세미나 소개
- 해킹 피해가 발생한 서버를 분석하여 침입 분석
- 악성코드의 행위 분석을 통한 피해 사항 분석
- 분석한 내용을 기반으로 공격 시나리오 재구성
***********************************************************************
사례1
- 개발자 PC가 최초 감염
- 개발자 PC에 의해 타겟 서버가 감염
- 과도한 패킷 발생으로 현상 감지
- 이 후 서버가 DDoS 봇으로 사용됨을 확인
침해 대응
- 감염된 서버 분석
- 추가 피해 사항 확인
- 현상 조치(장애 복구)
사건의 재구성
- 침해 사고가 발생한 서버 분석을 토대로 감염된 시나리오 환경 재구성
***********************************************************************
POC
- PC 감염 경로
- 트로이 목마를 이용한 악성코드 실행
- 아이콘을 위장한 바이너리 형태의 악성코드 실행
- 문서 또는 웹브라우저의 취약점을 악용한 악성코드 실행
- 서버(웹) 감염 경로
- File Upload 공격을 이용하여 웹쉘 생성
- SQL Injection 공격을 이용한 시스템 명령 실행
- 서버 측의 취약점을 이용한 공격
- 이 외 다른 여러 형태의 취약점을 이용한 시스템 장악
- 악성코드 기능
- 웹쉘 및 웹쉘 컨트롤러를 통한 시스템 장악
- UAC 권한 우회 및 서비스를 통한 권한 유지
- 악성코드 행위 기반 차단을 위한 백신 우회
- 백신을 우회하기 위한 자가보호진단 무력화
- 시스템 정보 수집
- 백도어
- DDoS 해킹 툴(DDoS Bot, C&C 서버)
- 명령어 변조를 통한 루트킷 기능 수행
- 악성코드 자동 실행 및 상태 유지
- 감염된 서버 분석
- 로그 분석
- 악성코드 실행 정보
- 웹쉘 생성 경로
- 악성코드 유포지 정보
- C&C 서버 정보
- 악성코드 분석을 통한 다양한 정보
- 공격자 측의 시나리오 재구성
- 서버 측의 로그 정보 및 악성 코드 분석을 통해 공격 시나리오 재구성
- 분석 보고서 작성 및 침해 대응
- 분석 보고서 작성
- 악성코드 바이너리 및 스크립트 삭제
- 최소한의 권한을 이용한 서버 구동
***********************************************************************
구성에 필요한 환경
- 피해시스템1 개발자 PC(최신 업데이트 된 Windows 7 x86 or x64 및 백신 설치 환경)
- 피해시스템2 서비스 중인 서버(실제 서버 이미징 - CentOS 계열)
- 악성코드 배포 서버(리눅스 계열)
- 웹쉘 컨트롤러 서버(윈도우 계열)
- C&C 서버(리눅스 계열)
- RAT 악성코드 서버(윈도우 계열)
'Documents > Writing Documents' 카테고리의 다른 글
리눅스 버퍼오버플로우 기초 (0) | 2016.03.13 |
---|---|
리버스 엔지니어링 기초 (2) | 2016.03.13 |
리눅스 기초 문서 (1) | 2016.03.13 |
시나리오로 알아보는 APT (0) | 2015.12.17 |
Windows System Hacking Techinique - Stack Exploit Tutorial 문서 (5) | 2015.04.01 |