개요 LOL(Living Off the Land) 공격은 공격 대상 시스템에 설치되어 있는 합법적인 바이너리, DLL 등의 도구를 이용하여 보안 시스템으로부터 불법 행위 탐지를 회피하는 공격 기법이다. 공격자는 공격 대상 시스템에 설치되어 있는 기존의 바이너리를 이용하여 지속성, 사용자 계정 컨트롤(UAC) 우회, 악성 프로그램 다운로드 등, 사용자가 의도하지 않은 행위를 수행할 수 있다. 또한 LOL 공격은 Windows 운영체제에만 적용되는 것이 아니라 거의 모든 운영체제에 공격자가 악용할 수 있는 기존 바이너리가 존재하지만, 이번 글에서는 Windows 운영체제에 중점을 두고 설명을 할 것이다. (Unix의 LOL 공격 바이너리 정보는 “https://gtfobins.github.io/”에서 확인할..

침해사고 분석 리포트 2022. 11. 1. 14:24

1. 개요 공격자들의 주요 목표 중 하나는 대상 시스템에 지속해서 접근하고 내부 이동을 하기위해 자격증명을 탈취(Credential Dumping)하는 것이다. 윈도우 자격 증명을 도용하는 가장 일반적인 방법 중 하나는 시스템에 대한 관리자 권한을 얻은 후, Windows LSASS(Local Security Authority Subsystem Service) 프로세스 메모리를 덤프하는 것이다. 사용자가 로그인에 성공하면 자격 증명이 생성되고 메모리의 로컬 보안 시스템 서비스인 LSASS에 저장되기 때문이다. LSASS 메모리 덤프에는 로그인에 성공한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되어 있어 무차별 암호 대입 공격(brute-force attack)이나 Pass-the-Ha..

침해사고 분석 리포트 2022. 10. 31. 17:18

개요 지속적으로 지능화되고 조직화되는 사이버 위협으로 인해 조직과 기업 정보는 해커들의 주요 타겟이 되고 있으며, 이는 코로나19로 인해 재택근무 및 비대면 근무가 증가하는 시점을 기준으로 더욱 빠른 속도로 증가하고 있다. 전 세계 기업과 조직 대상으로 데이터 유출 피해에 따른 비용을 조사한 IBM 시큐리티의 ‘2022 데이터 유출 비용 연구 보고서(Cost of a Data Breach Report 2022)’에 따르면, 지난 1년간 전 세계 550개 기업에서 평균 435만 달러의 데이터 유출 손실액을 기록했다. 이는 연구를 진행한 17년 중 가장 높은 수치이며, 한국 기업 역시 지난 2018년부터 데이터 유출로 인한 평균 피해액이 꾸준히 증가해 올해 약 43억 3,400만 원 상당의 사상 최대 피해액..

침해사고 분석 리포트 2022. 10. 6. 13:18

01. AnyDesk 개요 최근 AnyDesk를 악용한 공격 사례가 증가하고 있다. AnyDesk는 원격 제어 애플리케이션으로 원격 데스크탑, 파일 전송 등의 기능을 제공한다. 특정 사용자 환경에 AnyDesk가 설치되어 있고 외부에서 해당 시스템에 접속하려고 할 경우 팝업 메시지가 나타나며, 사용자가 연결을 허용하면 외부에서 해당 시스템에 대한 원격 제어가 가능하다. 이러한 연결 방식 외에도 AnyDesk에 비밀번호 설정을 통해 사용자의 허용 없이 비밀번호 만으로 원격 제어가 가능하다. 비밀번호만으로 원격 접속이 가능한 특징 때문에 AnyDesk는 실제 콘티(Conti), 아보스락커(AvosLocker), 블랙하트(BlackHeart) 랜섬웨어과 같이 기업 내부망 장악을 목표로 하는 공격자들이 주로 사..

침해사고 분석 리포트 2022. 10. 4. 09:40

1. 개요 2022년 5월 18일경, Microsoft는 MSSQL Server를 대상으로 하는 무차별 대입 공격에 대해 언급했다. 이전부터 공격자들은MSSQL Server를 대상으로 수많은 공격을 시도하였으며, 최근 공격에는 LOLbin(living-off-the-land) 도구 등을 사용하여 공격 흔적을 남기지 않는 방식으로 공격을 수행하고 있다. 또한, MSSQL Server를 표적으로 Cobalt Strike Beacon, RAT 배포를 위해 공격하는 행위가 발생하고 있다. 본 문서는 MSSQL Server 침투 테스트 및 공격 흔적 분석을 통해 분석가들이 활용할 수 있는 아티팩트에 대해 살펴보았다. 침투 테스트를 진행하기 위해 구축한 환경에 대한 정보는 [표1]과 같다. 2. 상세 분석 2.1 ..

침해사고 분석 리포트 2022. 7. 19. 15:55