표적형 공격 보안 가이드

1장. 표적형 공격이란 무엇인가
사이버 공격의 사례
-- 2000년 ~ 2008년도 공격
-- 웹 애플리케이션 취약점을 노린 공격
-- 표적형 이메일을 악용한 공격
표적형 공격의 정의
공격자의 목적
-- 정치적 활동
-- 사이버 범죄
-- 사이버 테러
-- 사이버 전쟁
-- 업무 방해
공격자의 정체
-- 정부, 군사 관계자
-- 민간 기업
-- 마피아, 반사회 세력
-- 학생
-- 그 외(기타)

2장. 사건 사례
해외 사례
-- 타이탄 레인
-- 오퍼레이션 오로라
-- 스턱스넷
일본 사례
-- 배송으로 정부 기관을 노린 공격
-- 군사기기 비품을 노린 스파이 활동
-- 해외 본사로부터 불법 침입

3장. 표적형 이메일에 의한 공격 개요
표적형 이메일의 수법
-- 표적형 이메일 발신 수법(방법)
-- 표적형 이메일의 실체
-- 악성 프로그램 실행
침입 수법
-- 멀웨어 설치 경로
-- 첫 번째 침입
-- 네트워크 내부에 침입
목표 달성
-- 목적 데이터 검색
-- RAT 기능을 이용한 검색
-- 데이터 압축과 업로드

4장. 악용되는 멀웨어
대표적 멀웨어
-- Remote Administration Tools
-- Hack Tool
---- Pass the Hash Attack
---- 패스워드 크랙
---- 패킷 전송 툴
---- PsTools
-- 그 외 툴
안티바이러스 소프트웨어 회피
-- 상용 RAT 경우
-- 무료로 입수 가능한 RAT 경우

5장. 공격 흔적을 찾는 방법
공격 피해 확인
-- 위협 탐지
-- 대책 기기에 의한 공격 확인
표적형 이메일 간파 방법

6장. 초동 대응
스냅샷 취득
-- 툴 준비
-- 스냅샷 취득
표적형 공격의 피해 조사
-- 조사 준비와 절차
-- 표적형 공격에 대한 조사 내용 (공통 항목)
-- 로그 분석 포인트
멀웨어에 의한 공격 흔적 조사
-- 조사 전처리
-- 부자연스러운 파일 작성 시간 조사
-- 공격자 작업 폴더 조사
-- 일반적으로 이용되지 않는 툴 이용
-- 시작 프로그램에 등록된 프로그램
-- 프로그램 실행 이력
-- 파일 검색 이력
-- 원격제어 흔적
-- 웹 브라우저 열람 이력
-- 외부 기억 매체를 통한 피해 확대 조사
-- 네트워크를 통한 데이터 탈취 조사
-- 작업 스케줄러
타임라인 분석
-- The Sleuth Kit 다운로드
-- 타임라인 작성 준비
-- 다양한 로그의 타임라인 파일 작성
-- 타임라인 파일 읽는 방법
피해 내용 조사

7장. 파일 분석
문서 파일의 간단 분석
-- Microsoft Office 문서 파일
-- PDF 파일
-- Flash 파일
실행 파일 분석
-- Yara
-- 온라인 분석 서비스
메모리 덤프 분석
-- 메모리 분석을 위한 툴
-- Volatility
네트워크 트래픽 파일 분석
-- 스트림 데이터 추출
-- 미지의 통신 검출
간단한 동적 분석

8장. 피해 대응책
응급 대책
-- C&C 서버에 접속 차단
-- 피해 PC를 네트워크에서 격리
-- 현장 조사
-- 침입 경로 파악
영구 대책
-- 네트워크 설계 재검토
-- 침입 탐지 수준 향상
-- Pass the Hash 대책
-- 로그 취득 설정 재검토
-- 수신 이메일 감사
-- POST로 된 파일 제한
-- 정기적인 피난 훈련
-- 파일 암호화 도입 검토
-- 소프트웨어 이용 유무 검토
-- 안티바이러스 소프트를 보완하는 구조 재검토
-- 도메인 관리자의 이용 확인