS 정보 수집: 웹페이지들을 돌아다니며 정보를 수집하는 웹크롤러/봇을 이용하여 공격 대상과 관련한 SNS(Facebook, Twitter, Blogs, Internet Cafe) 정보를 수집/분석한다.
- (G-2-2) 메타 검색 엔진을 이용한 SNS 정보 수집: 여러 검색 엔진들을 연결시켜 작업하는 메타 검색 엔진을 이용하여 공격 대상과 관련한 SNS 정보를 수집/분석한다
- (G-3) C&C 서버 확보: 게시판, 메일 솔루션 등을 이용하여 C&C(Command & Control) 서버를 확보한다.
- (G-4-1) 악성 코드 첨부 메일 발송을 통한 악성 코드 감염 유도: 악성 코드 감염을 유도하기 위해 공격 대상 관련 사용자들에게 악성 코드가 첨부된 메일을 발송한다.
- (G-4-2) 외부 게시판에 악성 코드를 첨부하여 악성 코드 감염 유도: 악성 코드 감염 유도를 위해 각종 외부 게시판에 악성 코드를 첨부한다.
- (G-4-3) 외부 업데이트 서버의 업데이트 SW(소프트웨어) 변조를 통한 악성 코드 감염 유도: 외부 업데이트 서버의 업데이트 SW를 변조하여 사용자 설치 시 악성 코드가 감염되도록 유도한다.
- (G-4-4) 외부 게시판에 악성 스크립트 삽입(Stored XSS)을 통한 악성 코드 감염 유도: 웹사이트 취약점을 통해 게시판에 악성 스크립트를 삽입한 게시글을 올려 감염을 유도한다.
- (G-4-5) 악성 스크립트가 삽입된 메일 발송(Reflected XSS)을 통한 악성 코드 감염 유도: 악성 스크립트 URL을 메일로 발송 후 사용자들이 해당 URL을 방문 시 감염되도록 유도한다.
- (G-4-6) USB(Universal Serial Bus) 저장 장치에 악성 코드를 삽입하여 악성 코드 감염을 유도: USB 접속 시 악성 코드가 감염될 수 있도록 악성 코드에 감염된 USB를 준비한다.
- (G-4-7) 읽지 않은 웹메일의 첨부 파일을 변조하여 악성 코드 감염을 유도: 미리 수집한 특정 사용자의 계정/패스워드로 접속한 후 읽지 않은 메일 중 첨부 파일을 악성 코드 파일로 대체한다.
도 4는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면이다.
이하 도 4를 참조하여, 내부망 침투 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.
- (P-1-1) URL 변조를 통한 계정/패스워드 획득으로 사용자 권한 획득: 공격 대상 홈페이지의 URL을 변조하여 사용자들의 계정/패스워드를 획득한다.
- (P-1-2) 취약 패스워드를 통한 로그인으로 사용자 권한 획득: 패스워드를 알아내는 도구를 이용하여 취약한 패스워드를 획득한 후, 로그인한다.
- (P-1-3) Command Injection을 통한 사용자 권한 획득: 변수 입력 값에 대한 검증 미흡으로 내부 시스템 명령어를 외부에서 실행 가능한 취약점을 이용한 공격 방법으로, URL에 시스템 명령어를 삽입하여 접속한 후 노출된 시스템 명령어 정보를 획득한다.
- (P-1-4) SQL Injection을 통한 사용자 권한 획득: 응용 프로그램 보안 상의 허점을 의도적으로 이용해 SQL(Structured Query Language) 문을 실햄함으로써 데이터베이스를 비정상적으로 조작하는 방법으로, 로그인 창에 특수 문자 입력이 가능한지 확인 후 계정 입력 창에 SQL문을 입력하여 사용자 권한을 획득한다.
- (P-2-1) 메일 첨부된 악성 파일을 실행함으로써 악성 코드에 감염: 사용자는 악성 코드 파일이 첨부된 이메일을 수신한 후 첨부 파일을 다운 받아 실행함으로써 악성 코드에 감염된다.
- (P-2-2) 게시글에 첨부된 악성 파일을 실행함으로써 악성 코드에 감염: 각종 외부 게시판에 첨부되어 있는 악성 코드 파일을 실행함으로써 악성 코드에 감염된다.
- (P-2-3) 외부 업데이트 서버를 통한 SW 업데이트 시 악성 코드에 감염: 자동 업데이트 실행 시 사전에 변조된 업데이트 SW를 통하여 악성 코드에 감염된다.
- (P-2-4) 게시글에 삽입된 악성 스크립트를 실행함으로써 악성 코드에 감염 (Stored XSS): 악성 스크립트가 삽입된 게시글 열람으로 악성 코드에 감염된다.
- (P-2-5) 악성 스크립트가 삽입된 메일을 실햄함으로써 악성 코드에 감염 (Reflected XSS(cross-site scriptin)): 악성 스크립트 링크 URL을 포함하는 메일을 수신한 사용자가 해당 URL을 클릭하면 악성 스크립트가 실행되어 감염된다.
- (P-2-6) 악성 코드가 포함된 비인가 USB를 사용함으로써 악성 코드에 감염: 감염되어 있는 비인가 USB를 내부로 반입 및 실행하여 내부 시스템이 악성 코드에 감염된다.
- (P-2-7) 웹메일의 변조된 첨부 파일을 실햄함으로써 악성 코드에 감염: 악성 코드로 변조된 웹 메일 첨부 파일을 실행하여 악성 코드에 감염된다.
도 5는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면이다.
이하 도 5를 참조하여, 내부 행위 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.
- (C-1-1) 공유 폴더의 취약점을 이용한 추가 권한 획득: 내부에 침입한 해커는 공유폴더의 취약점을 이용하여 감염 PC의 계정/패스워드로 공유된 PC를 공격한다. 공유된 PC의 계정/패스워드가 감염 PC의 그것과 동일할 경우, 공유 PC의 권한을 획득하게 되고, 권한 획득 후 공유 PC에 스케쥴러(at.exe)를 등록하여 매 시간마다 에이전트 서버로 접속 가능하도록 할 수 있게 된다.
- (C-1-2) 키로거를 이용한 서버 계정/패스워드 확보로 추가 권한 획득: 감염 PC에서 키 로깅 도구를 실행하여 사용자의 모든 입력이 실시간으로 저장되어 파일로 생성되도록 한다.
- (C-2-1) DB를 포함하여 애플리케이션들의 취약점 파악을 통한 추가 정보 수집: 웹 애플리케이션들의 취약점을 다방면으로 분석 및 파악 후 추가 정보를 수집한다.
- (C-2-2) PC 내 암호화되지 않은 정보들을 발견 및 수집: 감염 PC에 접속하여 암호화되지 않은 폴더 및 문서 등을 탐색하여 추가적으로 정보를 수집한다.
- (C-2-3) NAC(Network Access Control) 취약점 파악을 통한 추가 정보 수집: 보안 정책 및 보안 솔루션 점검을 통해 NAC(Network Access Control) 취약점을 파악하여, 접근 통제 우회를 통한 내부 네트워크로의 비인가 접근을 가능하도록 한다.
- (C-2-4) 공지된 Nmap 등과 같은 포트 스캔을 이용한 추가 정보 수집: 감염 PC에 접속하여 포트들의 열림/닫힘 상태를 확인한다.
- (C-2-5) 공지된 nbtscan, nbtstat 등의 스캐닝 방법을 통한 내부망 탐색으로 추가 정보 수집: nbtscan 프로토콜을 이용, 특정 IP 대역대 PC들을 대량 스캔하여 PC들의 on/off 상태와 그룹핑 상태를 파악한다.
- (C-2-6) 최종 목적이 되는 타겟 정보 수집: 최종 목적 달성과 관련된 타겟 정보들을 수집한다.
- (C-3-1) 백도어 설치를 통한 대상 시스템 제어: 감염PC에 접속하여 백도어 파일들을 미리 숨겨 놓고, 일반 사용자 계정으로 접속 후, 백도어 파일을 동작시켜 Root 권한을 획득하는 방법으로 쉽게 시스템을 제어한다.
- (C-3-2) 윈도우 원격 데스크탑 터미널 등 거점 PC에 GUI를 설치하여 대상 시스템에 대한 제어권을 획득: 24시간 가동중인 거점PC를 발견하여 윈도우/터미널 원격프로그램 및 DB 접속 관련 도구 설치 후 로그인하여 시스템을 제어한다.
- (C-3-3) 화면캡쳐기술(VNC) 등을 이용한 실시간 모니터링을 통해 대상 시스템 제어: 감염PC에 VNC(Virtual Network Computing)를 설치하여 실시간 모니터링 수행하면서, 서버/DB 등 중요 정보를 탈취하고 시스템을 제어한다.
- (C-3-4) 웹셸(Web-shell) 업로드 공격을 통한 공격 시스템 제어: 웹셸은 원격으로 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(asp,jsp,php,cgi)파일로서, 공격자는 악의적으로 제작된 스크립트 파일인 웹셸을 업로드하여 제어권을 획득한다.
- (C-3-5) 공격자나 C&C 서버와의 통신을 통해 추가 악성 코드를 다운받거나 새로운 명령을 하달: 감염PC에 명령을 내리거나 추가적인 악성코드를 배포하고, 감염PC로부터 공격 대상 시스템의 정보를 수신하는 등, 해킹의 목적 달성을 위해 감염PC와 공격자/C&C 서버 사이의 통신을 수행한다.
- (C-4-1) 대상 시스템 전체에 대한 악성 코드 감염을 위해 내부 업데이트 서버를 통한 악성 코드 전파: 변조된 업데이트 SW가 포함된 내부 업데이트 서버를 통하여 악성 코드를 전파한다. 자동 업데이트를 실행한 PC는 모두 감염된다.
- (C-4-2) 악성 코드를 포함한 웹사이트 추가를 통해 악성 코드를 전체로 전파: 사내 웹사이트에 악성코드가 포함된 배너나 새로운 페이지를 추가 생성하여 내부 사용자들이 접속 및 클릭을 통해 악성코드에 감염되도록 한다.
도 6은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면이다.
이하 도 6을 참조하여, 최종 목적 달성 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.
- (F-1-1) 원격 명령으로 파일을 복사하여 중요 정보 유출: 내부 감염PC들을 제어하면서 원격 scp(secure copy) 명령으로 중요 정보 파일들을 유출한다.
- (F-1-2) 웹메일을 통하여 중요 정보 유출: 내부 감염PC들을 제어하면서 웹 메일을 통해 중요 파일들을 유출한다.
- (F-1-3) 암호화된 패킷 전송을 통한 중요 정보 유출: 패킷 추출 명령어/도구를 이용하여 중요 정보에 대한 패킷을 추출하고 이를 암호화하여 전송한다.
- (F-2-1) MBR(Master Boot Record)/VBR(Volume Boot Record) 파괴를 통한 시스템 파괴: 감염PC에 MBR/VBR 파괴 명령을 실행하여 부팅이 불가능하도록 한다.
- (F-3-1) 지속적 분석을 통해 전략적으로 활용: 감염PC를 지속적으로 관찰 및 분석하여 향후 전략적 기회 포착에 활용한다.
- (F-4-1) SW나 HW(하드웨어)를 자동으로 종료하여 시스템 중단: 감염PC 제어를 통해 특정 SW나 HW를 자동으로 종료하는 명령을 실행하여 시스템을 중단시킨다.
- (F-4-2) 원격 시동을 통한 시스템 중단: 원격 시동 명령을 통해 시스템을 중단시킨다.
도 3 내지 도 6을 참조하여 상술한 공격 분류맵은 하나의 이미지 파일이나 미리 설정된 형태의 파일로 각 사용자 단말로 전송될 수 있다.
도 7은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 8은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 9는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 10은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면이다. 이 때, 도 7 내지 도 10은 3.20 사이버 테러의 동작 과정에 따른 공격 포인트를 선택함에 따라 생성된 갱신 공격 분류맵이다.
도 7 내지 도 10과 같이 공격 분류맵 제공 장치는 공격 포인트 선택 입력에 따라 각 단계별 선택된 공격 포인트를 제외한 나머지 공격 포인트를 비활성화한 갱신 공격 분류맵을 생성할 수 있다. 예를 들어, 도 7 및 도 8에 활성화된 공격 포인트까지 현재 공격이 이루어지고 내부 행위 및 최종 목성 달성 단계의 공격 포인트에 대한 공격 행위가 이루어지지 않은 경우, 도 7 및 도8과 도 5 및 도 6을 포함하는 공격 분류맵을 사용자 단말에 제공될 수 있다.
따라서, 사용자는 갱신 공격 분류맵을 확인하고, 현재 공격이 진행된 공격 포인트의 확인 및 추후 공격이 이루어질 가능성이 있는 공격 포인트를 모두 확인할 수 있다.
이 때, 공격 분류맵 제공 장치는 상술한 도 7 내지 도 10과 같이 일부 공격 포인트를 비활성화하는 것이 아닌 공격 분류맵에서 삭제하는 형식으로 갱신 공격 분류맵을 생성되도록 변경될 수 있다.
따라서, 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치는 공격 포인트 선택 입력에 따라 사이버 표적 공격을 정형화된 공격 분류맵을 통해 표현할 수 있다. 따라서, 각 보안 관리자들은 과거의 사이버 표적 공격에 대한 공격 분류맵을 확인함으로써, 해당 사이버 표적 공격에 대비한 보안 시스템을 용이하게 구축할 수 있다.
이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (10)

  1. 사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스;
    미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서;
    상기 명령어를 적재하는 메모리; 및
    상기 공격 분류맵을 저장하는 스토리지
    를 포함하되,
    상기 명령어는
    상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및
    상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계;
    를 수행하기 위한 명령어를 포함하되,
    상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 장치.
  2. 제1 항에 있어서,
    상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
  3. 제1 항에 있어서,
    상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
  4. 제1 항에 있어서,
    상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
  5. 제1 항에 있어서,
    상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
  6. 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정에 있어서,
    사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및
    상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계;
    를 수행하기 위한 명령어를 포함하되,
    상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 방법.
  7. 제6 항에 있어서,
    상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
  8. 제6 항에 있어서,
    상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
  9. 제6 항에 있어서,
    상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
  10. 제6 항에 있어서,
    상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
KR1020140048327A 2014-04-22 2014-04-22 공격 분류 맵 제공 장치 KR102186212B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140048327A KR102186212B1 (ko) 2014-04-22 2014-04-22 공격 분류 맵 제공 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140048327A KR102186212B1 (ko) 2014-04-22 2014-04-22 공격 분류 맵 제공 장치

Publications (2)

Publication Number Publication Date
KR20150122009A true KR20150122009A (ko) 2015-10-30
KR102186212B1 KR102186212B1 (ko) 2020-12-03

Family

ID=54430966

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140048327A KR102186212B1 (ko) 2014-04-22 2014-04-22 공격 분류 맵 제공 장치

Country Status (1)

Country Link
KR (1) KR102186212B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200055563A (ko) * 2018-11-13 2020-05-21 국방과학연구소 사이버 훈련 환경에서 위협 발생을 위한 멀티레벨 기반의 시나리오 저작 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090001609A (ko) * 2006-11-13 2009-01-09 한국전자통신연구원 사이버위협 예보 시스템 및 방법
JP2011192105A (ja) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090001609A (ko) * 2006-11-13 2009-01-09 한국전자통신연구원 사이버위협 예보 시스템 및 방법
JP2011192105A (ja) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200055563A (ko) * 2018-11-13 2020-05-21 국방과학연구소 사이버 훈련 환경에서 위협 발생을 위한 멀티레벨 기반의 시나리오 저작 방법

Also Published As

Publication number Publication date
KR102186212B1 (ko) 2020-12-03

Similar Documents

Publication Publication Date Title
EP3295359B1 (en) Detection of sql injection attacks
US9356957B2 (en) Systems, methods, and media for generating bait information for trap-based defenses
US9681304B2 (en) Network and data security testing with mobile devices
US9055093B2 (en) Method, system and computer program product for detecting at least one of security threats and undesirable computer files
Alosefer et al. Honeyware: a web-based low interaction client honeypot
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
EP2998901B1 (en) Unauthorized-access detection system and unauthorized-access detection method
CN106982188B (zh) 恶意传播源的检测方法及装置
Ajmal et al. Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
Gunawan et al. On the review and setup of security audit using Kali Linux
Velu Mastering Kali Linux for advanced penetration testing
KR102186212B1 (ko) 공격 분류 맵 제공 장치
Cabaj et al. Practical problems of internet threats analyses
Kim et al. Involvers’ behavior-based modeling in cyber targeted attack
Jain Lateral movement detection using ELK stack
US11403391B2 (en) Command injection identification
EP3999985A1 (en) Inline malware detection
Kumar et al. A review on 0-day vulnerability testing in web application
Bernardo Targeted Attack Detection by Means of Free and Open Source Solutions
Patel Mining Ransomware Signatures from Network Traffic
Nkwetta Honey-System: Design, Implementation and Attack Analysis
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
Alexis Vulnerability Assessment of Computer Systems
Noman et al. Log Poisoning Attacks in Internet of Things (IoT)

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right