APT (Advanced Persistent Threat)
Ⅰ. `지능형 타깃 공격`, APT 의 개요
가. APT (Advanced Persistent Threat)의 정의
- 특수목적을 가진 조직이 기간시설망 또는 핵심보안업체 등의 표적에 대해서 다양한 IT 기술을 이용해서
지속적으로 정보를 수집하고 취약점을 파악하여 이를 바탕으로 피해를 끼치는 공격
으로 2006년경 미국 국방부 및 정부 기관들의 원활한 커뮤니케이션을 위해 확인된 특정 보안 위협의 형태를 지칭하는 의미로서 미국공군사령부가 처음 사용하였음
나. APT 의 특징
- APT 공격의 목적은 특정 조직이 표적대상에 대해서 경제적, 정치적, 전략적 이득을 위한 정보를 가져오기 위한 것임
- 끊임없이 새로운 기술과 방식이 적용된 공격을 지속적으로 하여 표적대상에게 치명적인 손상을 가함
Ⅱ. APT 의 공격 시나리오 및 공격기법
가. APT 공격 시나리오
그림 삽입
침투 | 검색 | 수집 | 유출 |
---|---|---|---|
공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투 | 침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획 | 보호되지 않은 시스템 상의 데이터 수집 또는 시스템 운영 방해 | 공격자의 근거지로 데이터 전송 시스템 운영 방해 또는 장비 파괴 |
나. APT 공격 시나리오에 따른 공격기법
단계 | 설명 | 공격기법 |
---|---|---|
침투 \\ (Incursion) | 훔친 인증정보, SQL 인젝션, 악성코드 등을 사용하여 오랜 시간에 거쳐 공격대상 시스템에 활동거점을 구축 | - 관찰(Reconnaissance) : APT 공격자들은 표적 대상을 파악하기 위해 수개월에 걸쳐 철저히 분석 - 사회공학(Social Engineering) : 내부 임직원의 실수 또는 부주의로 첨부파일을 열도록 유도하거나 링크를 클릭하도록 하는 사회공학적 기법을 사용 - 제로데이 취약점(Zero-day Vulnerabilities) : 개발자들이 패치를 제공하기 전 침투할 수 있는 보안상의 허점 - 수동공격(Manual Operation) : 각각의 개별 시스템과 사람을 표적으로 삼고, 정교한 공격을 감행 |
검색 \\ (Discovery) | APT 공격자는 한 번 시스템에 침입하면 목표로 하는 기관의 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색 | - 다중백터(Multiple Vector) : APT 공격 시 일단 악성 코드가 호스트 시스템 내에 구축이 되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들을 다운로드 |
수집 \\ (Capture) | 보호되지 앟은 시스템의 데이터는 공격자에게 노출 | - 은닉(Convert) : 1차 공격 성공 후, 정상이용자로 가장하여 정보수집 및 모니터링 활동을 진행 - 권한상승(Privilege escalation & lateralization) : 시스템 접근을 위한 시스템 접근 권한을 가진 직원에 대한 계정정보를 수집하기 위한 각종 접근 행위 브루투 포스(Brute Force) : 패스워드 등의 계정정보를 획득 |
제어 \\ (Control) | APT 공격자는 표적시스템의 제어권한을 장악하여, 각종 기밀 데이터를 유출하며 SW 및 HW 에 손상을 입힘 | - 유출(Exfiltration) : 기밀데이터가 웹메일 또는 암호화된 패킷, 압축파일의 형태로 공격자에게 전송 - 중단(Disruption) : APT 공격자는 원격시동이나 SW, HW 시스템을 자동종료 |
APT (Advanced Persistent Threats, 지능형 타깃 지속 공격)
APT(지능형 타깃 지속 공격, Advanced Persistent Thread)는 기술, 프로세스 및 사용자 교육을 통한 방어 메커니즘을 피할 수 있도록 치밀하게 조사하고 사전에 면밀히 계획된 공격입니다.
매스마켓 악성코드 공격과 달리, APT 는 특정 조직이나 그룹을 대상으로 하는 특화된 공격이며, 일반적인 악성코드, 피싱, 해킹, 스파이웨어 및 기타 도구를 종합적으로 폭넓게 사용하여 조직적으로 진행됩니다.
APT 이해
APT (지능형 타깃 지속 공격)는 한 가지 위협이나 사건이 아니라 지능화된 지속적인 공격자
를 나타낸다.
매스마켓 악성코드 vs APT
→ APT에 성공하기 위해 특이한 악성코드, 제로 데이 또는 익스플로이트 코드가 꼭 필요한 것은 아닙니다. 그러나 APT 설계자는 새로운 제로 데이 익스플로이트를 빨리 받아들이거나 비교적 덜 사용되는 공격 도구를 사용하여 대상 조직의 주된 약점을 공략
→ 매스마켓 공격은 드라이브 바이(drive-by) 악성코드 감염을 수행하는 웹 사이트로 연결되는 링크가 포함된 E-mail 등의 다양한 도구를 사용한 혼합된 공격의 형태를 취하는 경우가 많습니다.
위협 특성 | 매스마켓 공격 | APT 공격 |
---|---|---|
재정지원 | 자금 풍부 | 자금 풍부, 정치적인 자금이 공급될 수도 있음 |
대상 | 가능한 한 많은 대상 | 특정 조직 |
제로 데이 익스플로이트 사용 | 흔치 않음 | 일반적 |
목적 | 거의 대부분 금전적인 이익 | 없음, 금전적인 이익, 운영 방해, 정보 획득 |
기회주의적 | 일반적 | 없음. 명확하게 정의된 목적 |
지속 실행 | 드묾 | 항상 |
사회 공학 | 있음 | 있음, 특정 대상만을 집중적으로 공략 |
일반적인 악성코드 변형/맞춤 구성 | 있음 | 있음 |
공격 도구 조정 | 전형적인 혼합된 위협을 벗어나는 범위는 최소화 | 대규모, 각 운영 단계에서 발견한 정보에 따라 도구 적용이 달라질 수 있음 |
데이터 수집 방법 | 일반적으로 파괴 후 절취 | 체계적이고 은밀 |
조사 | 최소화, 페이로드 및 전달 메커니즘 관련 | 대규모, 애플리케이션, 정책 모범 사례, 직원 관심 등 포함 |
다른 시스템으로 감염 확대 | 주로 취약한 시스템 공격 | 있음, 그러나 시스템에 따라 다른 도구를 활용하며 계획된 경로를 따라 보다 전략적 |