표적형 공격 보안 가이드

 

: APT 공격, 실전 방어 및 대응

 

시리즈 철통보안 시리즈 017

저자 이와이 히로키

역자 박선필

 

출간예정일 20131127()

정가 27,000

페이지 360

판형 180 x 230

ISBN 978-89-94774-52-7 (93000)

원서정보 標的型攻撃へのセキュリティがイド

 

예약판매 [YES24]  [교보문고]  [알라딘]  [인터파크도서]

 

 

책 소개

 

사고 대책의 최전선에서 활약하는 프로가 말하는 공격 방법과 방어술

 

공격자는 어떠한 방법으로 시스템에 침입하고, 무엇을 빼앗고, 어디에 흔적을 남기는 것일까?

급증하는 표적형 이메일에 의한 보안 공격에 어떻게 맞설 것인가?

 

위장 이메일 + 멀웨어에 의한 공격 개요와 무료 툴을 이용한 피해 검출 및 분석 포인트

 

이 책은 IT 보안에서 실무를 담당하던 저자가 경험했던 공격 사례와 알려진 APT공격 사례를 들어가며, 실제로 이루어지고 있는 APT 공격 기술과 절차를 단계적으로 설명하고 있을 뿐만 아니라, APT 공격의 흔적을 찾고 대응하는 방법까지 기술하고 있다. 또한, 예제에 의한 설명과 필요한 툴에 대한 설명, 그리고 독자 스스로 환경을 구성하고 시험해볼 수 있는 예제를 제공하고 있으므로, APT에 대한 설명을 필요로 하는 사람부터 APT 공격의 모습을 보고 싶어하는 사람까지 폭 넓게 읽기에 좋다.

 

독자대상

 

초중급

 

 

저자소개

 

이와이 히로키

 

2000 4월에 라크 입사. 보안 구축, 침입 탐지 시스템 도입 설계, 컨설팅 업무, 보안 감시 업무에 종사했고, 2003년에 디지털 포렌식 업무를 시작했다.

 

사이버 공격으로 인한 정보 유출 사건에서 데이터 변조 사건의 감정까지 폭 넓은 장르의 분석을 담당. 2013 4월부터 현직. 디지털 포렌식, 보안 대책 유효성 평가 등을 담당하고 있다.

 

- 딜로이트 토마츠 리스크 서비스 주식회사 매니저

- 정보 보안 대학원 대학 보안 시스템 연구소 객원 연구원

- 일본 생활 문제 연구소 사이버 보안 지원전문부회 전문 연구원

- 일본 시사토 협의회 운영 위원

- 경찰청 종합 보안 대책회의 위원

 

 

역자소개

 

박선필

 

2002년부터 2003년까지 일본에서 개발업무를 하였고, 2004년부터 일본 보안회사 LAC의 한국 법인인 사이버시큐리티라크의 솔루션서비스팀에서 개발업무를 거쳐, 보안컬설팅팀에서 한국 및 일본 기업의 취약점 점검 및 모의해킹 업무를 했다. 2011년부터 안랩(구 안철수연구소)의 기술컨설팅팀에서 컨설턴트로 취약점 점검 및 모의해킹 업무를 수행하며, 현재는 산업제어시스템 보안 관련 업무를 중심으로 하고 있다.

 

 

목차

 

1. 표적형 공격이란 무엇인가

 

사이버 공격의 사례

-- 2000~ 2008년도 공격

-- 웹 애플리케이션 취약점을 노린 공격

-- 표적형 이메일을 악용한 공격

표적형 공격의 정의

공격자의 목적

-- 정치적 활동

-- 사이버 범죄

-- 사이버 테러

-- 사이버 전쟁

-- 업무 방해

공격자의 정체

-- 정부, 군사 관계자

-- 민간 기업

-- 마피아, 반사회 세력

-- 학생

-- 그 외(기타)

 

 

2. 사건 사례

 

해외 사례

-- 타이탄 레인

-- 오퍼레이션 오로라

-- 스턱스넷

일본 사례

-- 배송으로 정부 기관을 노린 공격

-- 군사기기 비품을 노린 스파이 활동

-- 해외 본사로부터 불법 침입

 

 

3. 표적형 이메일에 의한 공격 개요

 

표적형 이메일의 수법

-- 표적형 이메일 발신 수법(방법)

-- 표적형 이메일의 실체

-- 악성 프로그램 실행

침입 수법

-- 멀웨어 설치 경로

-- 첫 번째 침입

-- 네트워크 내부에 침입

목표 달성

-- 목적 데이터 검색

-- RAT 기능을 이용한 검색

-- 데이터 압축과 업로드

 

 

4. 악용되는 멀웨어

 

대표적   멀웨어

-- Remote Administration Tools

-- Hack Tool

---- Pass the Hash Attack

---- 패스워드 크랙

---- 패킷 전송 툴

---- PsTools

-- 그 외 툴

안티바이러스 소프트웨어 회피

-- 상용 RAT 경우

-- 무료로 입수 가능한 RAT 경우

 

 

5. 공격 흔적을 찾는 방법

 

공격 피해 확인

-- 위협 탐지

-- 대책 기기에 의한 공격 확인

표적형 이메일 간파 방법

 

 

6. 초동 대응

 

스냅샷   취득

-- 툴 준비

-- 스냅샷 취득

표적형 공격의 피해 조사

-- 조사 준비와 절차

-- 표적형 공격에 대한 조사 내용 (공통 항목)

-- 로그 분석 포인트

멀웨어에 의한 공격 흔적 조사

-- 조사 전처리

-- 부자연스러운 파일 작성 시간 조사

-- 공격자 작업 폴더 조사

-- 일반적으로 이용되지 않는 툴 이용

-- 시작 프로그램에 등록된 프로그램

-- 프로그램 실행 이력

-- 파일 검색 이력

-- 원격제어 흔적

-- 웹 브라우저 열람 이력

-- 외부 기억 매체를 통한 피해 확대 조사

-- 네트워크를 통한 데이터 탈취 조사

-- 작업 스케줄러

타임라인 분석

-- The Sleuth Kit 다운로드

-- 타임라인 작성 준비

-- 다양한 로그의 타임라인 파일 작성

-- 타임라인 파일 읽는 방법

피해 내용 조사

 

 

7. 파일 분석

 

문서 파일의 간단 분석

-- Microsoft Office 문서 파일

-- PDF 파일

-- Flash 파일

실행 파일 분석

-- Yara

-- 온라인 분석 서비스

메모리 덤프 분석

-- 메모리 분석을 위한 툴

-- Volatility

네트워크 트래픽 파일 분석

-- 스트림 데이터 추출

-- 미지의 통신 검출

간단한 동적 분석

 

 

8. 피해 대응책

 

응급 대책

-- C&C 서버에 접속 차단

-- 피해 PC를 네트워크에서 격리

-- 현장 조사

-- 침입 경로 파악

영구 대책

-- 네트워크 설계 재검토

-- 침입 탐지 수준 향상

-- Pass the Hash 대책

-- 로그 취득 설정 재검토

-- 수신 이메일 감사

-- POST로 된 파일 제한

-- 정기적인 피난 훈련

-- 파일 암호화 도입 검토

-- 소프트웨어 이용 유무 검토

-- 안티바이러스 소프트를 보완하는 구조 재검토

-- 도메인 관리자의 이용 확인

 

 

 

출판사 리뷰

 

표적형 공격이란, 이름 그대로 특정 개인이나 조직을 노린 공격이다. 그 목적은 특정 개인에 대한 원한이나 괴로움을 푸는 수준부터 국가 수준의 스파이 활동까지 다양하다. 또한 공격자의 목적에 따라 공격의 피해 범위도 천차만별이라고 말할 수 있다.

 

표적형 공격으로 인한 피해는 해마다 심각해지고 있다. 보도되고 있는 사건은 극히 일부분에 지나지 않으며, 거의 매일같이 공격이 일어나고 있다. 공격의 대상은 정부, 방위, 에너지, 제조뿐만 아니라 IT, 보도, 기업 등 여러 업종이다. 그 피해 내용에는 스파이 행위도 있으며 시스템 파괴, 불법 송금 등 여러 가지다. 국가 기밀 정보, 기업 지적 재산, 사업 계획, 회의 의사록, 이메일 등 여러 정보가 표적이 되고 있으며, 상황에 따라서 국익에 손실을 입히는 것도 있다.

 

실제 표적형 공격은 국가 차원에서 개인에게까지 일어나고 있다. 개인에게는 직장 동료의 이메일에 대해 원격조작을 이용하여 훔쳐보는 것부터 은행 계좌로부터 불법 송금을 노리는 것까지 발생하고 있다. 어쩌면 바로 눈 앞에 있는친구가 여러분의 정보를 노리고 있을지도 모른다. 실제 우리들 주변에서 피해가 발생하고 있는 것이다. 이런 것처럼 현실에서 발생하고 있음에도 불구하고, 많은 조직에서 표적형 공격 대책 및 피해 대응책에 대해서 모르고 있다. 이러한 현상은 표적형 공격뿐만이 아니라, 사이버 범죄 전반에 걸쳐서 있고, 국가라고 해도 중요한 문제가 아닐까?

 

이 책은 APT공격이 이뤄지는 절차와 방법에 더해서 공격자의 생각까지 기술하고 있으며, 마지막 장에는 대응 방법을 기술함으로써 회사의 IT보안 담당자나 시스템 관리자에게 APT공격에 대응하기 위하여 어떤 지점을 어떻게 관리하는 것이 회사에서 효과적인지 고려할 수 있는 지식을 제공한다. 또한 IT보안에 관심을 갖고 있거나 IT보안과 관련해서 공부를 시작하고 싶은 사람에게는 APT공격이 이루어지는 절차를 보면서 실제로 해커들이나 악의적인 사람들이 어떤 경로들을 이용하여 시스템에 침투하거나 정보를

탈취해가는지 알 수가 있을 것이고, 침투 경로에서 이용되는 대상에 대하여 취약점들을 깊이 있게 공부한다면, 보다 더 깊은 보안 관련 기술을 습득할 수 있을 것이다.

 

 

어떻게 읽어야 할까?

 

IT보안에 관심을 갖고 있거나 IT보안에 대해서 공부를 시작하려고 생각하고 있는 독자라면 APT공격이 이뤄지는 절차 및 경로 회사의 시스템 관리자라면 APT공격이 이뤄지는 절차 및 경로를, 그리고 공격 기술과 점검 툴 사용을, 회사의 IT보안 담당자라면 APT공격 절차, 경로, 공격 기술과 대응 방법을 중심으로 이해해가며 읽으면 도움이 될 것이라고 생각한다.

 

마지막으로, 막연히 APT공격에 대한 두려움을 갖고 있는 독자라면 APT공격에 대한 이해와 관리를 통해 APT공격을 방어할 수 있다는 인식을 갖게 되고, 보안 실무를 담당하는 독자라면 업무에 도움이 될 수 있을 것이다.

 

 

 

Trackbacks 0 | Comments 0

퍼블릭's Blog is powered by Daum & tistory