[정보보안기사] 실기대비 요약 #12(침해사고 분석 및 대응)
○ 로그잼(Logjam) 취약점(2015년 9월) - TLS 프로토콜 취약점
- (개요)
1. 중간자 공격(MITM)을 통해 사용자와 웹 또는 이메일 서버 간의 TLS 통신을 다운그레이드 시킬 수 있음
2. HTTPS 연결에서 OpenSSL을 포함하고 있는 SSL/TLS 클라이언트를 다운그레이드 시킬 수 있는 공격
3. 공격자가 임시 Diffie_Hellman 키교환을 사용하여 TLS 연결을 512비트 수출버전 암호화로 다운 가능
- (주요내용)
1. 공격자는 취약한 512bit 수출 등급(Export) 암호화 TLS 연결로 다운그레이드하여 통과되는 트래픽에 대해 읽거나 수정을 할 수 있으며, 특히 Diffie_Hellman 키 교환방식이 이 공격에 영향을 받을 수 있음
2. Diffie_Hellman을 이용하면 새로운 키 교환 메시지가 매 연결마다 발생되어 매우 안전하다고 알고 있으나, 수만개의 HTTPS, SSH, VPN 서버들은 Diffie_Hellman을 사용할 때 같은 소수(prime number)을 사용하는데, 이러한 점을 이용하여 공격자들은 각각의 커넥션을 복호화 할 수 있음
- (대응방안) 클라이언트는 최신의 브라우저를 사용한다. 서버는 명시적으로 Export용 Cipher Suite 사용 금지
○ 푸들(POODLE) 취약점(2014년 10월) - CVE-2014-3566
- (개요)
1. SSL/TLS 협상 시 버전 다운그레이드를 통해 SSL v3.0을 사용하도록 강제한 후 MITM(Man In The Middle) 공격을 통해 암호화되어 송수신되는 쿠키정보나 데이터를 추출하는 공격
2. SSL v3.0의 블록 암호화 기법인 CBC 모드를 사용하는 경우 발생하는 패딩된 암호블록이 MAC(메시지 인증코드)에 의해 보호되지 않는 취약점을 이용한다.
- (공격방법)
1. 클라이언트에서 TLS 1.2로 서버 연결 요청 : 공격자 연결 거부
2. 클라이언트에서 TLS 1.1로 서버 연결 요청 : 공격자 연결 거부
3. 클라이언트에서 TLS 1.0로 서버 연결 요청 : 공격자 연결 거부
4. 클라이언트에서 SSL 3.0로 서버 연결 요청 : 공격자는 서버 연결을 허용한 후 스니핑 수행
- (대응방안)
1. SSL v3.0을 사용하지 않도록 웹서버 SSL 설정을 한다.
2. OpenSSL을 최신버전으로 업그레이드 한다.
○ 드라운(DROWN) 취약점(2015년 4월)
- (개요)
1. DROWN(Decrypting RSA with Obsolete and Weakend eNcryption) 취약점
2. SSL v2.0 취약점을 악용한 교차 프로토콜 공격
- (공격방법) SSL v2.0을 사용하는 서버에 악성패킷을 보내 인증서 키 값을 알아내고 키값을 이용해 암호화된 통신내용을 복호화해 주요 정보를 탈취할 수 있다.
- (대응방안)
1. SSL v2.0을 사용하지 않도록 웹서버 SSL 설정을 한다.
2. OpenSSL을 최신버전으로 업그레이드 한다.
○ APT(Advanced Persistent Thread)
- (개요)
1. 지능형 지속 위협(APT)은 특정 표적을 대상으로 취약점을 파악하고 다양한 공격기법을 이용한 지속적인 공격활동으로 정보 탈취, 시스템 파괴 등의 손상을 입히는 공격 프로세스/절차
· 지능적(Advanced) : 단일 기법이 아닌 공격 목표에 맞는 사회공학기법, 제로데이(Zero-Day) 취약점 등 다양한 공격기법을 조합하여 공격을 수행한다는 의미
· 지속적(Persistent) : 공격 목표를 달성할 때까지 장기간 지속적인 공격 활동을 흔적을 남기지 않고 은밀하게 진행한다는 의미
2. 기존 불특정 다수를 대상으로 하는 해킹 기법과는 달리 정치적·사회적·경제적·기술적·군사적으로 중요한 특정 대상을 정하여 공격하며 장기적으로 정보를 수집하고 지속적으로 치밀한 공격을 감행하며 목표 달성에 필요하다면 내부직원 이용, 사회공학적 기법 활용 등의 복합적이고 지능적인 공격수법을 시도한다.
- (APT 공격 단계)
1. 초기 정찰 단계 : SNS, 블로그, 회사 홈페이지 등 다양한 공개 정보를 활용하여 공격 목표에 대한 정보 수집
2. 초기 침입 단계 : 수집한 정보를 바탕으로 공격대상 조직의 내부 네트워크로 초기 악성코드 유입, 침투
3. 거점 마련 단계 : 원격제어, 파일전송, 캡처, 키로깅 등을 수행하는 백도어를 통한 공격자와의 연결 생성
4. 권한 상승 단계 : 시스템 관리자 권한 상승을 위해 익스플로잇, 제로데이 공격 등 수행
5. 내부 정찰 단계 : 공격 도구를 활용하여 공격 대상 내부 시스템/네트워크 정보를 수집하는 단계
6. 내부 침투 단계 : 내부 정찰을 통해 수집한 정보를 이용하여 내부 네트워크 상에 있는 시스템 추가 공격/침투
7. 지속성 유지 단계 : 백도어를 통한 표적 시스템에 대한 연결을 지속적으로 유지
8. 목표 달성 단계 : 정보유출, 시스템 파괴 등
※ 주요 침투 기법 : 스피어 피싱, 워터링 홀, USB 메모리 스틱 등
※ 함께 보면 좋은 글
