후속공격(Post Exploitation)

[개념]

• 초기 침투 이후 공격자의 모든 활동
• 시스템 세션 확보 후 공격자가 취하는 모든 활동들
• MITRE ATT&CK 모델 기준 11개의 전술(Tactic) 관련 있음

ATT&CK Tactic	설명
Execution	원격으로 악성코그를 실행(PowerShell, WMI, 스크립트 실행 등)
Perisistrnce	시스템 재부팅이나 환경 변화에 접근 유지 기법(시작 프로그램 등록, 서비스 생성, 스케줄 작업 등)
Privilege Escalation	더 높은 수준 권한 획득(취약점 약용, 설정 오류 활용, 엑세스 토큰 조작 등)
Defense Evasion	탐지 회피하고 보안 도구 우회(파일 난독화, 정상 도구 모음, 로그 삭제 등)
Credential Access	자격 증명 획득(패스워드 덤프, 키로깅, 자격 증명 캐시 접근 등)
Discivery	네트워크 정보 수집(계정 열거, 네트워크 서비스 검색, 시스템 정보 수집 등)
Lateral Movement	네트워크 내 다른 시스템 이동(원격 서비스 활용, 내부 스피어피싱, 패스 더 해시 등)
Collection	목표 데이터 식별 및 수집(키보드 입력 및 화면 캡쳐, 이메일 수집, 민감 데이터 검색 등)
Command and Control	침해된 시스템과 통신 유지(암호화된 채널, 웹 서비스 활용, 비표준 포트 사용 등)
Exfiltration	데이터를 빼내는 단계(데이터 압축, 대체 내널 활용, 정상 프로토콜 통한 전송 등)
Impact	가용성이나 무결성 손상(데이터 파괴, 서비스 중단, 리소스 하이재킹 등)

 

[로컬 정보 수집]

• 단말에서 빌트인으로 제공하는 명령어 혹스 유틸리티 등을 이용하요 정보 수집
• 별도 도구를 업로드하는 위험을 감수 하지 않아도 됨
• 파워쉘, WMIC, 명령쉘(CMD) 기본 명령어들을 실행 하거나 스크립트화 하여 정보 수집

• 로컬 계정 확인

• 단말 그룹들과 관리자 그룹 내 계정 확인
• 윈도우 시스템 : 역할 기반 접근 통제 방식으로 계정 자체에 권한이 있는게 아닌 그룹에 권한을 갖게 하는 구조
• 때문에 공격자는 침투한 계정 확보시, 높은 권한을 가진 그룹 정보를 확보 함

[지속성 확보(Perisistrnce)]

• 제어 권한을 탈취한 단말을 지속적으로 오퍼레이션을 수행할 수 있는 조건 확보
• 시스템 재시작, 연결이 끊교도 이후 지속적으로 연결을 확보