해킹 공격의 종류에는 매우 다양한 형태가 있습니다. 외부에서 초기 취약점 분석을 위한 스캔성행위, 정찰 행위, 침투 후 내부적으로 더 깊이 파고들고자 하는 행위, 내부에 침투 성공 후 외부로 데이터를 유출하려는 행위 등 나열하기 힘들 정도로 다양한 공격 행위들이 있습니다. 이번 포스팅에서는 이와 같은 행위별 대표적인 해킹 공격에는 어떤 종류가 있는지 자세하게 알아보도록 하겠습니다.
C&C 통신 (C2 통신)
- External Remote Access : 외부에서의 원격접속으로 공격하는 행위를 말합니다.
- Hidden HTTPS Tunnel : 외부 호스트와 일반적인 프로토콜로 위장하여 통신 (복호화 없이 데이타 사이언스 기법으로 통신 패턴을 분석, 딜레이, 볼륨, 순서, 비정상 요청/응답 등)하여 위협 행위 탐지)
- Pulling Instructions : IP 주소 및 / 또는 도메인 이름으로 식별되는 외부 엔터티와 지속적으로 통신하며 요청 및 데이터 양과 타이밍은 특정 패턴을 보임. 감염 단말기에 지시를 명령/지시를 내리는 데 사용되는 패턴
- Stealth HTTP Post : 외부 호스트로 식별되지 않은 다수의 HTTP Post Request로 데이타를 보내는 행위
- Suspect Domain Activity : 의심스러운 외부 도메인을 찾는 행위, 자동화된 도메인 이름 생성툴에 의해 만들어진 도메인을 빠르게 찾는 행위
- Suspicious HTTP : 실제로 Browser가 아닌데 Browser형태로 기형의 User-agent string 정보를 송신하는 행위(바이너리파일 다운)
Botnet (봇넷)
- Abnormal Web Activity : 일반적이지 않은 다수의 HTTP Redirection 등을 통해 악성 코드가 포함되어 있을 수 있는 배너 및 팝업 광고를 클릭 유도
- 비트.코.인 Mining : 내부 감염 호스트에서 외부 시스템을 대상으로 비.트.코..인을 채굴하는 행위
- Brute-Force Attack : 감염된 내부 호스트가 내/외부 다양한 서버스로 정상적인 혹은 무차별 암호추측 접속
- Outbound Sp..am : 내부 감염 호스트가 외부로 Spam 메일을 보내는 행위
Recon (정찰)
- Internal 다크넷 Scan : 내부 확장을 하기 위해 감염된 호스트가 포함된 네트워크 및 더 넓은 확장을 위해 임의의 네트워크까지 Scan 하는 악성 행위
- Port Scan : 내부 호스트가 적은 수의 내부 IP 주소에 많은 포트와의 연결을 시도
- Port Sweep : 다수의 IP를 대상으로 특정 Port 만을 스캔하는 행위
- RDP Recon RDP : 프로트콜을 이용한 내부 탐색 행위
Lateral Movement (내부 이동)
- Automated Replication : 악성 코드를 내부 시스템에 확장을 시도하는 악성 행위 (같거나 유사한 payload를 다수의 내부서버에 전송)
- SMB Brute-force Attack : 내부 호스트를 확장 감염 시키기 위한 무차별 대입 공격
- Suspicious Remote Desktop : 기존에 발생하지 않던 위심스러운 원격 데스크톱 접속 행위
- SQL Injection Activity :내부 호스트가 SMB 프로토콜을 사용하여 하나 이상의 의심스러운 RPC 요청으로 코드의 원격 실행 관련 행위
Exfil (탈출)
- Data Smuggler : 내부 호스트(들)에서 데이터를 수집하여 외부 호스트로 유출
- Smash and Grab : 호스트는 비정상적으로 많은 양의 데이터를이 네트워크에 대해 정상적인 것으로 간주되지 않는 대상으로 전송
본문 내용에서 설명드린바와 같이 해킹 공격은 매우 다양한 형태와 방법으로 진행됩니다. 서비스나 호스트를 스캔하여 취약점을 찾고 발견된 취약점을 공격 벡터로 삼아 내부에 침투 후 다양한 비정상 불법 행위들을 실행할 수 있습니다.
침해사고 대응 관점에서는 이와 같은 다양한 형태의 공격 기법을 알고 있다면 분석 시 큰 도움이 될 것입니다. 요약하자면, 적의 공격 방법을 알고 있다면 막기도 쉽고 당했을때도 분석을 원활하게 할수 있다는 의미입니다.
답글 남기기