중간의 적대자
적대자는 네트워크 스니핑 , 전송된 데이터 조작 또는 재생 공격( 자격 증명 액세스에 대한 악용 ) 과 같은 후속 동작을 지원하기 위해 중간자 적대자(AiTM) 기술을 사용하여 두 개 이상의 네트워크 장치 사이에 위치를 잡으려고 시도할 수 있습니다. 네트워크 트래픽의 흐름을 결정할 수 있는 일반적인 네트워킹 프로토콜(예: ARP, DNS, LLMNR 등)의 기능을 남용하여 적대자는 장치가 적대자가 제어하는 시스템을 통해 통신하도록 강제하여 정보를 수집하거나 추가 작업을 수행할 수 있습니다.
예를 들어, 적대자는 피해자의 DNS 설정을 조작하여 사용자가 합법적인 사이트에 액세스하는 것을 방지/리디렉션하거나 추가 맬웨어를 푸시하는 것과 같은 다른 악의적인 활동을 가능하게 할 수 있습니다. 적대자는 또한 DNS를 조작하고 자신의 위치를 활용하여 액세스 토큰( Steal Application Access Token ) 및 세션 쿠키( Steal Web Session Cookie )를 포함한 사용자 자격 증명을 가로챌 수 있습니다. 다운그레이드 공격 은 보안이 덜한, 더 이상 사용되지 않는 또는 더 약한 버전의 통신 프로토콜(SSL/TLS) 또는 암호화 알고리즘을 협상하는 것과 같이 AiTM 위치를 확립하는 데 사용될 수도 있습니다.
적대자는 또한 AiTM 위치를 활용하여 전송된 데이터 조작 과 같이 트래픽을 모니터링 및/또는 수정하려고 시도할 수 있습니다 . 적대자는 AiTM과 유사한 위치를 설정하여 트래픽이 적절한 목적지로 흐르는 것을 방지하여 방어 를 손상시키 거나 네트워크 서비스 거부를 지원할 수 있습니다 .
절차
Dok - 프록시 웹 트래픽은 잠재적으로 피해자 HTTP(S) 트래픽을 모니터링하고 변경합니다.
Kimsuky - 피해자와 접속한 웹사이트 간의 웹 트래픽을 조사하기 위해 PHProxy의 수정된 버전을 사용했습니다.
NPPSPY는 일반적으로 Windows에서 Winlogon 프로세스가 접촉하는 프로세스에 대한 새로운 네트워크 리스너인 mpnotify.exe를 엽니다. Winlogon에 입력된 일반 텍스트 자격 증명을 기록하는 악성 DLL을 사용하여 새로운 대체 RPC 채널이 설정되어 로그온 정보를 효과적으로 가로채고 리디렉션합니다.
완화책
기능 또는 프로그램 비활성화 또는 제거
해당되는 경우, 특히 환경 내에서 필요하지 않은 네트워크 트래픽을 가로채는 데 사용될 수 있는 레거시 네트워크 프로토콜을 비활성화합니다.
민감한 정보 암호화
모든 유선 및/또는 무선 트래픽이 적절하게 암호화되었는지 확인하십시오. Kerberos와 같은 인증 프로토콜에 대한 모범 사례를 사용하고 자격 증명이 포함될 수 있는 웹 트래픽이 SSL/TLS로 보호되도록 하십시오.
네트워크 트래픽 필터링
AiTM 조건에 활용될 수 있는 레거시 프로토콜 등 환경 내에서 필요하지 않은 네트워크 트래픽을 차단하려면 네트워크 어플라이언스와 호스트 기반 보안 소프트웨어를 사용합니다.
네트워크를 통한 리소스 액세스 제한
트래픽을 재편하거나 AiTM 조건을 생성하는 데 사용될 수 있는 네트워크 인프라 및 리소스에 대한 액세스를 제한합니다.
네트워크 침입 방지
AiTM 활동을 나타내는 트래픽 패턴을 식별할 수 있는 네트워크 침입 탐지 및 방지 시스템을 사용하면 네트워크 수준의 활동을 완화할 수 있습니다.
네트워크 세분화
네트워크 세분화는 광범위한 네트워크 액세스가 필요하지 않은 인프라 구성 요소를 격리하는 데 사용할 수 있습니다. 이를 통해 AiTM 활동의 범위를 완화하거나 적어도 완화할 수 있습니다.
사용자 교육
사용자에게 인증서 오류에 대해 의심하도록 교육합니다. 적대자는 HTTPS 트래픽을 가로채려고 자신의 인증서를 사용할 수 있습니다. 애플리케이션의 인증서가 호스트가 예상하는 인증서와 일치하지 않으면 인증서 오류가 발생할 수 있습니다.
발견
신청 로그
- 애플리케이션 로그 내용
AiTM에 대해 일반적으로 남용되는 네트워크 프로토콜 및 기타 서비스와 관련된 설정 및 기타 이벤트의 변경 사항을 모니터링하기 위해 애플리케이션 로그를 모니터링합니다.
네트워크 트래픽
- 네트워크 트래픽 콘텐츠
알려진 AiTM 동작과 관련된 이상을 확인하기 위해 네트워크 트래픽을 모니터링합니다.
- 네트워크 트래픽 흐름
알 수 없는/예상치 못한 하드웨어 장치에서 발생하는 네트워크 트래픽을 모니터링합니다. 로컬 네트워크 트래픽 메타데이터(예: 소스 MAC 주소 지정)와 DHCP와 같은 네트워크 관리 프로토콜의 사용은 하드웨어를 식별하는 데 도움이 될 수 있습니다.
서비스
- 서비스 생성
Windows 이벤트 로그에서 이벤트 ID 4697 및 7045에 대한 새로 구성된 서비스/데몬을 모니터링합니다. 데이터와 이벤트는 단독으로 보지 말고 원격 로그인이나 프로세스 생성 이벤트와 같이 다른 활동으로 이어질 수 있는 동작 체인의 일부로 보아야 합니다.
윈도우 레지스트리
- 윈도우 레지스트리 키 수정
"EnableMulticast" DWORD 값의 변경 사항을 확인하려면 HKLM\Software\Policies\Microsoft\Windows NT\DNSClient를 모니터링합니다. 값 "0"은 LLMNR이 비활성화되었음을 나타냅니다.
수집된 데이터 보관
적대자는 유출 전에 수집된 데이터를 압축 및/또는 암호화할 수 있습니다. 데이터를 압축하면 수집된 데이터를 난독화하고 네트워크를 통해 전송되는 데이터 양을 최소화하는 데 도움이 될 수 있습니다. 암호화는 탐지에서 유출되는 정보를 숨기거나 방어자가 검사할 때 유출이 덜 눈에 띄게 하는 데 사용할 수 있습니다.
압축과 암호화는 모두 유출 전에 수행되며 유틸리티, 타사 라이브러리 또는 사용자 정의 방법을 사용하여 수행할 수 있습니다.
절차
ADVSTORESHELL은 침출 전에 3DES 알고리즘과 하드코딩된 키로 암호화합니다.
Agent Tesla는 C2 서버로 전송하기 전에 3DES로 데이터를 암호화할 수 있습니다.
AppleSeed는 수집된 데이터를 추출하기 전에 압축했습니다.
APT28은 공개적으로 사용 가능한 도구를 사용하여 DCCC 및 DNC 네트워크에서 여러 문서를 수집하고 압축했습니다.
APT32의 백도어는 침출 전에 LZMA 압축과 RC4 암호화를 사용했습니다.
Aria-body는 손상된 호스트에서 수집된 데이터를 압축하기 위해 ZIP을 사용했습니다.
Axiom은 침출 전에 데이터를 압축하고 암호화했습니다.
Backdoor.Oldrea는 수집된 데이터를 C2 서버로 유출하기 전에 암호화된 형태로 임시 파일에 기록합니다.
BloodHound는 SharpHound 수집기에서 수집한 데이터를 ZIP 파일로 압축하여 디스크에 쓸 수 있습니다.
BLUELIGHT는 침출 전에 파일을 압축할 수 있습니다.
Bumblebee는 레지스트리에서 훔친 데이터와 볼륨 섀도 복사본을 추출하기 전에 압축할 수 있습니다.
Cadelspy는 도난당한 데이터를 .cab 파일로 압축하는 기능을 가지고 있습니다.
Chrome은 수집된 데이터를 유출되기 전에 암호화하여 디스크에 저장할 수 있습니다.
Daserf는 수집된 데이터를 암호로 보호된 .rar 아카이브에 숨깁니다.
Dragonfly는 침출 전에 데이터를 .zip 파일로 압축했습니다.
Dtrack은 수집된 데이터를 암호로 보호된 아카이브에 넣습니다.
Ember Bear는 추출 전에 수집된 데이터를 압축했습니다.
Empire는 대상 시스템의 디렉토리를 ZIP으로 압축할 수 있습니다.
Epic은 C2 채널을 통해 전송하기 전에 공개 키 프레임워크를 사용하여 수집된 데이터를 암호화합니다. 일부 변형은 수집된 데이터를 AES로 암호화하고 C2 서버로 전송하기 전에 base64로 인코딩합니다.
Windows용 Exaramel은 파일을 C2 서버로 보내기 전에 자동으로 암호화합니다.
FELIXROOT는 수집된 데이터를 AES, Base64로 암호화하여 C2 서버로 전송합니다.
데이터 수집 후 FIN6는 스테이징 및 침출 전에 로그 파일을 ZIP 아카이브로 압축했습니다.
Gold Dragon은 명령 및 제어 서버로 전송되기 전에 Base64를 사용하여 데이터를 암호화합니다.
Ke3chang 그룹은 유출 전 데이터를 압축하는 것으로 알려져 있습니다.
Kessel은 C2로 보내기 전에 자격 증명을 RC4 암호화할 수 있습니다.
KONNI는 침출 전에 데이터와 파일을 암호화했습니다.
Lazarus Group은 유출된 데이터를 RAR로 압축하고 RomeoDelta 맬웨어를 사용하여 지정된 디렉토리를 .zip 형식으로 보관하고 .zip 파일을 암호화한 다음 C2에 업로드했습니다.
Leviathan은 유출되기 전에 피해자의 데이터를 보관했습니다.
LightNeuron에는 수집된 이메일을 암호화하고 저장하는 기능이 포함되어 있습니다.
Lizar는 서버로 전송하기 전에 데이터를 암호화합니다.
LoFiSe는 암호로 보호된 ZIP 아카이브에 파일을 수집하여 유출할 수 있습니다.
LuminousMoth는 침출되기 전에 피해자의 컴퓨터에서 훔친 파일을 수동으로 보관했습니다.
Lurid는 데이터를 보내기 전에 압축할 수 있습니다.
Machete는 설치된 웹 브라우저의 프로필 데이터가 포함된 압축 파일을 저장합니다.
menuPass는 유출되기 전에 파일과 정보를 암호화했습니다.
NETWIRE에는 보관된 스크린샷을 압축하는 기능이 있습니다.
Patchwork은 수집된 파일의 경로를 AES로 암호화한 후 base64로 인코딩했습니다.
Pillowmint는 도난당한 신용카드 정보를 AES로 암호화하고 이를 Base64로 추가로 인코딩했습니다.
PowerLess는 침출 전에 브라우저 데이터베이스 파일을 암호화할 수 있습니다.
Prikormka는 이동식 미디어에서 문서를 수집한 후 수집된 파일을 압축하고 Blowfish로 암호화합니다.
Proton은 파일을 추출하기 전에 압축합니다.
Raccoon Stealer는 System info.txt 침출 전에 텍스트 파일에 수집된 시스템 정보를 보관합니다.
Remexi는 수집된 모든 브라우저 데이터를 암호화하여 C2에 업로드할 파일에 추가합니다.
RunningRAT에는 파일을 압축하는 코드가 포함되어 있습니다.
himRatReporter는 C2로 보내기 전에 초기 정찰 보고서를 압축하기 위해 LZ 압축을 사용했습니다.
스피카는 수집된 문서를 보관하여 유출을 방지할 수 있습니다.
TAINTEDSCRIBE는 FileReadZipSend 파일을 압축하여 C2로 보내는 데 사용되었습니다.
VERMIN은 3-DES를 사용하여 수집된 파일을 암호화합니다.
WellMail은 손상된 호스트에 파일을 보관할 수 있습니다.
XCSSET은 ~/Desktop 모든 폴더를 제외한 전체 폴더를 압축 .git하지만 총 데이터 크기가 200MB 미만인 경우에만 해당됩니다.
Zebrocy는 데이터 유출 전 암호화를 위해 RC4와 유사한 방법 및 AES를 사용했으며 16진법을 사용해 데이터를 인코딩했습니다.
완화책
심사
시스템 검사를 수행하여 승인되지 않은 보관 유틸리티를 식별할 수 있습니다.
발견
명령
- 명령 실행
tar와 같이 추출 전에 수집된 데이터를 압축하거나 암호화하는 데 도움이 되는 작업에 대해 실행된 명령과 인수를 모니터링합니다.
파일
- 파일 생성
압축 또는 암호화된 파일 유형과 관련된 확장자 및/또는 헤더로 작성되는 새로 구성된 파일을 모니터링합니다. 탐지 노력은 압축 또는 암호화된 파일이 네트워크 침입 탐지 또는 데이터 손실 방지 시스템이 파일 헤더를 분석하여 전송 중에 탐지될 수 있는 후속 침출 활동에 집중될 수 있습니다.
프로세스
- 프로세스 생성
7-Zip, WinRAR, WinZip과 같이 유출 전에 수집된 데이터를 압축하거나 암호화하는 데 도움이 되는 새로 구성된 프로세스 및/또는 명령줄을 모니터링합니다.
스크립트
- 스크립트 실행
시스템에서 실행 중인 스크립트를 활성화하려는 시도를 모니터링하면 의심스러운 것으로 간주됩니다. 스크립트가 시스템에서 일반적으로 사용되지 않지만 활성화된 경우 패치 또는 기타 관리자 기능에서 주기를 벗어나 실행되는 스크립트는 의심스럽습니다. 스크립트는 가능한 경우 파일 시스템에서 캡처하여 동작과 의도를 파악해야 합니다.
오디오 캡처
적대자는 민감한 대화를 도청하여 정보를 수집할 목적으로 컴퓨터의 주변 장치(예: 마이크 및 웹캠)나 애플리케이션(예: 음성 및 화상 통화 서비스)을 활용하여 오디오 녹음을 캡처할 수 있습니다.
맬웨어나 스크립트는 운영 체제에서 제공하는 사용 가능한 API나 오디오를 캡처하는 애플리케이션을 통해 장치와 상호 작용하는 데 사용될 수 있습니다. 오디오 파일은 디스크에 기록되어 나중에 추출될 수 있습니다.
절차
APT37은 마이크 입력을 캡처하는 SOUNDWAVE라는 오디오 캡처 유틸리티를 사용했습니다.
Attor's에는 사용 가능한 입력 사운드 장치를 사용하여 오디오를 녹음할 수 있는 플러그인이 있습니다.
Bandook에는 오디오를 캡처할 수 있는 모듈이 있습니다.
Cadelspy는 손상된 호스트의 오디오를 녹음할 수 있는 기능을 가지고 있습니다.
Cobian RAT에는 피해자의 컴퓨터에서 음성 녹음을 수행하는 기능이 있습니다.
Crimson은 마이크를 사용하여 오디오 감시를 수행할 수 있습니다.
DarkComet은 시스템 마이크를 통해 피해자의 대화를 도청할 수 있습니다.
Derusbi는 오디오 캡처를 수행할 수 있습니다.
DOGCALL은 피해자의 컴퓨터에서 마이크 데이터를 캡처할 수 있습니다.
EvilGrab은 피해자의 컴퓨터에서 오디오를 캡처하는 기능을 가지고 있습니다.
Flame은 기존 하드웨어 녹음 장치를 사용하여 오디오를 녹음할 수 있습니다.
Imminent Monitor에는 원격 마이크 모니터링 기능이 있습니다.
InvisiMole은 입력 오디오 장치를 사용하여 소리를 녹음할 수 있습니다.
Janicab은 오디오를 캡처하여 C2 서버로 보냈습니다.
jRAT는 마이크 녹음을 캡처할 수 있습니다.
Machete는 컴퓨터 마이크에서 오디오를 캡처합니다.
MacMa는 오디오를 녹음하는 기능을 가지고 있습니다.
MacSpy는 컴퓨터의 마이크에서 나오는 소리를 녹음할 수 있습니다.
MgBot은 감염된 장치에서 입력 및 출력 오디오 스트림을 캡처할 수 있습니다.
Microsia는 마이크로폰 녹음을 수행할 수 있습니다.
NanoCore는 시스템에서 오디오 피드를 캡처할 수 있습니다.
NightClub은 mciSendStringW LAME 인코더를 활용하고 오디오를 제어하고 캡처하기 위해 모듈을 로드할 수 있습니다.
PowerSploit의 Get-MicrophoneAudioExfiltration 모듈은 시스템 마이크 오디오를 녹음할 수 있습니다.
Pupy는 마이크로 소리를 녹음할 수 있습니다.
Remcos는 시스템 마이크에서 데이터를 캡처할 수 있습니다.
Revenge RAT에는 마이크 차단을 위한 플러그인이 있습니다.
ROKRAT에는 오디오 캡처 및 도청 모듈이 있습니다.
T9000은 Skype API를 사용하여 오디오 및 비디오 통화를 녹음합니다. 암호화된 데이터는 %APPDATA%\Intel\Skype에 기록됩니다.
TajMahal은 감염된 호스트에서 VoiceIP 애플리케이션 오디오를 캡처하는 기능을 가지고 있습니다.
VERMIN은 오디오 캡처를 수행할 수 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
민감한 대화를 도청하여 정보를 수집하는 목적으로 오디오 녹음을 캡처하는 데 컴퓨터의 주변 장치(예: 마이크 및 웹캠)나 애플리케이션(예: 음성 및 화상 통화 서비스)을 활용할 수 있는 작업에 대해 실행된 명령과 인수를 모니터링합니다.
프로세스
- Os API실행
민감한 대화를 도청하여 정보를 수집할 목적으로 오디오 녹음을 캡처하는 컴퓨터 주변 장치(예: 마이크 및 웹캠) 또는 애플리케이션(예: 음성 및 화상 통화 서비스)을 활용하는 API 호출을 모니터링합니다.
자동 수집
시스템이나 네트워크 내에 자리 잡으면, 적대자는 자동화된 기술을 사용하여 내부 데이터를 수집할 수 있습니다. 이 기술을 수행하는 방법에는 명령 및 스크립팅 인터프리터를 사용하여 특정 시간 간격으로 파일 유형, 위치 또는 이름과 같은 설정된 기준에 맞는 정보를 검색하고 복사하는 것이 포함될 수 있습니다.
클라우드 기반 환경에서 적대자는 클라우드 API, 데이터 파이프라인, 명령줄 인터페이스 또는 ETL(추출, 변환, 로드) 서비스를 사용하여 자동으로 데이터를 수집할 수도 있습니다.
이 기능은 원격 액세스 도구에도 내장될 수 있습니다.
이 기술은 파일을 식별하고 이동하기 위한 파일 및 디렉토리 검색 과 측면 도구 전송 , 그리고 클라우드 환경의 리소스를 식별하기 위한 클라우드 서비스 대시보드 와 클라우드 스토리지 개체 검색과 같은 다른 기술을 통합할 수도 있습니다 .
절차
Agrius는 sql.net4.exe라는 사용자 정의 도구를 사용하여 SQL 데이터베이스를 쿼리하고 개인 식별 정보를 식별하여 추출했습니다.
AppleSeed는 유출되기 전에 USB 드라이브, 키 입력 및 화면 이미지에서 자동으로 데이터를 수집합니다.
APT1은 배치 스크립트를 사용하여 일련의 검색 기술을 수행하고 이를 텍스트 파일에 저장합니다.
APT28은 공개적으로 사용 가능한 도구를 사용하여 DCCC 및 DNC 네트워크에서 여러 문서를 수집하고 압축했습니다.
APT41 DUST는 SQLULDR2 및 PINEGROVE와 같은 도구를 사용하여 로컬 시스템 및 데이터베이스 정보를 수집했습니다.
Attor는 손상된 시스템에 대한 데이터를 자동으로 수집했습니다.
BADNEWS는 USB 장치를 모니터링하고 특정 확장자를 가진 파일을 미리 정의된 디렉토리에 복사합니다.
Bankshot은 디렉토리 내의 파일 목록을 재귀적으로 생성하여 제어 서버로 다시 전송합니다.
ccf32는 손상된 호스트에서 자동으로 파일을 수집하는 데 사용할 수 있습니다.
Chimera는 메모리에서 데이터를 지속적으로 검색하기 위해 사용자 정의 DLL을 사용했습니다.
Comnie는 %TEMP%\info.dat에 검색 정보를 저장하기 위해 일괄 처리 스크립트를 실행한 다음 임시 파일을 원격 C2 서버에 업로드합니다.
공자는 파일 스틸러를 사용하여 다음 확장명을 가진 문서 및 이미지를 훔쳤습니다: txt, pdf, png, jpg, doc, xls, xlm, odp, ods, odt, rtf, ppt, xlsx, xlsm, docx, pptx 및 jpeg.
Crutch는 루프에서 이동식 드라이브를 자동으로 모니터링하고 관심 있는 파일을 복사할 수 있습니다.
DarkGate는 암호화폐 지갑과 관련된 저장된 자격 증명을 검색하고 식별되면 명령 및 제어 서버에 알립니다.
Ember Bear는 침입 중에 손상된 시스템에서 대량 수집을 수행합니다.
Empire는 손상된 시스템에서 사용자 이름, 도메인 이름, 컴퓨터 이름 및 기타 정보를 자동으로 수집할 수 있습니다.
FIN5는 환경 내 모든 피해자 시스템의 프로세스를 스캔하고 자동화된 스크립트를 사용하여 결과를 가져옵니다.
FIN6은 손상된 PoS 시스템 목록을 반복하고, 로그 파일에 데이터를 복사하여 제거하고, 지불 제출 버튼의 이벤트에 바인딩하기 위해 스크립트를 사용했습니다.
프랑켄슈타인에서 위협 행위자들은 Empire를 사용하여 사용자 이름, 도메인 이름, 컴퓨터 이름 및 기타 시스템 정보를 자동으로 수집했습니다.
FunnyDream은 파일의 변경 사항을 모니터링하고 자동으로 수집할 수 있습니다.
Gamaredon Group은 흥미로운 문서를 자동으로 검색하는 스크립트를 손상된 시스템에 배포했습니다.
GoldFinder는 손상된 시스템에서 하드코딩된 C2 서버로 패킷이 이동한 경로 또는 홉과 관련된 정보를 기록하고 저장했습니다. 여기에는 대상 C2 URL, HTTP 응답/상태 코드, HTTP 응답 헤더 및 값, C2 노드에서 수신한 데이터가 포함됩니다.
Helminth VBScript는 명령 프롬프트에서 명령 세트를 실행하기 위한 일괄 처리 스크립트를 수신합니다.
HnvisiMole은 특정 문서를 정렬하고 수집할 수 있을 뿐만 아니라 새로 삽입된 드라이브에 있는 모든 파일 목록을 생성하고 암호화된 파일에 저장할 수도 있습니다.
Ke3chang은 피해자 네트워크로부터 정기적이고 빈번한 데이터 수집을 수행했습니다.
LightNeuron은 지정된 디렉토리 아래에 있는 파일을 자동으로 수집하도록 구성할 수 있습니다.
LoFiSe는 3시간마다 작업 디렉토리에서 모든 파일을 수집하여 암호로 보호된 보관소에 보관하여 추가적인 유출을 방지할 수 있습니다.
menuPass는 Csvde 도구를 사용하여 Active Directory 파일과 데이터를 수집했습니다.
MESSAGETAP은 네트워크 트래픽에서 SMS 메시지 데이터에서 구문 분석 및 추출된 데이터를 타겟팅하고 저장하는 방법에 대한 지침을 얻기 위해 keyword_parm.txt와 parm.txt라는 두 개의 파일을 확인합니다.
Metamorfo는 마우스 클릭과 기계의 지속적인 스크린샷을 자동으로 수집하고 타이머를 설정하여 클립보드의 내용과 웹사이트 탐색을 수집합니다.
Micropsia는 미리 정의된 파일 확장자 목록( .xls, .xlsx, .csv, .odt, .doc, .docx, .ppt, .pptx, .pdf, .mdb, .accdb, .accde, *.txt)을 기반으로 파일을 재귀적으로 보관하기 위해 RAR 도구를 실행합니다.
Mustang Panda는 대상 시스템에서 자동으로 파일을 수집하기 위해 사용자 정의 배치 스크립트를 사용했습니다.
Mythic은 에이전트에서 파일 다운로드 스크립팅을 지원합니다.
NETWIRE는 수집된 데이터를 자동으로 보관할 수 있습니다.
NPPSPY 수집은 피해자 머신의 지정된 파일에 자동으로 기록됩니다.
OilRig는 자동 수집을 사용했습니다.
Operation Wocao 동안 위협 행위자는 스크립트를 사용하여 감염된 시스템에 대한 정보를 수집했습니다.
OutSteel은 특정 확장자를 가진 파일을 자동으로 스캔하고 수집할 수 있습니다.
PACEMAKER는 /proc/ 대상 애플리케이션의 메모리를 읽기 위해 2초마다 항목을 읽는 루프를 입력할 수 있습니다.
Pacu는 CloudFormation 템플릿, EC2 사용자 데이터, AWS Inspector 보고서, IAM 자격 증명 보고서 등의 데이터를 자동으로 수집할 수 있습니다.
Patchwork는 C:\를 검색하고 특정 확장자를 가진 파일을 수집하는 파일 스틸러를 개발했습니다. Patchwork는 또한 모든 드라이브를 열거하고 목록으로 저장하고 생성된 파일을 C2 서버에 업로드하는 스크립트를 실행했습니다.
PoetRAT는 파일 시스템 모니터링을 사용하여 수정 내용을 추적하고 자동 침출을 활성화했습니다.
PoshC2에는 유효한 신용 카드 번호를 수집하기 위해 파일과 디렉토리를 재귀적으로 구문 분석하는 모듈이 포함되어 있습니다.
Proxysvc는 피해자에 대한 데이터를 자동으로 수집하여 제어 서버로 전송합니다.
Raccoon Stealer는 명령 및 제어 서버에서 다운로드한 구성 데이터를 기반으로 피해자 시스템에서 파일과 디렉토리를 수집합니다.
Ramsay는 태그를 지정하고 수집하기 전에 로컬 시스템, 이동식 미디어 및 연결된 네트워크 드라이브에서 Microsoft Word 문서에 대한 초기 스캔을 수행할 수 있습니다. 후속 스캔을 통해 수집하기 위해 문서에 태그를 계속 지정할 수 있습니다.
RedCurl은 일괄 처리 스크립트를 사용하여 데이터를 수집했습니다.
ROADTools는 Azure Graph API를 사용하여 Azure AD 환경에서 자동으로 데이터를 수집합니다.
Linux 배포판에 따라 RotaJakiro는 일련의 명령을 실행하여 장치 정보를 수집하고 수집된 정보를 C2 서버로 전송합니다.
Rover는 미리 정의된 파일 확장자 목록을 기반으로 정기적으로 로컬 시스템 및 이동식 드라이브에서 파일을 자동으로 수집합니다.
RTM은 검색 활동을 모니터링하고 피해자가 문자열 목록 중 하나와 일치하는 URL을 검색하는 경우 자동으로 스크린샷을 캡처합니다.
ShimRatReporter는 C2의 지시 없이 사용자 및 호스트 머신과 관련된 정보를 자동으로 수집하여 보고서로 컴파일하고 운영자에게 전송합니다.
Sidewinder는 도구를 사용하여 시스템 및 네트워크 구성 정보를 자동으로 수집했습니다.
StrongPity에는 미리 정의된 파일 확장자 목록을 기반으로 파일을 자동으로 수집하고 보관할 수 있는 파일 검색 구성 요소가 있습니다.
T9000은 미리 정의된 파일 확장자 목록(예: *.doc, .ppt, .xls, .docx, .pptx, *.xlsx)이 있는 파일을 이동식 저장 장치에서 검색합니다. 일치하는 모든 파일은 암호화되어 로컬 사용자 디렉토리에 기록됩니다.
TajMahal은 파일을 인덱싱하고 압축하여 유출을 위한 전송 대기열로 보낼 수 있는 기능을 가지고 있습니다.
위협 그룹 3390은 피해자 사용자 디렉토리에서 관심 있는 파일 유형의 아카이브를 컴파일하는 명령을 실행했습니다.
Tropic Trooper는 적의 USBferry 공격을 사용하여 자동으로 정보를 수집했습니다.
USBStealer는 피해자의 모든 비제거 드라이브에 대해 특정 파일의 자동 수집을 실행합니다.
Valak은 수집된 자격 증명 데이터를 검색하고 보고서를 작성하기 위한 모듈을 다운로드할 수 있습니다.
VERMIN은 수집된 각 파일을 자동 생성된 형식 {0:dd-MM-yyyy}.txt로 저장합니다.
WindTail은 특정 파일 확장자를 가진 파일을 식별하여 보관을 위한 배열에 추가할 수 있습니다.
Winter Vivern은 HTTP를 통해 식별된 파일을 추출하기 전에 다양한 파일 유형을 찾기 위해 피해자의 컴퓨터를 재귀적으로 스캔할 수 있는 PowerShell 스크립트를 제공합니다.
Zebrocy는 시스템을 스캔하고 다음 확장명을 가진 파일을 자동으로 수집합니다: .doc, .docx, .xls, .xlsx, .pdf, .pptx, .rar, .zip, .jpg, .jpeg, .bmp, .tiff, .kum, .tlg, .sbx, .cr, .hse, .hsf 및 .lhz.
완화책
민감한 정보 암호화
민감한 정보를 암호화하고 시스템 외부에 저장하는 것은 파일 수집을 완화하는 한 가지 방법일 수 있지만 침입이 장기간 지속되고 적이 다른 수단을 통해 데이터를 발견하고 액세스할 수 있는 경우 적이 정보를 획득하는 것을 막을 수 없습니다. Brute Force 기술을 통한 오프라인 크래킹을 방지하기 위해 강력한 암호를 사용하는 특정 암호화된 문서에는 사용해야 합니다.
원격 데이터 저장
민감한 정보를 암호화하고 시스템 외부에 저장하는 것은 파일 수집을 완화하는 한 가지 방법일 수 있지만, 침입이 장기간 지속되고 적이 다른 수단을 통해 데이터를 발견하고 액세스할 수 있는 경우 적이 정보를 획득하는 것을 막을 수는 없습니다.
발견
명령
- 명령 실행
내부 데이터를 수집하기 위해 수행할 수 있는 작업에 대해 실행된 명령과 인수를 모니터링합니다.
파일
- 파일 접근
내부 데이터를 수집하기 위해 예상치 못한 파일(예: .pdf, .docx, .jpg 등)을 모니터링합니다.
스크립트
- 스크립트 실행
시스템에서 실행 중인 스크립트를 활성화하려는 시도를 모니터링하면 의심스러운 것으로 간주됩니다. 스크립트가 시스템에서 일반적으로 사용되지 않지만 활성화된 경우 패치 또는 기타 관리자 기능에서 주기를 벗어나 실행되는 스크립트는 의심스럽습니다. 스크립트는 가능한 경우 파일 시스템에서 캡처하여 동작과 의도를 파악해야 합니다.
사용자 계정
- 사용자 계정 인증
Python이나 Powershell과 같은 스크립팅 인터프리터에 기인한 사용자 에이전트를 사용하여 Graph API나 기타 중요한 리소스에 인증하는 의심스러운 애플리케이션이 있는지 Azure AD(Entra ID) 로그인 로그를 모니터링합니다.
분석 1 - 의심스러운 애플리케이션, 비정상적인 사용자 에이전트(예: Python, PowerShell), 비정상적인 IP 주소 및 관리되지 않는 장치
index="azure_ad_signin_logs" Operation="UserLogin"| search UserAgent="python" OR UserAgent="PowerShell"| stats count by ClientIP, UserId, DeviceProperties| where ClientIP!="expected_ip" OR DeviceProperties!="expected_properties"
브라우저 세션 하이재킹
적대자는 브라우저 소프트웨어의 보안 취약점과 내재적 기능을 이용해 콘텐츠를 변경하고, 사용자 동작을 수정하고, 다양한 브라우저 세션 하이재킹 기술의 일환으로 정보를 가로챌 수 있습니다.
구체적인 예로는 적대자가 사용자의 쿠키, HTTP 세션 및 SSL 클라이언트 인증서를 상속받을 수 있는 소프트웨어를 브라우저에 삽입한 다음 해당 브라우저를 인증된 인트라넷으로 피벗하는 방법으로 사용하는 경우가 있습니다. 피벗과 같은 브라우저 기반 동작을 실행하려면 SeDebugPrivilege높은 무결성/관리자 권한과 같은 특정 프로세스 권한이 필요할 수 있습니다.
또 다른 예로는 웹 트래픽을 리디렉션할 프록시를 설정하여 적대자의 브라우저에서 사용자 브라우저로 브라우저 트래픽을 피벗하는 것이 있습니다. 이는 어떤 식으로든 사용자 트래픽을 변경하지 않으며 브라우저를 닫으면 프록시 연결이 끊어질 수 있습니다. 적대자는 프록시가 주입된 브라우저 프로세스의 보안 컨텍스트를 가정합니다. 브라우저는 일반적으로 열리는 각 탭에 대해 새 프로세스를 만들고 권한과 인증서가 그에 따라 분리됩니다. 이러한 권한을 통해 적대자는 브라우저를 통해 액세스할 수 있고 브라우저에 충분한 권한이 있는 Sharepoint 또는 웹메일과 같은 인트라넷의 모든 리소스를 잠재적으로 탐색할 수 있습니다. 브라우저 피벗은 2단계 인증이 제공하는 보안을 우회할 수도 있습니다.
절차
Agent Tesla는 양식 수집 기능을 사용하여 웹 데이터 양식에서 데이터를 추출할 수 있는 기능을 갖고 있습니다.
Carberp는 사용자가 SSL 세션을 통해 로그인을 수행할 때 자격 증명을 캡처했습니다.
Chaes는 Puppeteer 모듈을 사용하여 Chrome 웹 브라우저를 연결하고 모니터링하여 감염된 호스트로부터 사용자 정보를 수집했습니다.
Cobalt Strike는 브라우저 피벗을 수행하고 쿠키, 인증된 HTTP 세션 및 클라이언트 SSL 인증서를 상속하기 위해 사용자 브라우저에 주입할 수 있습니다.
Dridex는 웹 주입을 통해 브라우저 공격을 수행하여 자격 증명, 인증서, 쿠키와 같은 정보를 훔칠 수 있습니다.
Grandoreiro는 온라인 뱅킹 작업에 대한 브라우저 활동을 모니터링하고 전체 화면 오버레이 이미지를 표시하여 의도한 사이트에 대한 사용자 액세스를 차단하거나 추가 데이터 필드를 제공할 수 있습니다.
IcedID는 웹 주입 공격을 사용하여 피해자를 은행 및 기타 자격 증명을 수집하도록 설계된 스푸핑 사이트로 리디렉션했습니다. IcedID는 스푸핑 사이트와 관련하여 자체 서명된 TLS 인증서를 사용할 수 있으며 동시에 합법적인 사이트와 라이브 연결을 유지하여 브라우저에 올바른 URL과 인증서를 표시합니다.
Melcoz는 온라인 뱅킹 세션을 위해 피해자의 브라우저를 모니터링하고 백그라운드에서 세션을 조작하기 위한 오버레이 창을 표시할 수 있습니다.
QakBot은 고급 웹 주입을 사용하여 웹 뱅킹 자격 증명을 훔칠 수 있습니다.
TrickBot은 웹 주입 및 브라우저 리디렉션을 사용하여 사용자가 가짜 또는 수정된 웹 페이지에서 로그인 자격 증명을 제공하도록 속입니다.
Ursnif는 민감한 온라인 뱅킹 정보(예: 사용자 이름 및 비밀번호)를 훔치기 위해 뱅킹 사이트에 HTML 코드를 삽입했습니다.
완화책
사용자 계정 관리
브라우저 피벗팅은 시작하기 위해 높은 무결성 프로세스가 필요하므로 사용자 권한을 제한하고 권한 상승 및 사용자 계정 제어 우회 기회를 처리하면 이 기술에 대한 노출을 제한할 수 있습니다.
사용자 교육
정기적으로 모든 브라우저 세션을 닫고, 더 이상 필요하지 않을 때도 닫아 두세요.
발견
로그온 세션
- 로그온 세션 생성
인증 로그는 특정 웹 애플리케이션에 대한 로그인을 감사하는 데 사용할 수 있지만, 활동이 일반적인 사용자 동작과 일치하는 경우 악성 로그인과 양성 로그인을 판별하는 것이 어려울 수 있습니다.
프로세스
- 프로세스 접근
적대적인 트래픽이 일반 사용자 트래픽에 의해 가려질 수 있기 때문에 감지하기 어려운 기술일 수 있습니다. 브라우저 애플리케이션에 대한 프로세스 주입을 모니터링합니다.
- 프로세스 수정
적대적인 트래픽이 일반 사용자 트래픽에 의해 가려질 수 있기 때문에 감지하기 어려운 기술일 수 있습니다. 브라우저 애플리케이션에 대한 프로세스 주입을 모니터링합니다.
클립보드 데이터
공격자는 사용자가 애플리케이션 내부 또는 애플리케이션 간에 정보를 복사할 때 클립보드에 저장된 데이터를 수집할 수 있습니다.
clip.exe예를 들어, Windows에서 적대자는 또는 를 사용하여 클립보드 데이터에 액세스할 수 있습니다 Get-Clipboard. 또한 적대자는 사용자의 클립보드를 모니터링한 다음 해당 데이터로 바꿀 수 있습니다(예: 전송된 데이터 조작 ).
macOS 및 Linux에도 pbpaste클립보드 내용을 가져오기 위한 명령이 있습니다.
절차
Agent Tesla는 피해자의 클립보드에서 데이터를 훔칠 수 있습니다.
APT38은 KEYLIME이라는 트로이 목마를 사용하여 클립보드에서 데이터를 수집했습니다.
APT39는 클립보드의 내용을 훔칠 수 있는 도구를 사용했습니다.
Astaroth는 OpenClipboard() 및 GetClipboardData() 라이브러리를 사용하여 클립보드에서 정보를 수집합니다.
Attor에는 OpenClipboard 및 GetClipboardData API를 사용하여 Windows 클립보드에 저장된 데이터를 수집하는 플러그인이 있습니다.
Cadelspy는 클립보드에서 데이터를 훔칠 수 있는 능력을 가지고 있습니다.
Catchmas는 클립보드에 저장된 데이터를 훔칩니다.
CHIMNEYSWEEP은 클립보드에서 콘텐츠를 캡처할 수 있습니다.
Clambling은 클립보드 데이터를 캡처하고 저장하는 기능을 가지고 있습니다.
CosmicDuke는 30초마다 클립보드 내용을 복사하고 추출합니다.
DarkComet은 클립보드에서 데이터를 훔칠 수 있습니다.
DarkGate는 클립보드 데이터를 캡처하고 미리 정의된 로그 파일에 기록하는 스레드를 실행 시 시작합니다.
DarkTortilla는 클립보드 정보 도용 모듈을 다운로드할 수 있습니다.
Empire는 Windows와 macOS 시스템 모두에서 클립보드 데이터를 수집할 수 있습니다.
Explosive에는 OpenClipboard 래퍼를 사용하는 기능이 있습니다.
FlawedAmmyy는 클립보드 데이터를 수집할 수 있습니다.
Grandoreiro는 손상된 호스트에서 클립보드 데이터를 캡처할 수 있습니다.
Helminth의 실행 가능 버전에는 클립보드 내용을 기록하는 모듈이 있습니다.
JHUHUGIT 변형은 클립보드에 저장된 스크린샷에 액세스하여 JPG 이미지로 변환합니다.
jRAT는 클립보드 데이터를 캡처할 수 있습니다.
Koadic은 사용자 클립보드의 현재 내용을 검색할 수 있습니다.
KONNI에는 클립보드에서 데이터를 훔치는 기능이 있었습니다.
Machete는 키보드 이벤트를 수신하는 겹쳐진 창을 생성하여 클립보드 데이터를 하이재킹합니다.
MacSpy는 클립보드 내용을 훔칠 수 있습니다.
MarkiRAT는 클립보드 콘텐츠를 캡처할 수 있습니다.
Melcoz는 클립보드에 저장된 콘텐츠를 모니터링할 수 있습니다.
Metamorfo는 클립보드의 내용을 모니터링하고 공격자의 암호화폐 지갑으로 대체하여 클립보드에서 데이터를 하이재킹하는 기능을 가지고 있습니다.
MgBot은 클립보드 데이터를 캡처할 수 있습니다.
Mispadu는 손상된 호스트의 클립보드에 있는 비트코인 지갑 데이터를 캡처하여 바꿀 수 있는 기능을 가지고 있습니다.
Operation Wocao 동안 위협 행위자는 일반 텍스트로 클립보드 데이터를 수집했습니다.
Remcos는 클립보드에서 데이터를 훔쳐 수정합니다.
Remexi는 클립보드에서 텍스트를 수집합니다.
ROKRAT는 손상된 호스트에서 클립보드 데이터를 추출할 수 있습니다.
RTM은 클립보드에서 데이터를 수집합니다.
RunningRAT에는 클립보드에서 데이터를 열고 복사하는 코드가 포함되어 있습니다.
SILENTTRINITY는 클립보드 텍스트를 모니터링하고 Systehttp://m.Windows.Forms.Clipboard.GetText()를 사용하여 클립보드에서 데이터를 수집하는 데 사용할 수 있습니다.
TajMahal은 감염된 호스트의 클립보드에서 데이터를 훔칠 수 있는 능력을 가지고 있습니다.
TinyZBot에는 클립보드에서 정보를 수집하는 기능이 포함되어 있습니다.
VERMIN은 클립보드에 저장된 데이터를 수집합니다.
Zeus Panda는 클립보드 붙여넣기 수집을 감시하기 위해 GetClipboardData 함수를 연결할 수 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
사용자가 애플리케이션 내부 또는 애플리케이션 간에 정보를 복사할 때 클립보드에 저장된 데이터를 수집하기 위해 실행된 명령과 인수를 모니터링합니다.
프로세스
- OS API 실행
애플리케이션 내부 또는 애플리케이션 간에 정보를 복사하는 사용자의 클립보드에 저장된 데이터를 수집할 수 있는 API 호출을 모니터링합니다.
클라우드 스토리지의 데이터
공격자는 클라우드 스토리지에서 데이터에 액세스할 수 있습니다.
많은 IaaS 제공업체가 Amazon S3, Azure Storage, Google Cloud Storage와 같은 온라인 데이터 개체 스토리지를 위한 솔루션을 제공합니다. 마찬가지로 Office 365 및 Google Workspace와 같은 SaaS 엔터프라이즈 플랫폼은 OneDrive 및 Google Drive와 같은 서비스를 통해 사용자에게 클라우드 기반 문서 스토리지를 제공하는 반면, Slack, Confluence, Salesforce, Dropbox와 같은 SaaS 애플리케이션 제공업체는 플랫폼의 주변 또는 주요 사용 사례로 클라우드 스토리지 솔루션을 제공할 수 있습니다.
일부 경우, IaaS 기반 클라우드 스토리지와 마찬가지로 저장된 객체와 상호 작용할 수 있는 포괄적인 애플리케이션(예: SQL 또는 Elasticsearch)이 없습니다. 대신 이러한 솔루션의 데이터는 클라우드 API를 통해 직접 검색됩니다. SaaS 애플리케이션에서 적대자는 프런트엔드 애플리케이션이나 인터페이스(예: 정보 저장소의 데이터 ) 를 통하지 않고 API 또는 백엔드 클라우드 스토리지 객체에서 직접 이 데이터를 수집할 수 있습니다 .
적대자는 이러한 클라우드 스토리지 솔루션에서 민감한 데이터를 수집할 수 있습니다. 공급업체는 일반적으로 최종 사용자가 시스템을 구성하는 데 도움이 되는 보안 가이드를 제공하지만 잘못된 구성은 일반적인 문제입니다. 클라우드 스토리지가 부적절하게 보안된 사고가 많이 발생했는데, 일반적으로 인증되지 않은 사용자에게 의도치 않게 공개 액세스를 허용하거나 모든 사용자가 지나치게 광범위하게 액세스하거나 심지어 기본 사용자 권한이 필요 없이 Identity Access Management 시스템의 제어 밖에 있는 익명의 사람이 액세스할 수 있도록 하는 경우가 많습니다.
이러한 오픈 액세스는 신용 카드, 개인 식별 정보 또는 의료 기록과 같은 다양한 유형의 민감한 데이터를 노출할 수 있습니다. 공격자는 소스 저장소, 로그 또는 다른 수단을 통해 유출된 자격 증명을 입수해 이를 남용해 클라우드 스토리지 객체에 액세스할 수도 있습니다.
절차
AADInternals는 사용자의 OneDrive에서 파일을 수집할 수 있습니다.
C0027 동안 Scattered Spider는 VPN 및 MFA 등록 정보, 헬프 데스크 지침 및 신입 직원 가이드를 검색하기 위해 피해자 OneDrive 환경에 액세스했습니다.
Fox Kitten은 피해자의 클라우드 스토리지 인스턴스에서 파일을 얻었습니다.
Pacu는 S3 버킷과 같은 AWS 스토리지 서비스에 저장된 파일을 열거하고 다운로드할 수 있습니다.
Peirates는 AWS S3 버킷의 내용을 덤프할 수 있습니다. 또한 Google Cloud Storage 또는 S3의 kOps 버킷에서 서비스 계정 토큰을 검색할 수도 있습니다.
Scattered Spider는 수집 및 유출 목적으로 클라우드 리소스에 저장된 데이터를 열거합니다.
완화책
심사
클라우드 스토리지에 대한 권한을 자주 확인하여 리소스에 대한 공개 또는 권한 없는 액세스를 거부하기 위한 적절한 권한이 설정되어 있는지 확인하세요.
민감한 정보 암호화
클라우드 스토리지에 저장된 데이터를 암호화합니다. 관리되는 암호화 키는 대부분 공급자가 순환할 수 있습니다. 최소한 스토리지 침해에 대한 사고 대응 계획에 키 순환을 포함하고 클라이언트 애플리케이션에 미치는 영향을 테스트합니다.
네트워크 트래픽 필터링
클라우드 서비스 제공자는 클라우드 리소스에 액세스할 때 IP 기반 제한을 지원합니다. 사용자 계정 관리와 함께 IP 허용 목록을 사용하여 데이터 액세스가 유효한 사용자뿐만 아니라 예상 IP 범위에서만 제한되도록 하여 도난된 자격 증명을 사용하여 데이터에 액세스하는 것을 완화하는 것을 고려하세요.
다중 인증 요소
다중 요소 인증을 사용하여 리소스 및 클라우드 스토리지 API에 대한 액세스를 제한하는 것을 고려하세요.
파일 및 디렉토리 권한 제한
저장 시스템 및 객체에 액세스 제어 목록을 사용합니다.
사용자 계정 관리
클라우드 스토리지에 대한 액세스를 위한 사용자 권한 그룹 및 역할을 구성합니다. 액세스가 필요한 애플리케이션, 사용자 및 서비스를 제외하고 스토리지 솔루션에 대한 액세스를 방지하기 위해 엄격한 ID 및 액세스 관리(IAM) 제어를 구현합니다. 특히 내부 보안 경계 외부의 엔터티에 액세스가 부여되는 경우 영구 자격 증명 대신 임시 액세스 토큰이 발급되도록 합니다.
발견
클라우드 서비스
- 클라우드 서비스 메타데이터
Microsoft Teams 워크로드에 대해 의심스러운 ClientIP와 의심스러운 계정(UserId)이 포함된 TeamsSessionStarted 작업에 대한 M365 감사 로그를 모니터링합니다.
분석 1 - 특이한 IP 주소에서 시작된 세션, 단일 계정에서 발생한 세션 볼륨이 높음, 특이한 시간에 발생한 세션
"`index=""m365_audit_logs"" Operation=""TeamsSessionStarted""| stats count by UserId, ClientIP, CreationTime| where ClientIP!=""expected_ip"" OR UserId!=""expected_user""| sort by CreationTime"
클라우드 스토리지
- 클라우드 스토리지 액세스
클라우드 제공자의 스토리지 서비스에 대한 비정상적인 쿼리를 모니터링합니다. 예상치 못한 출처에서 발생한 활동은 부적절한 권한이 설정되어 데이터 액세스를 허용하고 있음을 나타낼 수 있습니다. 또한 특정 개체에 대한 사용자의 시도 실패를 감지한 후 동일한 사용자가 권한을 에스컬레이션하고 동일한 개체에 액세스하는 것은 의심스러운 활동의 징후일 수 있습니다.
구성 저장소의 데이터
적대자는 구성 저장소에서 관리되는 장치와 관련된 데이터를 수집할 수 있습니다. 구성 저장소는 관리 시스템에서 원격 시스템의 데이터를 구성, 관리 및 제어하는 데 사용됩니다. 구성 저장소는 또한 장치의 원격 액세스 및 관리를 용이하게 할 수 있습니다.
적대자는 대량의 민감한 시스템 관리 데이터를 수집하기 위해 이러한 저장소를 표적으로 삼을 수 있습니다. 구성 저장소의 데이터는 다양한 프로토콜과 소프트웨어에 의해 노출될 수 있으며 다양한 데이터를 저장할 수 있으며, 그 중 많은 부분이 적대자의 Discovery 목표와 일치할 수 있습니다.
완화책
민감한 정보 암호화
사용 가능한 최고 수준의 보안(authPriv)을 사용하도록 SNMPv3를 구성합니다.
네트워크 트래픽 필터링
신뢰할 수 있는 네트워크 외부의 승인되지 않은 프로토콜을 차단하려면 확장 ACL을 적용합니다.
네트워크 침입 방지
승인되지 않은 소스의 SNMP 쿼리 및 명령을 감지하도록 침입 방지 장치를 구성합니다.
네트워크 세분화
SNMP 트래픽을 별도 관리 네트워크로 분리합니다.
소프트웨어 구성
MIB 객체를 허용 목록에 추가하고 SNMP 뷰를 구현합니다.
소프트웨어 업데이트
시스템 이미지와 소프트웨어를 최신 상태로 유지하고 SNMPv3로 마이그레이션합니다.
발견
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트 또는 흔하지 않은 데이터 흐름에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다. 암호화된 트래픽에 대한 SSL/TLS 검사를 활용하여 예상 프로토콜 표준 및 트래픽 흐름을 따르지 않는 애플리케이션 계층 프로토콜을 감지하기 위해 패킷 콘텐츠를 분석하는 것을 고려합니다(예: 구성 콘텐츠에 액세스하려는 승인되지 않은, 무단 또는 비정상적인 트래픽 패턴)
-네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다(예: 구성 콘텐츠에 액세스하려는 무단, 무의미하거나 비정상적인 트래픽 패턴)
정보 저장소의 데이터
적대자는 정보 저장소를 활용하여 귀중한 정보를 채굴할 수 있습니다. 정보 저장소는 일반적으로 사용자 간의 협업이나 정보 공유를 용이하게 하기 위해 정보를 저장할 수 있는 도구이며, Credential Access, Lateral Movement 또는 Defense Evasion과 같은 추가 목표에 적대자가 도움이 될 수 있는 다양한 데이터를 저장하거나 대상 정보에 직접 액세스할 수 있습니다. 적대자는 또한 외부 공유 기능을 남용하여 조직 외부의 수신자와 민감한 문서를 공유할 수 있습니다(예: 클라우드 계정으로 데이터 전송 ).
다음은 적대자에게 잠재적으로 가치가 있을 수 있는 정보의 간단한 예시 목록이며 정보 저장소에서도 찾을 수 있습니다.
- 정책, 절차 및 표준
- 물리적/논리적 네트워크 다이어그램
- 시스템 아키텍처 다이어그램
- 기술 시스템 문서
- 테스트/개발 자격 증명(즉, 보안되지 않은 자격 증명 )
- 작업/프로젝트 일정
- 소스 코드 스니펫
- 네트워크 공유 및 기타 내부 리소스에 대한 링크
- 개인 식별 정보(PII)를 포함한 비즈니스 파트너 및 고객에 대한 연락처 또는 기타 민감한 정보
저장소에 저장된 정보는 특정 인스턴스 또는 환경에 따라 다를 수 있습니다. 특정 공통 정보 저장소는 다음과 같습니다.
- IaaS 데이터베이스, 엔터프라이즈 데이터베이스 및 CRM(고객 관계 관리) 데이터베이스와 같은 보다 특수화된 플랫폼과 같은 스토리지 서비스
- SharePoint, Confluence 및 코드 저장소와 같은 협업 플랫폼
- Slack 및 Microsoft Teams와 같은 메시징 플랫폼
일부 사례에서 정보 저장소가 부적절하게 보안이 유지되지 않았습니다. 일반적으로 의도치 않게 모든 사용자의 지나치게 광범위한 액세스 또는 인증되지 않은 사용자의 공개 액세스를 허용했기 때문입니다. 이는 AWS Relational Database Service(RDS), Redis 또는 ElasticSearch와 같은 클라우드 기반 또는 클라우드 호스팅 서비스에서 특히 흔합니다.
절차
APT28은 다양한 정보 저장소에서 파일을 수집했습니다.
APT41 DUST는 SQLULDR2를 사용하여 피해자 Oracle 데이터베이스에서 데이터를 수집했습니다.
FIN6은 SQL Server를 실행하는 시스템에서 스키마와 사용자 계정을 수집했습니다.
MgBot에는 감염된 장치의 사용자 QQ 메시지 기록을 저장하는 Tencent QQ 데이터베이스에서 콘텐츠를 훔칠 수 있는 모듈이 포함되어 있습니다.
PAS Webshell은 SQL 데이터베이스에서 데이터를 나열하고 추출하는 기능을 가지고 있습니다.
Raccoon Stealer는 암호화폐 지갑과 Telegram 메시징 서비스와 관련된 저장소에서 정보를 수집합니다.
Sandworm Team은 Adminer를 사용하여 엔터프라이즈 데이터베이스에서 관심 있는 데이터를 추출합니다.
SolarWinds 침해 동안 APT29는 피해자의 내부 지식 저장소(위키)에 액세스하여 제품, 서비스 및 내부 비즈니스 운영에 대한 중요한 기업 정보를 확인했습니다.
Turla는 조직의 내부 중앙 데이터베이스에서 문서를 수집하기 위해 맞춤형 .NET 도구를 사용했습니다.
완화책
심사
중요하고 민감한 저장소의 계정 및 권한을 주기적으로 검토하는 것을 고려하십시오. 클라우드 호스팅 데이터베이스와 같은 저장소가 의도치 않게 대중에게 노출되지 않도록 하고, 이에 할당된 보안 그룹이 필요하고 승인된 호스트만 허용하도록 하십시오.
민감한 정보 암호화
데이터베이스에 저장된 데이터를 암호화합니다.
다중 인증 요소
사용자 이름과 비밀번호 외에도 물리적 스마트 카드나 토큰 생성기에서 생성된 토큰을 사용하여 두 개 이상의 증거를 사용하여 시스템을 인증합니다.
대역 외 통신 채널
보안 사고가 발생한 경우 기존 네트워크 내 채팅 애플리케이션 대신 안전한 대역 외 통신 채널을 활용하기 위한 계획을 수립합니다.
소프트웨어 구성
더 이상 필요하지 않은 데이터를 주기적으로 보관 및/또는 삭제하는 작업을 자동화하기 위해 데이터 보존 정책을 구현하는 것을 고려하세요.
사용자 계정 관리
최소 권한 원칙을 시행합니다. 인증과 권한 부여를 모두 포함하는 액세스 제어 메커니즘을 구현하는 것을 고려하세요.
사용자 교육
저장소에 저장될 수 있는 허용 가능한 정보를 정의하는 정책을 개발하고 게시합니다.
발견
신청 로그
- 애플리케이션 로그 내용
정보 저장소를 활용하여 귀중한 정보를 마이닝할 수 있는 타사 애플리케이션 로깅, 메시징 및/또는 기타 아티팩트를 모니터링합니다. 정보 저장소는 일반적으로 상당히 큰 사용자 기반을 가지고 있으므로 악의적 사용을 감지하는 것은 간단하지 않을 수 있습니다. 최소한 권한이 있는 사용자(예: Active Directory Domain, Enterprise 또는 Schema Administrators)가 수행하는 정보 저장소에 대한 액세스는 면밀히 모니터링하고 경고해야 합니다. 이러한 유형의 계정은 일반적으로 정보 저장소에 액세스하는 데 사용되어서는 안 됩니다. 해당 기능이 있는 경우 많은 수의 문서와 페이지를 검색하고 보는 사용자를 모니터링하고 경고하는 것이 가치가 있을 수 있습니다. 이러한 동작은 저장소 내의 모든 데이터를 검색하는 데 사용되는 프로그래밍적 수단을 나타낼 수 있습니다. 성숙도가 높은 환경에서는 사용자 기반 이상을 감지하고 경고하기 위해 사용자 행동 분석(UBA) 플랫폼을 활용할 수 있습니다.
로그온 세션
- 로그온 세션 생성
Microsoft의 SharePoint 내에서 새로 구성된 로그온 동작에 대한 모니터는 특정 페이지 및 문서에 대한 액세스를 보고하도록 구성할 수 있습니다. SharePoint 감사 로깅은 사용자가 리소스를 공유할 때 보고하도록 구성할 수도 있습니다. Atlassian의 Confluence 내의 사용자 액세스 로깅은 AccessLogFilter를 통해 특정 페이지 및 문서에 대한 액세스를 보고하도록 구성할 수도 있습니다. AWS 환경에서 GuardDuty는 RDS와 같은 서비스에서 의심스러운 로그인 활동을 보고하도록 구성할 수 있습니다. 보다 강력한 감지 기능을 위해서는 추가 로그 저장소 및 분석 인프라가 필요할 가능성이 높습니다.
로컬 시스템의 데이터
공격자는 유출을 시작하기 전에 파일 시스템 및 구성 파일이나 로컬 데이터베이스와 같은 로컬 시스템 소스를 검색하여 관심 있는 파일과 중요한 데이터를 찾을 수 있습니다.
적대자는 cmd 와 같은 명령 및 스크립팅 인터프리터 와 파일 시스템과 상호 작용하여 정보를 수집하는 기능이 있는 네트워크 장치 CLI를 사용하여 이를 수행할 수 있습니다 . 적대자는 로컬 시스템에서 자동 수집을 사용할 수도 있습니다.
절차
Action RAT는 감염된 컴퓨터에서 로컬 데이터를 수집할 수 있습니다.
Agrius는 피해자 환경의 데이터베이스 및 기타 중요 서버에서 데이터를 수집한 다음 삭제 메커니즘을 분석 방지 및 포렌식 방지 메커니즘으로 사용했습니다.
Amadey는 손상된 호스트로부터 정보를 수집할 수 있습니다.
ndariel은 나중에 추출하기 위해 손상된 네트워크 시스템에서 많은 수의 파일을 수집했습니다.
AppleSeed는 손상된 호스트에서 데이터를 수집할 수 있습니다.
APT1은 지역 피해자로부터 파일을 수집했습니다.
APT28은 Forfiles를 사용하여 침출 전 문서를 준비하는 것을 포함하여 피해자 환경 내부의 시스템에서 내부 문서를 검색했습니다.
APT29는 손상된 호스트로부터 데이터를 훔쳤습니다.
APT3는 피해자의 컴퓨터에서 Microsoft Office 문서를 식별합니다.
APT37은 피해자의 로컬 시스템에서 데이터를 수집했습니다.
APT38은 손상된 호스트로부터 데이터를 수집했습니다.
APT39는 다양한 도구를 사용하여 손상된 호스트에서 파일을 훔쳤습니다.
APT41은 손상된 호스트에서 파일과 데이터를 업로드했습니다.
Aquatic Panda는 유틸리티를 사용하여 피해자 컴퓨터에서 로컬 Windows 보안 이벤트 로그 데이터를 캡처하여 출력 파일에 내용을 추출했습니다.
AuTo Stealer는 감염된 컴퓨터에서 PowerPoint 파일, Word 문서, Excel 파일, PDF 파일, 텍스트 파일, 데이터베이스 파일, 이미지 파일 등의 데이터를 수집할 수 있습니다.
Axiom은 손상된 네트워크에서 데이터를 수집했습니다.
BADFLICK은 피해자의 컴퓨터에서 파일을 업로드했습니다.
BADNEWS는 처음 시작 시 피해자의 로컬 드라이브를 크롤링하고 .doc, .docx, .pdf, .ppt, .pptx 및 .txt 확장자를 가진 문서를 수집합니다.
BadPatch는 로컬 시스템에서 다음 확장자를 가진 파일을 수집한 다음 이를 추출할 준비를 합니다: .xls, .xlsx, .pdf, .mdb, .rar, .zip, .doc, .docx.
Bandook은 시스템에서 로컬 파일을 수집할 수 있습니다.
Bankshot은 로컬 시스템에서 파일을 수집합니다.
Bazar는 감염된 컴퓨터에서 정보를 검색할 수 있습니다.
Bisonal은 손상된 호스트로부터 정보를 수집했습니다.
BlackMould는 손상된 호스트의 파일을 복사할 수 있습니다.
BLINDINGCAN은 피해자 컴퓨터에서 파일을 업로드했습니다.
BoxCaon은 손상된 호스트에서 파일을 업로드할 수 있습니다.
BRONZE BUTLER는 로컬 시스템에서 도난된 파일을 추출했습니다.
Brute Ratel C4는 손상된 시스템에서 파일을 업로드할 수 있는 기능을 가지고 있습니다.
Bumblebee는 레지스트리와 볼륨 섀도 복사본에서 도난된 자격 증명을 캡처하고 압축할 수 있습니다.
C0015 동안 위협 행위자는 손상된 네트워크에서 파일과 데이터를 얻었습니다.
C0017 동안 APT41은 손상된 시스템과 관련된 정보와 피해자 네트워크의 개인 식별 정보(PII)를 수집했습니다.
C0026 동안 위협 행위자는 손상된 호스트로부터 문서를 수집했습니다.
Calisto는 사용자 디렉토리에서 데이터를 수집할 수 있습니다.
Caterpillar WebShell에는 로컬 데이터베이스에서 정보를 수집하는 모듈이 있습니다.
ccf32는 손상된 호스트에서 파일을 수집할 수 있습니다.
CharmPower는 손상된 호스트에서 데이터와 파일을 수집할 수 있습니다.
CHIMNEYSWEEP은 손상된 호스트에서 파일을 수집할 수 있습니다.
China Chopper의 서버 구성 요소는 로컬 파일을 업로드할 수 있습니다.
Chrome은 로컬 시스템에서 데이터를 수집할 수 있습니다.
Clambling은 손상된 호스트로부터 정보를 수집할 수 있습니다.
Cobalt Strike는 로컬 시스템에서 데이터를 수집할 수 있습니다.
CookieMiner는 iTunes 전화 백업 파일에서 iPhone 문자 메시지를 검색했습니다.
CosmicDuke는 미리 정의된 목록과 일치하는 파일 확장자를 사용하여 로컬 하드 드라이브에서 사용자 파일을 훔칩니다.
CostaRicto 동안 위협 행위자는 손상된 네트워크에서 데이터와 파일을 수집했습니다.
CreepyDrive는 피해자 컴퓨터에서 C2로 파일을 업로드할 수 있습니다.
Crimson은 손상된 호스트로부터 정보를 수집할 수 있습니다.
Crutch는 손상된 시스템에서 파일을 빼낼 수 있습니다.
Cryptoistic은 로컬 파일 시스템에서 파일을 검색할 수 있습니다.
CURIUM은 손상된 시스템에서 데이터를 빼냈습니다.
Cutting Edge 동안 위협 행위자는 타겟 Ivanti Connect Secure VPN에서 실행 구성 및 캐시 데이터를 훔쳤습니다.
Cyclops Blink는 손상된 호스트에서 파일을 업로드할 수 있습니다.
DanBot은 손상된 호스트에서 파일을 업로드할 수 있습니다.
Dark Caracal은 손상된 Windows 시스템에서 '그림' 폴더의 전체 내용을 수집했습니다.
DarkWatchman은 손상된 호스트에서 파일을 수집할 수 있습니다.
DnsSystem은 uploaddd 문자열 내에 명령을 수신한 후 감염된 컴퓨터에서 파일을 업로드할 수 있습니다.
Dragonfly는 지역 피해자 시스템으로부터 데이터를 수집했습니다.
DRATzarus는 손상된 호스트로부터 정보를 수집할 수 있습니다.
Drovorub은 피해자 컴퓨터에서 파일을 전송할 수 있습니다.
Dtrack은 피해자 컴퓨터에서 다양한 정보를 수집할 수 있습니다.
DUSTTRAP은 감염된 시스템에서 데이터를 수집할 수 있습니다.
Ember Bear는 주어진 장치의 볼륨을 열거하거나 분석을 위해 시스템 및 보안 이벤트 로그를 추출하는 것과 같은 피해자 시스템 정보를 수집합니다.
EnvyScout는 손상된 호스트로부터 중요한 NTLM 자료를 수집할 수 있습니다.
esentutl을 사용하면 로컬 파일 시스템에서 데이터를 수집할 수 있습니다.
FatDuke는 손상된 호스트에서 파일과 디렉토리를 복사할 수 있습니다.
FIN13은 유출되기 전에 손상된 네트워크에서 도난된 자격 증명, POS(판매 시점 정보) 및 ATM 데이터와 같은 중요 데이터를 수집했습니다.
FIN6은 손상된 시스템에서 지불 카드 데이터를 수집하여 빼냈습니다.
FIN7은 손상된 네트워크에서 파일 및 기타 중요 정보를 수집했습니다.
Flagpro는 Windows 인증 정보를 포함하여 손상된 호스트에서 데이터를 수집할 수 있습니다.
FLASHFLOOD는 로컬 시스템에서 관심 있는 파일(기본 또는 사용자 정의 파일 확장자 세트)을 검색합니다. FLASHFLOOD는 내 최근 문서, 바탕 화면, 임시 인터넷 파일 및 TEMP 디렉터리를 스캔합니다. FLASHFLOOD는 또한 Windows 주소록에 저장된 정보를 수집합니다.
FlawedAmmyy는 손상된 시스템에서 정보와 파일을 수집했습니다.
FoggyWeb은 손상된 AD FS 서버에서 구성 데이터를 검색할 수 있습니다.
Forfiles는 시스템 내의 파일/디렉토리에 대한 작업(예: 파일을 스테이징 영역으로 복사하기 전에)을 수행하는 데 사용할 수 있습니다.
Fox Kitten은 중요 문서에 액세스하기 위해 로컬 시스템 리소스를 검색했습니다.
FrameworkPOS는 프로세스 메모리에서 신용 카드 데이터와 관련된 요소를 수집할 수 있습니다.
프랑켄슈타인 동안 위협 행위자들은 Empire를 사용하여 다양한 로컬 시스템 정보를 수집했습니다.
FunnyDream은 피해자의 컴퓨터에서 파일을 업로드할 수 있습니다.
GALLIUM은 레지스트리의 SAM 하이브에서 비밀번호 해시를 포함하여 피해자의 로컬 시스템에서 데이터를 수집했습니다.
Gamaredon Group은 감염된 시스템에서 파일을 수집하여 C2 서버에 업로드했습니다.
Gelsemium은 손상된 호스트로부터 데이터를 수집할 수 있습니다.
Goopy는 감염된 시스템에서 문서를 빼낼 수 있는 기능을 가지고 있습니다.
GravityRAT는 .docx, .doc, .pptx, .ppt, .xlsx, .xls, .rtf 및 .pdf 확장자를 가진 파일을 훔칩니다.
Green Lambert는 손상된 호스트로부터 데이터를 수집할 수 있습니다.
GrimAgent는 손상된 호스트에서 데이터와 파일을 수집할 수 있습니다.
HAFNIUM은 손상된 시스템에서 데이터와 파일을 수집했습니다.
Hikit은 손상된 시스템에서 파일을 업로드할 수 있습니다.
Hydraq는 원격 공격자가 파일에서 데이터를 읽을 수 있는 백도어를 생성합니다.
IceApple은 손상된 호스트로부터 파일, 비밀번호 및 기타 데이터를 수집할 수 있습니다.
Inception은 파일 사냥 플러그인을 사용하여 감염된 호스트에서 .txt, .pdf, .xls 또는 .doc 파일을 수집했습니다.
InvisiMole은 시스템에서 데이터를 수집하고 지정된 디렉토리의 변경 사항을 모니터링할 수 있습니다.
IPsec Helper는 후속 침출을 위해 특정 파일과 폴더를 식별할 수 있습니다.
Ixeshe는 로컬 시스템에서 데이터를 수집할 수 있습니다.
Kazuar는 지정된 디렉토리에서 C2 서버로 파일을 업로드합니다.
Ke3chang은 유출을 위해 지역 디렉토리에서 정보와 파일을 수집했습니다.
Kevin은 손상된 호스트에서 로그 및 기타 데이터를 업로드할 수 있습니다.
KGH_SPY는 피해자 시스템 정보가 포함된 파일을 C2로 보낼 수 있습니다.
Kimsuky는 피해자들로부터 Office, PDF, HWP 문서를 수집했습니다.
Koadic은 대상 시스템에서 파일을 다운로드하여 서버로 다시 보낼 수 있습니다.
KONNI는 수집된 정보와 발견된 프로세스를 tmp 파일에 저장했습니다.
KOPILUWAK은 손상된 호스트로부터 정보를 수집할 수 있습니다.
∗∗LAPSUS는 협박이나 공개를 위해 표적 조직의 민감한 파일, 정보 및 자격 증명을 업로드했습니다.
Latrodectus는 스틸러 모듈을 사용하여 손상된 호스트로부터 데이터를 수집할 수 있습니다.
Lazarus Group은 손상된 네트워크에서 데이터와 파일을 수집했습니다.
LightNeuron은 로컬 시스템에서 파일을 수집할 수 있습니다.
Linfo는 원격 공격자가 로컬 시스템에서 데이터를 얻을 수 있는 백도어를 생성합니다.
LoFiSe는 대상 시스템에서 관심 있는 파일을 수집할 수 있습니다.
LuminousMoth는 손상된 시스템에서 파일과 데이터를 수집했습니다.
Machete는 관심 있는 파일을 파일 시스템에서 검색합니다.
MacMa는 손상된 시스템에서 파일을 수집한 다음 빼낼 수 있습니다.
Mafalda는 손상된 호스트로부터 파일과 정보를 수집할 수 있습니다.
Magic Hound는 웹 셸을 사용하여 손상된 시스템의 LSASS 메모리 덤프가 포함된 ZIP 파일을 추출했습니다.
MarkiRAT는 피해자의 컴퓨터에서 C2 서버로 데이터를 업로드할 수 있습니다.
MCMD는 감염된 장치에서 파일을 업로드하는 기능이 있습니다.
menuPass는 손상된 컴퓨터에서 다양한 파일을 수집했습니다.
metaMain은 손상된 호스트로부터 파일과 시스템 정보를 수집할 수 있습니다.
MgBot에는 지정된 속성 및 파일 이름 집합을 기반으로 로컬 시스템에서 파일을 수집하기 위한 모듈이 포함되어 있습니다.
Milan은 손상된 호스트에서 파일을 업로드할 수 있습니다.
Mis-Type은 손상된 호스트로부터 파일과 데이터를 수집했습니다.
Misdat는 손상된 호스트로부터 파일과 데이터를 수집했습니다.
MobileOrder는 피해자 모바일 기기에서 수집된 데이터를 빼냅니다.
Mongall은 피해자의 컴퓨터에서 파일을 업로드할 수 있는 기능을 가지고 있습니다.
Nebulae는 수집된 파일을 C2에 업로드할 수 있는 기능을 가지고 있습니다.
Neoichor는 피해자의 컴퓨터에서 파일을 업로드할 수 있습니다.
Night Dragon 동안 위협 요인은 손상된 시스템에서 파일 및 기타 데이터를 수집했습니다.
NightClub은 파일 모니터를 사용하여 대상 시스템에서 특정 파일을 훔칠 수 있습니다.
njRAT는 로컬 시스템에서 데이터를 수집할 수 있습니다.
NPPSPY는 Winlogon에서 로컬 시스템 로그온에서 입력된 데이터를 기록하여 일반 텍스트로 자격 증명을 캡처합니다.
Octopus는 문서 수집 도구를 사용하여 시스템에서 파일을 빼낼 수 있습니다.
Operation CuckooBees 동안 위협 요인은 손상된 네트워크에서 데이터, 파일 및 기타 정보를 수집했습니다.
Dream Job 작전 동안 Lazarus Group은 악성 트로이 목마와 DLL 파일을 사용하여 감염된 호스트에서 데이터를 빼냈습니다.
Operation Honeybee 동안 위협 행위자는 손상된 호스트로부터 데이터를 수집했습니다.
Operation Wocao 동안 위협 행위자는 타겟 시스템에서 관심 있는 파일과 디렉토리를 빼냈습니다.
OSX_OCEANLOTUS.D는 손상된 호스트에서 파일을 업로드하는 기능을 가지고 있습니다.
Out1은 손상된 호스트에서 파일과 레지스트리 데이터를 복사할 수 있습니다.
OutSteel은 손상된 호스트로부터 정보를 수집할 수 있습니다.
PAS Webshell에는 손상된 호스트의 파일을 복사하는 기능이 있습니다.
Pasam은 원격 공격자가 파일을 검색할 수 있는 백도어를 생성합니다.
Patchwork는 감염된 시스템에서 파일을 수집하여 추출했습니다.
Pcexter는 대상 시스템에서 파일을 업로드할 수 있습니다.
PcShare는 손상된 호스트로부터 파일과 정보를 수집할 수 있습니다.
Pillowmint는 기본 API 기능을 사용하여 신용 카드 데이터를 수집했습니다.
PinchDuke는 미리 정의된 파일 확장자를 기반으로 손상된 호스트에서 사용자 파일을 수집합니다.
PingPull은 손상된 호스트로부터 데이터를 수집할 수 있습니다.
PoisonIvy는 원격 공격자가 시스템 정보를 훔칠 수 있는 백도어를 생성합니다.
PowerLess는 손상된 시스템에서 Chrome 및 Edge 브라우저 데이터베이스 파일을 포함한 데이터를 빼낼 수 있는 기능을 가지고 있습니다.
PowerSploit에는 로컬 파일, 볼륨 및 프로세스에서 데이터에 액세스할 수 있는 Exfiltration 모듈 컬렉션이 포함되어 있습니다.
POWERSTATS는 손상된 호스트에서 파일을 업로드할 수 있습니다.
Proxysvc는 로컬 시스템을 검색하고 데이터를 수집합니다.
PUNCHTRACK은 적절하게 포맷된 지불 카드 데이터를 메모리에서 스크래핑합니다.
QakBot은 esentutl.exe를 포함한 다양한 명령을 사용하여 Internet Explorer 및 Microsoft Edge에서 중요 데이터를 훔쳐 이후 유출되는 정보를 얻을 수 있습니다.
QuasarRAT는 손상된 클라이언트 컴퓨터에서 파일을 검색할 수 있습니다.
QuietSieve는 손상된 호스트에서 파일을 수집할 수 있습니다.
Raccoon Stealer는 명령 및 제어 노드에서 수신한 구성 정보를 기반으로 피해자 컴퓨터에서 데이터를 수집합니다.
RainyDay는 파일 침출 도구를 사용하여 손상된 호스트에서 최근 변경된 파일을 수집할 수 있습니다.
Ramsay는 대상의 파일 시스템에서 Microsoft Word 문서를 수집할 수 있을 뿐만 아니라 Internet Explorer 캐시에서 .txt, .doc, 및 .xls 파일을 수집할 수도 있습니다.
RAPIDPULSE는 웹 셸로 전송된 암호화된 명령을 통해 피해자 시스템에서 파일을 검색합니다.
RawPOS는 피해자 시스템의 특정 프로세스에서 메모리를 덤프하고 덤프된 파일을 구문 분석하고 신용 카드 데이터를 스크래핑합니다.
RCSession은 손상된 호스트로부터 데이터를 수집할 수 있습니다.
RedCurl은 손상된 호스트의 로컬 디스크에서 데이터를 수집했습니다.
Rising Sun은 손상된 호스트로부터 데이터와 파일을 수집했습니다.
ROKRAT은 호스트 데이터와 특정 파일 유형을 수집합니다.
Rover는 미리 정의된 파일 확장자 목록을 기반으로 로컬 드라이브의 파일을 검색합니다.
Saint Bot은 손상된 호스트로부터 파일과 정보를 수집합니다.
Samurai는 침출 모듈을 활용하여 손상된 시스템에서 임의의 파일을 다운로드할 수 있습니다.
Sandworm Team은 손상된 호스트로부터 내부 문서, 파일 및 기타 데이터를 추출했습니다.
Sardonic은 손상된 시스템에서 데이터를 수집하여 공격자에게 전달할 수 있는 기능을 가지고 있습니다.
SDBbot은 손상된 호스트의 파일 시스템에 액세스할 수 있는 기능을 가지고 있습니다.
Shark는 C2에 파일을 업로드할 수 있습니다.
SharpDisco는 최근 파일 도용 플러그인을 C:\Users\Public\WinSrcNT\It11.exe에 추가했습니다.
ShimRat는 수집된 파일을 C2에 업로드하는 기능을 가지고 있습니다.
SideTwist는 손상된 호스트에서 파일을 업로드하는 기능을 가지고 있습니다.
SLIGHTPULSE는 로컬 시스템에 지정된 파일을 읽을 수 있습니다.
SLOTHFULMEDIA는 피해자 컴퓨터에서 파일과 정보를 업로드했습니다.
SolarWinds 침해 동안 APT29는 침해된 네트워크에서 파일을 추출했습니다.
SombRAT는 손상된 호스트로부터 데이터와 파일을 수집했습니다.
SpicyOmelette은 손상된 호스트로부터 데이터 및 기타 정보를 수집했습니다.
STARWHALE은 감염된 로컬 호스트로부터 데이터를 수집할 수 있습니다.
Stealth Falcon 맬웨어는 로컬 피해자 시스템에서 데이터를 수집합니다.
StrifeWater는 손상된 호스트로부터 데이터를 수집할 수 있습니다.
SUNBURST는 손상된 호스트로부터 정보를 수집했습니다.
SVCReady는 감염된 호스트로부터 데이터를 수집할 수 있습니다.
SysUpdate는 손상된 호스트에서 정보와 파일을 수집할 수 있습니다.
Taidoor는 피해자의 컴퓨터에서 데이터와 파일을 업로드할 수 있습니다.
TajMahal은 인쇄 스풀러 대기열을 포함한 로컬 시스템에서 문서를 훔칠 수 있는 능력을 가지고 있습니다.
위협 그룹 3390은 피해자 사용자 디렉토리에서 관심 있는 파일 유형의 아카이브를 컴파일하는 명령을 실행했습니다.
ThreatNeedle은 손상된 호스트에서 데이터와 파일을 수집할 수 있습니다.
TinyTurla는 손상된 호스트에서 파일을 업로드할 수 있습니다.
ToddyCat은 대상 호스트에서 문서를 수집하기 위한 스크립트를 실행했습니다.
Tomiris는 침출 전에 하드코딩된 확장자 목록과 일치하는 최근 파일을 수집하는 기능을 가지고 있습니다.
TrickBot은 피해자의 로컬 컴퓨터에서 로컬 파일과 정보를 수집합니다.
Turla RPC 백도어는 피해자 컴퓨터에서 파일을 업로드할 수 있습니다.
Uroburos는 명령을 사용하여 손상된 시스템에서 지정된 파일을 추출할 수 있습니다.
Ursnif는 인증서와 쿠키를 포함한 피해자 컴퓨터에서 파일을 수집했습니다.
USBferry는 공기 간격이 있는 호스트 머신에서 정보를 수집할 수 있습니다.
Volt Typhoon은 대상 환경에서 중요한 파일 서버와 Active Directory 데이터베이스에서 파일을 훔쳤으며 Wevtutil을 사용하여 이벤트 로그 정보를 추출했습니다.
WarzoneRAT는 손상된 호스트로부터 데이터를 수집할 수 있습니다.
WellMail은 피해자의 컴퓨터에서 파일을 빼낼 수 있습니다.
WellMess는 피해자 컴퓨터에서 C2로 파일을 보낼 수 있습니다.
Wevtutil을 사용하면 특정 로그에서 이벤트를 내보낼 수 있습니다.
Windigo는 OpenSSH 백도어가 디스크에 남긴 파일의 자격 증명을 수집하기 위해 스크립트를 사용했습니다.
Wizard Spider는 침출 전에 손상된 호스트로부터 데이터를 수집했습니다.
Woody RAT는 손상된 호스트로부터 정보를 수집할 수 있습니다.
xCaon은 피해자의 컴퓨터에서 파일을 업로드했습니다.
XCSSET은 데스크톱, 문서, 다운로드, Dropbox 및 WeChat 폴더의 파일에서 연락처 및 애플리케이션 데이터를 수집합니다.
yty는 다음 확장명을 가진 파일을 수집합니다: .ppt, .pptx, .pdf, .doc, .docx, .xls, .xlsx, .docm, .rtf, .inp, .xlsm, .csv, .odt, .pps, .vcf 및 이를 C2 서버로 다시 전송합니다.
Zox는 대상 시스템에서 파일을 업로드하는 기능을 가지고 있습니다.
ZxShell은 손상된 호스트에서 파일을 전송할 수 있습니다.
ZxxZ는 손상된 호스트로부터 데이터를 수집할 수 있습니다.
완화책
데이터 손실 방지
데이터 손실 방지를 통해 민감한 데이터에 대한 액세스를 제한하고 암호화되지 않은 민감한 데이터를 감지할 수 있습니다.
발견
명령
- 명령 실행
Exfiltration 전에 관심 있는 파일과 민감한 데이터를 찾기 위해 파일 시스템이나 로컬 데이터베이스와 같은 로컬 시스템 소스를 검색하고 수집할 수 있는 실행된 명령과 인수를 모니터링합니다. 기본 제공 기능이 있는 원격 액세스 도구는 Windows API와 직접 상호 작용하여 데이터를 수집할 수 있습니다. Windows Management Instrumentation 및 PowerShell 과 같은 Windows 시스템 관리 도구를 통해 데이터를 수집할 수도 있습니다 .
네트워크 장치의 경우 AAA 로그에서 실행된 명령을 모니터링하세요. 특히 예상치 못한 사용자나 승인되지 않은 사용자가 실행하는 명령을 모니터링하세요.
파일
- 파일 접근
사용자 파일(pdf, .docx, .jpg 등)이나 로컬 데이터베이스 등 로컬 데이터를 악의적으로 수집하는 파일에 대한 예상치 못한/비정상적인 액세스를 모니터링합니다.
프로세스
- OS API실행
유출을 시작하기 전에 관심 있는 파일과 중요한 데이터를 찾기 위해 파일 시스템이나 로컬 데이터베이스와 같은 로컬 시스템 소스를 검색할 수 있는 API 호출을 모니터링합니다.
- 프로세스 생성
유출 전에 관심 있는 파일과 중요한 데이터를 찾기 위해 파일 시스템이나 로컬 데이터베이스와 같은 로컬 시스템 소스를 검색할 수 있는 새로 실행된 프로세스를 모니터링합니다.
스크립트
- 스크립트 실행
시스템에서 실행 중인 스크립트를 활성화하려는 시도를 모니터링하는 것은 의심스러운 것으로 간주됩니다. 스크립트가 시스템에서 일반적으로 사용되지 않지만 활성화된 경우 패치 또는 기타 관리자 기능에서 주기를 벗어나 실행되는 스크립트는 의심스럽습니다. 스크립트는 가능한 경우 파일 시스템에서 캡처하여 동작과 의도를 파악해야 합니다. Windows Management Instrumentation 및 PowerShell 과 같은 Windows 시스템 관리 도구를 통해 데이터를 수집할 수도 있습니다 .
네트워크 공유 드라이브의 데이터
적대자는 관심 있는 파일을 찾기 위해 침해한 컴퓨터의 네트워크 공유를 검색할 수 있습니다. 민감한 데이터는 Exfiltration 전에 현재 시스템에서 액세스할 수 있는 공유 네트워크 드라이브(호스트 공유 디렉토리, 네트워크 파일 서버 등)를 통해 원격 시스템에서 수집할 수 있습니다. 대화형 명령 셸이 사용 중일 수 있으며 cmd 내의 일반적인 기능을 사용하여 정보를 수집할 수 있습니다.
절차
APT28은 네트워크 공유 드라이브에서 파일을 수집했습니다.
BADNEWS는 처음 시작 시 피해자의 매핑된 드라이브를 크롤링하고 다음 확장자를 가진 문서를 수집합니다: .doc, .docx, .pdf, .ppt, .pptx 및 .txt.
BRONZE BUTLER는 파일 공유에서 도난된 파일을 추출했습니다.
C0015 동안 위협 행위자는 네트워크 암호화 전에 네트워크 공유 드라이브에서 파일을 수집했습니다.
Chimera는 네트워크 공유에서 관심 있는 데이터를 수집했습니다.
CosmicDuke는 미리 정의된 목록과 일치하는 파일 확장자 및 키워드를 사용하여 네트워크 공유 드라이브에서 사용자 파일을 훔칩니다.
Egregor는 C2 채널로 보내기 전에 열거된 드라이버에서 발견된 모든 파일을 수집할 수 있습니다.
Fox Kitten은 네트워크 공유를 검색하여 중요 문서에 액세스했습니다.
Gamaredon Group 맬웨어는 매핑된 네트워크 드라이브에서 Microsoft Office 문서를 수집했습니다.
menuPass는 Robocopy를 사용하여 네트워크 공유를 마운트하고 net use 데이터를 전송하여 원격 시스템에서 데이터를 수집했습니다.
Ramsay는 네트워크 드라이브에서 데이터를 수집하여 유출을 위해 준비할 수 있습니다.
RedCurl은 네트워크 드라이브에 대한 데이터를 수집했습니다.
Sowbug은 피해자 네트워크의 파일 서버에서 Word 문서를 추출했습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
네트워크 공유에서 파일을 수집하기 위해 수행할 수 있는 작업에 대해 실행된 명령과 인수를 모니터링합니다. 기본 제공 기능이 있는 원격 액세스 도구는 Windows API와 직접 상호 작용하여 수집하고 위치에 복사할 수 있습니다. Windows Management Instrumentation 및 PowerShell과 같은 Windows 시스템 관리 도구를 통해 데이터를 수집하고 준비할 수도 있습니다.
파일
- 파일 접근
네트워크 공유와 상호 작용하는 예상치 못한 파일(예: .pdf, .docx, .jpg 등)을 모니터링합니다.
네트워크 공유
- 네트워크 공유 액세스
네트워크 공유에 대한 예상치 못한 비정상적인 액세스를 모니터링합니다.
네트워크 트래픽
- 네트워크 연결 생성
관심 있는 파일을 찾기 위해 침해된 컴퓨터의 네트워크 공유를 검색할 수 있는 새로 구성된 네트워크 연결을 모니터링합니다. Zeek와 같은 네트워크 분석 프레임워크는 네트워크 공유를 중심으로 하는 SMB와 같은 네트워크 프로토콜을 캡처, 디코딩 및 경고하는 데 사용할 수 있습니다.
- 네트워크 트래픽 콘텐츠
예상 프로토콜 표준 및 트래픽 흐름(예: 확립된 흐름에 속하지 않는 외부 패킷, 무의미하거나 비정상적인 트래픽 패턴, 비정상적인 구문 또는 구조)을 따르지 않는 프로토콜과 관련된 트래픽 패턴 및 패킷 검사를 모니터링하고 분석합니다. 프로세스 모니터링 및 명령줄과의 상관 관계를 고려하여 트래픽 패턴과 관련된 비정상적인 프로세스 실행 및 명령줄 인수를 감지합니다(예: 각 프로토콜에 대해 정상적으로 연결을 시작하지 않는 파일 사용 시 이상 모니터링).
- 네트워크 트래픽 흐름
네트워크 데이터에서 흔하지 않은 데이터 흐름을 모니터링합니다. 일반적으로 네트워크 통신이 없거나 이전에 본 적이 없는 네트워크를 활용하는 프로세스는 의심스럽습니다. Zeek와 같은 네트워크 분석 프레임워크를 사용하여 네트워크 공유를 중심으로 하는 SMB와 같은 네트워크 프로토콜을 캡처, 디코딩 및 경고할 수 있습니다. 호스트에서 자세한 SMB 이벤트를 감지하는 더 기본적인 방법이 있을 수 있지만 네트워크 트래픽에서 추출할 수 있습니다. 적절한 프로토콜 디코더를 사용하면 포트 445 트래픽을 필터링하고 파일 경로(공유에 상대적)도 검색할 수 있습니다.
상황 인식에 대한 적절한 감각을 얻기 위해 이 활동을 보다 자세히 살펴보면 정상적인 활동에서 벗어나 호스트 간에 이동하는 적을 감지할 수 있습니다. 많은 환경에서 SMB 트래픽이 많기 때문에 이 분석을 APT를 빠르게 감지하는 데 사용할 수 있는 것으로 전환하기 어려울 수 있습니다. 어떤 경우에는 이 분석을 포렌식 방식으로 실행하는 것이 더 합리적일 수 있습니다. 침입이 발견된 후 출력을 살펴보고 필터링하면 손상 범위를 식별하는 데 도움이 될 수 있습니다.
이동식 미디어의 데이터
적대자는 침해한 컴퓨터에서 연결된 이동식 미디어를 검색하여 관심 있는 파일을 찾을 수 있습니다. 민감한 데이터는 Exfiltration 전에 침해된 시스템에 연결된 이동식 미디어(광학 디스크 드라이브, USB 메모리 등)에서 수집할 수 있습니다. 대화형 명령 셸이 사용 중일 수 있으며 cmd 내의 일반적인 기능을 사용하여 정보를 수집할 수 있습니다.
일부 적대자는 이동식 미디어에 자동 수집을 사용할 수도 있습니다 .
절차
AppleSeed는 이동식 미디어 장치에서 데이터를 찾아 수집할 수 있습니다.
APT28 백도어는 삽입된 USB 장치의 전체 내용을 수집할 수 있습니다.
Aria-body는 USB 기기에서 데이터를 수집하는 기능을 가지고 있습니다.
BADNEWS는 특정 확장자를 가진 파일을 USB 장치에서 미리 정의된 디렉토리로 복사합니다.
CosmicDuke는 미리 정의된 목록과 일치하는 파일 확장자 및 키워드를 사용하여 이동식 미디어에서 사용자 파일을 훔칩니다.
Crimson에는 이동식 드라이브에서 데이터를 수집하는 모듈이 포함되어 있습니다.
Crutch는 이동식 드라이브를 모니터링하고 지정된 확장자 목록과 일치하는 파일을 추출할 수 있습니다.
Explosive는 USB 드라이브에 있는 모든 .exe 파일을 스캔할 수 있습니다.
FLASHFLOOD는 이동식 미디어에서 흥미로운 파일(기본 또는 사용자 정의 파일 확장자 세트)을 검색하여 스테이징 영역에 복사합니다.
FunnyDream FilePakMonitor 구성 요소는 이동식 장치에서 파일을 수집하는 기능을 가지고 있습니다.
Gamaredon Group 파일 스틸러는 USB 드라이브를 포함하여 시스템의 새로 연결된 논리 볼륨에서 데이터를 훔칠 수 있는 기능을 가지고 있습니다.
GravityRAT는 USB 드라이브가 시스템에 연결된 경우 확장자 목록을 기반으로 파일을 훔칩니다.
InvisiMole은 연결된 MTP 장치에서 jpeg 파일을 수집할 수 있습니다.
Machete는 고정 및 이동식 드라이브에서 파일을 찾고 암호화하고 업로드할 수 있습니다.
MgBot에는 제공된 기준 목록이 주어진 경우 피해자 컴퓨터의 USB 썸 드라이브와 CD-ROM에서 정보를 수집할 수 있는 모듈이 포함되어 있습니다.
ObliqueRAT는 엔드포인트에 연결된 이동식 장치에서 데이터를 추출하는 기능을 가지고 있습니다.
Prikormka에는 USB를 통해 연결된 이동식 미디어 또는 고정 드라이브에서 특정 확장자를 가진 문서를 수집하는 모듈이 포함되어 있습니다.
Ramsay는 이동식 미디어에서 데이터를 수집하여 유출을 위해 준비할 수 있습니다.
Remsec에는 삽입된 모든 USB 스틱에서 문서를 수집하는 패키지가 있습니다.
Rover는 5초마다 미리 정의된 파일 확장자 목록을 기반으로 연결된 이동식 드라이브에서 파일을 검색합니다.
TajMahal은 이전에 연결되었던 이동식 드라이브가 다시 사용 가능해지면 기록된 CD 이미지와 관심 있는 파일을 훔칠 수 있는 기능을 가지고 있습니다.
Turla RPC 백도어는 USB 썸 드라이브에서 파일을 수집할 수 있습니다.
USBStealer는 이동식 미디어 장치가 첫 번째 피해자에게 다시 삽입되면 두 번째 피해자에게서 빼낸 데이터를 해당 장치에서 수집합니다.
완화책
데이터 손실 방지
데이터 손실 방지를 통해 민감한 데이터에 대한 액세스를 제한하고 암호화되지 않은 민감한 데이터를 감지할 수 있습니다.
발견
명령
- 명령 실행
시스템의 연결된 이동식 미디어에서 파일을 수집하기 위해 수행할 수 있는 작업에 대해 실행된 명령과 인수를 모니터링합니다. 예를 들어, Windows Management Instrumentation 및 PowerShell과 같은 Windows 시스템 관리 도구를 통해 데이터를 수집할 수 있습니다.
파일
- 파일 접근
손상된 시스템에 연결된 이동식 미디어(광 디스크 드라이브, USB 메모리 등)에 대한 예상치 못한/비정상적인 파일 액세스를 모니터링합니다.
데이터 스테이징
적대자는 Exfiltration 전에 수집된 데이터를 중앙 위치 또는 디렉토리에 저장할 수 있습니다. 데이터는 별도의 파일에 보관하거나 Archive Collected Data 와 같은 기술을 통해 하나의 파일에 결합할 수 있습니다. 대화형 명령 셸을 사용할 수 있으며 cmd 및 bash 내의 공통 기능을 사용하여 데이터를 스테이징 위치로 복사할 수 있습니다.
클라우드 환경에서 적대자는 침출하기 전에 특정 인스턴스 또는 가상 머신 내에서 데이터를 준비할 수 있습니다. 적대자는 클라우드 인스턴스를 생성 하고 해당 인스턴스에서 데이터를 준비할 수 있습니다.
공격자는 C2 서버에 대한 연결 수를 최소화하고 감지를 피하기 위해, 탈취하기 전에 피해자 네트워크의 데이터를 중앙 집중화된 장소에 저장하는 것을 선택할 수 있습니다.
절차
INC Ransom은 침출 전에 손상된 호스트의 데이터를 준비했습니다.
Kevin은 로그 및 기타 수집된 데이터를 저장하기 위한 디렉토리를 생성할 수 있습니다.
Kobalos는 /var/run 디렉토리 아래의 파일에 SSH 연결 자격 증명을 추출하기 위한 확장자 .pid로 쓸 수 있습니다.
QUIETCANARY는 침출 전에 데이터를 준비하는 기능이 있습니다.
Scattered Spider는 침출 전에 중앙 데이터베이스에 데이터를 저장합니다.
Shark는 유출되기 전에 이름이 지정된 폴더에 정보를 저장했습니다.
Volt Typhoon은 수집된 데이터를 암호로 보호된 아카이브에 보관했습니다.
Wizard Spider는 networkdll 및 psfin TrickBot 모듈을 사용하여 자격 증명 및 네트워크 열거 정보를 수집하고 준비했습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령실행
실행된 명령과 인수 인수를 모니터링하여 파일을 수집하고 결합하기 위해 수행할 수 있는 작업을 확인합니다. 기본 제공 기능이 있는 원격 액세스 도구는 Windows API와 직접 상호 작용하여 수집하고 위치에 복사할 수 있습니다. Windows Management Instrumentation 및 PowerShell과 같은 Windows 시스템 관리 도구를 통해 데이터를 수집하고 준비할 수도 있습니다.
파일
- 파일 접근
서로 다른 위치에서 파일을 읽어서 같은 디렉터리나 파일에 쓰는 것처럼 보이는 모니터링 프로세스는 데이터가 준비되고 있다는 신호일 수 있습니다. 특히 7zip, RAR, ZIP, zlib와 같이 파일에 암호화나 압축을 수행하는 것으로 의심되는 경우 더욱 그렇습니다.
- 파일 생성
공개적으로 쓰기 가능한 디렉터리, 중앙 위치, 일반적으로 사용되는 스테이징 디렉터리(휴지통, 임시 폴더 등)를 모니터링하여 스테이징을 나타낼 수 있는 압축 또는 암호화된 데이터가 있는지 정기적으로 확인합니다.
윈도우 레지스트리
- 윈도우 레지스트리 키 수정
특히, 악성 데이터 수집과 관련이 있을 수 있는 의심스러운 프로세스의 로컬 저장소(예: Windows 레지스트리)에 대한 액세스 및 수정을 모니터링하는 것이 좋습니다.
이메일 수집
적대자는 민감한 정보를 수집하기 위해 사용자 이메일을 표적으로 삼을 수 있습니다. 이메일에는 적대자에게 귀중할 수 있는 무역 비밀이나 개인 정보를 포함한 민감한 데이터가 포함될 수 있습니다. 이메일에는 진행 중인 사고 대응 작업의 세부 정보도 포함될 수 있으며, 이를 통해 적대자는 지속성을 유지하거나 방어를 회피하기 위해 기술을 조정할 수 있습니다. 적대자는 메일 서버나 클라이언트에서 이메일을 수집하거나 전달할 수 있습니다.
절차
Ember Bear는 액세스된 시스템 및 서버에서 메일을 수집하려고 시도합니다.
Emotet은 Outlook에서 이메일 주소를 스크래핑할 수 있는 모듈을 활용하는 것으로 관찰되었습니다.
Magic Hound는 민감한 데이터를 훔치기 위해 이메일 자격 증명을 손상시켰습니다.
Scattered Spider 위협 요인은 침입 및 사고 대응에 대한 이메일을 피해자의 Microsoft Exchange에서 검색합니다.
Silent Librarian은 손상된 계정에서 전체 사서함을 추출했습니다.
완화책
심사
기업용 이메일 솔루션에는 정기적으로 자동 전달 규칙을 감사하는 기능을 포함한 모니터링 메커니즘이 있습니다.
Exchange 환경에서 관리자는 Get-InboxRule을 사용하여 잠재적으로 악의적인 자동 전달 규칙을 발견하고 제거할 수 있습니다.
민감함 정보 암호화
암호화를 사용하면 이메일을 통해 전송되는 민감한 정보에 보안 계층이 추가됩니다. 공개 키 암호화를 사용하는 암호화는 적대자가 메시지를 해독하기 위해 암호화 키와 함께 개인 인증서를 얻어야 합니다.
다중 인증 요소
공개 웹메일 서버에 다중 요소 인증을 사용하는 것은 적대자에게 사용자 이름과 비밀번호가 유용하지 않도록 최소화하기 위해 권장되는 모범 사례입니다.
대역 외 통신 채널
비밀번호 재설정, 금융 거래 또는 액세스 요청과 같이 이메일을 통해 시작된 중요한 작업의 진위성을 확인하려면 안전한 대역 외 인증 방법을 사용하십시오. 매우 민감한 정보의 경우, 이메일에만 의존하는 대신 대역 외 통신 채널을 활용하여 적대자가 손상된 이메일 계정을 통해 데이터를 수집하지 못하도록 방지하십시오.
발견
신청 로그
- 애플리케이션 로그 내용
감지는 자동 전달 규칙으로 인해 전달된 모든 메시지가 수동으로 전달된 메시지와 동일한 표현을 갖기 때문에 어렵습니다. 또한 사용자가 이러한 자동 전달 규칙이 추가된 것을 알지 못하고 자신의 계정이 손상되었다고 의심하지 않을 수도 있습니다. 이메일 전달 규칙만으로는 이메일 계정의 일반적인 사용 패턴이나 작업에 영향을 미치지 않습니다. 자동 전달된 메시지에는 일반적으로 헤더에 존재할 수 있는 특정 감지 가능한 아티팩트가 포함됩니다. 이러한 아티팩트는 플랫폼에 따라 다릅니다. 예를 들어 X-MS-Exchange-Organization-AutoForwardedtrue로 설정 하고 X-MailFwdBy. 사용자 작업이 아닌 관리자가 관리하는 전달 프로세스에서 사용되는 X-Forwarded-To매개 forwardingSMTPAddress변수입니다. 사서함의 모든 메시지는 지정된 SMTP 주소로 전달됩니다. 그러나 일반적인 클라이언트 측 규칙과 달리 메시지는 사서함에 전달된 것으로 나타나지 않고 지정된 대상 사서함으로 직접 전송된 것처럼 나타납니다. [11] 전달된 메시지의 모양과 일치하는 이메일의 수가 없는 헤더(자동 전달을 나타냄) 가 있는 많은 양의 이메일은 X-MS-Exchange-Organization-AutoForwarded사용자 수준이 아닌 관리자 수준에서 추가 조사가 필요함을 나타낼 수 있습니다.
명령
- 명령 실행
로컬 이메일 파일을 수집하기 위해 수행할 수 있는 작업에 대해 실행된 프로세스와 명령줄 인수를 모니터링합니다. 기본 제공 기능이 있는 원격 액세스 도구는 Windows API와 직접 상호 작용하여 정보를 수집할 수 있습니다. Windows Management Instrumentation 및 PowerShell과 같은 Windows 시스템 관리 도구를 통해 정보를 수집할 수도 있습니다.
New-InboxRuleWindows 시스템에서는 , Set-InboxRule, New-TransportRule, 및 PowerShell cmdlet을 사용하여 의심스러운 받은 편지함 규칙 생성을 모니터링합니다 Set-TransportRule.
파일
- 파일 접근
유출을 목적으로 로컬 시스템 이메일 파일에 접근하는 비정상적인 프로세스, 네트워크 내의 이메일 서버에 연결하는 비정상적인 프로세스, 공개 웹메일 서버에서의 비정상적인 접근 패턴이나 인증 시도 등은 모두 악의적인 활동의 지표일 수 있습니다.
로그온 세션
- 로그온 세션 생성
알 수 없거나 비정상적인 위치에서 발생하는 비정상적인 로그인 활동, 특히 권한이 있는 계정(예: Exchange 관리자 계정)에 대한 비정상적인 로그인 활동을 모니터링합니다.
네트워크 트래픽
- 네트워크 연결 생성
신뢰할 수 없는 호스트에서 보내거나 받는 새로 구성된 네트워크 연결을 모니터링합니다.
입력 캡처
적대자는 사용자 입력을 캡처하는 방법을 사용하여 자격 증명을 얻거나 정보를 수집할 수 있습니다. 일반적인 시스템 사용 중에 사용자는 종종 로그인 페이지/포털 또는 시스템 대화 상자와 같은 다양한 위치에 자격 증명을 제공합니다. 입력 캡처 메커니즘은 사용자에게 투명할 수 있습니다(예: 자격 증명 API 후킹 ) 또는 사용자를 속여 진짜 서비스라고 믿는 것에 입력을 제공하도록 할 수 있습니다(예: 웹 포털 캡처 ).
절차
APT39는 마우스 움직임을 캡처하기 위해 도구를 활용했습니다.
Chaes에는 원하는 API 후킹을 수행하는 모듈이 있습니다.
FlawedAmmyy는 마우스 이벤트를 수집할 수 있습니다.
Kobalos는 손상된 SSH 클라이언트를 사용하여 손상된 호스트에서 SSH 연결을 설정하는 데 사용된 호스트 이름, 포트, 사용자 이름 및 비밀번호를 캡처했습니다.
Mafalda는 마우스 이벤트 로깅을 수행할 수 있습니다.
metaMain은 마우스 이벤트를 기록할 수 있습니다.
NPPSPY는 운영 체제 내의 합법적인 수신 DLL에서 새로 등록된 악성 항목으로 RPC 트래픽을 리디렉션하여 일반 텍스트로 로그온 정보를 기록할 수 있도록 하여 Winlogon 프로세스에 대한 사용자 입력을 캡처합니다.
Versa Director Zero Day Exploitation은 손상된 장치의 사용자 로그인에서 자격 증명을 가로채서 수집했습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
드라이버
- 드라이버 부하
비정상적인 커널 드라이버 설치 활동을 모니터링합니다.
분석 1 - 예상치 못한 커널 드라이버 설치.
index=security sourcetype="WinEventLog:System" EventCode=7045 | where match(Service_Name, "(?i)(keylogger|input|capture|sniff|monitor|keyboard|logger|driver)")
파일
- 파일 수정
예상치 못한 액세스 권한 및 속성 수정을 위해 파일에 적용된 변경 사항을 모니터링합니다.
분석 1 - 예상치 못한 파일 수정.
index=security sourcetype="WinEventLog:Security" EventCode=4663 | where Object_Type="File" AND Access_Mask IN ("0x2", "0x4", "0x20", "0x80", "0x100")
프로세스
- OS API실행
SetWindowsHook, GetKeyState 및 GetAsyncKeyState에 대한 API 호출을 모니터링합니다.
- 프로세스 생성
악성 활동을 수행하는 새로 실행된 프로세스를 모니터링합니다.
- 프로세스 메타데이터
메모리에 있는 코드와 해당 정적 바이너리의 코드를 비교하여 라이브 프로세스의 무결성을 확인하고, 특히 코드 흐름을 리디렉션하는 점프 및 기타 명령을 확인합니다.
윈도우 레지스트리
- 윈도우 레지스트리 키 수정
예상치 못한 수정을 위해 Windows 레지스트리 키나 값에 대한 변경 사항을 모니터링합니다.
화면 캡처
적대자는 작업 과정에서 정보를 수집하기 위해 데스크톱의 화면 캡처를 시도할 수 있습니다. 화면 캡처 기능은 침해 후 작업에 사용되는 원격 액세스 도구의 기능으로 포함될 수 있습니다. 스크린샷을 찍는 것은 일반적으로 CopyFromScreen, xwd, 또는 와 같은 기본 유틸리티나 API 호출을 통해서도 가능합니다 screencapture.
절차
Tesla Agent는 피해자의 데스크탑 스크린샷을 캡처할 수 있습니다.
AppleSeed는 일련의 API를 호출하여 손상된 호스트에서 스크린샷을 찍을 수 있습니다.
APT28은 피해자의 스크린샷을 찍기 위해 도구를 사용했습니다.
APT39는 화면 캡처 유틸리티를 사용하여 손상된 호스트의 스크린샷을 찍었습니다.
Aria-body는 손상된 호스트의 스크린샷을 캡처하는 기능을 가지고 있습니다.
AsyncRAT는 손상된 호스트의 화면을 볼 수 있는 기능을 가지고 있습니다.
Attor's에는 대상 애플리케이션의 스크린샷을 캡처하는 플러그인이 있습니다.
Azorult는 피해자의 컴퓨터 스크린샷을 캡처할 수 있습니다.
BADHATCH는 스크린샷을 찍어 액터가 제어하는 C2 서버로 보낼 수 있습니다.
BADNEWS에는 스크린샷을 찍어 C2 서버로 전송하는 명령이 있습니다.
BadPatch는 .jpg 형식의 스크린샷을 캡처한 다음 이를 추출합니다.
Bandook은 현재 데스크탑의 이미지를 촬영하고 업로드할 수 있습니다.
BISCUIT에는 시스템의 스크린샷을 주기적으로 찍는 명령이 있습니다.
BlackEnergy는 스크린샷을 찍을 수 있습니다.
BLUELIGHT는 C2 루프를 시작한 후 처음 5분 동안 30초마다 디스플레이의 스크린샷을 캡처하고 그 이후로는 5분마다 한 번씩 캡처합니다.
BRONZE BUTLER는 스크린샷을 캡처하기 위한 도구를 사용했습니다.
Brute Ratel C4는 손상된 호스트에서 스크린샷을 찍을 수 있습니다.
Cadelspy는 스크린샷과 웹캠 사진을 캡처하는 기능을 가지고 있습니다.
Canon은 데스크탑의 스크린샷을 찍을 수 있습니다.
Carbanak은 데스크톱 비디오 녹화를 수행하고 데스크톱의 스크린샷을 캡처하여 C2 서버로 전송합니다.
Carberp는 screens_dll.dll 플러그인을 사용하여 디스플레이 스크린샷을 캡처할 수 있습니다.
Cardinal RAT는 스크린샷을 캡처할 수 있습니다.
Catchamas는 창 제목의 특정 키워드를 기반으로 스크린샷을 캡처합니다.
Chaes는 감염된 컴퓨터의 스크린샷을 캡처할 수 있습니다.
CharmPower에는 스크린샷을 캡처하는 기능이 있습니다.
CHIMNEYSWEEP은 타이머를 사용하여 대상 시스템의 스크린샷을 캡처하고 이를 업로드하거나 디스크에 저장할 수 있습니다.
CHOPSTICK에는 스크린샷을 찍는 기능이 있습니다.
Chrome에는 스크린샷을 캡처하는 기능이 있습니다.
Clambling은 스크린샷을 캡처하는 기능을 가지고 있습니다.
Cobalt Strike의 Beacon 탑재물은 스크린샷을 캡처할 수 있습니다.
Cobian RAT에는 화면 캡처를 수행하는 기능이 있습니다.
ConnectWise는 원격 호스트에서 스크린샷을 찍을 수 있습니다.
CosmicDuke는 주기적으로 스크린샷을 찍어 추출합니다.
Crimson에는 화면 캡처를 수행하는 명령이 포함되어 있습니다.
CrossRAT는 화면 캡처를 할 수 있습니다.
DUSTTRAP은 스크린샷을 캡처할 수 있습니다.
DustySky는 메인 화면의 PNG 스크린샷을 캡처합니다.
ECCENTRICBANDWAGON은 스크린샷을 캡처하여 로컬에 저장할 수 있습니다.
Empire는 Windows 및 macOS 시스템에서 스크린샷을 캡처할 수 있습니다.
EvilGrab에는 스크린샷을 캡처하는 기능이 있습니다.
FIN7은 스크린샷과 데스크탑 비디오를 녹화했습니다.
FinFisher는 화면의 스크린샷을 찍어서 설치 과정 중에 시스템에서 표시된 일부 메시지를 숨기려는 시도로 몇 초 동안 다른 모든 창 위에 표시합니다.
Flame은 특정 애플리케이션이 열려 있을 때 명령 및 제어 서버로 전송되는 정기적인 스크린샷을 찍을 수 있습니다.
FlawedAmmyy는 스크린샷을 캡처할 수 있습니다.
FruitFly는 사용자의 데스크탑의 스크린샷을 찍습니다.
FunnyDream ScreenCap 구성 요소는 손상된 호스트에서 스크린샷을 찍을 수 있습니다.
Gamaredon Group의 맬웨어는 1분마다 손상된 컴퓨터의 스크린샷을 찍을 수 있습니다.
gh0st RAT는 원격으로 피해자의 화면을 캡처할 수 있습니다.
GOLD SOUTHFIELD는 원격 모니터링 및 관리 도구인 ConnectWise를 사용하여 피해자의 컴퓨터에서 화면 캡처를 얻었습니다.
GRIFFON은 원격 시스템의 스크린샷을 찍는데 사용할 수 있는 스크린샷 모듈을 사용했습니다.
Group5가 사용하는 악성코드는 피해자의 화면을 감시할 수 있는 기능을 가지고 있습니다.
HALFBAKED는 피해자로부터 스크린샷을 얻을 수 있습니다.
HotCroissant는 감염된 호스트에서 실시간 화면을 볼 수 있는 기능을 가지고 있습니다.
Hydraq에는 감염된 호스트의 데스크톱 라이브 피드를 스트리밍할 수 있는 VNC 코드 기반 구성 요소가 포함되어 있습니다.
HyperBro에는 스크린샷을 찍을 수 있는 기능이 있습니다.
InvisiMole은 전체 화면뿐만 아니라 겹쳐져 있는 경우 열려 있는 각 창의 스크린샷도 캡처할 수 있습니다.
Janicab은 스크린샷을 캡처하여 C2 서버로 보냈습니다.
JHUHUGIT 변형은 사용자가 "스크린샷 찍기" 키(VK_SCREENSHOT)를 누르고 클립보드에 저장된 스크린샷에 액세스하고 이를 JPG 이미지로 변환하는 것을 시뮬레이션하여 스크린샷을 찍습니다.
jRAT에는 피해자의 컴퓨터의 스크린샷을 찍는 기능이 있습니다.
Kasidet은 키로깅과 화면 캡처를 시작할 수 있는 기능을 가지고 있습니다.
Kazuar는 피해자의 화면 스크린샷을 캡처합니다.
KeyBoy에는 화면 캡처를 수행하는 명령이 있습니다.
KEYMARBLE은 피해자의 컴퓨터의 스크린샷을 캡처할 수 있습니다.
Kivars는 감염된 호스트의 스크린샷을 캡처하는 기능을 가지고 있습니다.
KONNI는 피해자의 컴퓨터의 스크린샷을 찍을 수 있습니다.
Lizar는 감염된 시스템의 JPEG 스크린샷을 찍을 수 있습니다.
LookBack은 데스크탑 스크린샷을 찍을 수 있습니다.
LunarMail은 손상된 호스트의 스크린샷을 캡처할 수 있습니다.
Machete는 스크린샷을 캡처합니다.
MacMa는 사용자 화면을 캡처하기 위해 Apple의 Core Graphic API를 사용합니다.
MacSpy는 여러 모니터에서 데스크탑의 스크린샷을 캡처할 수 있습니다.
Mafalda는 대상 컴퓨터의 스크린샷을 찍어 파일에 저장할 수 있습니다.
Magic Hound 맬웨어는 스크린샷을 찍어 C2 서버에 파일을 업로드할 수 있습니다.
Manjusaka는 피해자 데스크탑의 스크린샷을 찍을 수 있습니다.
MarkiRAT은 처음에 'scr.jpg'로 저장된 스크린샷을 캡처할 수 있습니다.
Martroshka는 화면 캡처를 수행할 수 있습니다.
metaMain은 스크린샷을 찍고 저장할 수 있습니다.
Metamorfo는 피해자의 컴퓨터 스크린샷을 수집할 수 있습니다.
Micropsia는 Gdi32.BitBlt API를 호출하여 90초마다 스크린샷을 찍습니다.
Mispadu는 손상된 호스트의 스크린샷을 캡처할 수 있는 기능을 가지고 있습니다.
MoustachedBouncer는 플러그인을 사용하여 대상 시스템의 스크린샷을 찍었습니다.
MuddyWater는 피해자의 컴퓨터 스크린샷을 캡처할 수 있는 맬웨어를 사용했습니다.
NETWIRE는 피해자의 화면을 캡처할 수 있습니다.
NightClub은 화면 캡처를 위한 모듈을 로드할 수 있습니다.
njRAT는 피해자의 컴퓨터의 스크린샷을 캡처할 수 있습니다.
NKAbuse는 피해자 컴퓨터의 스크린샷을 찍을 수 있습니다.
ObliqueRAT은 현재 화면의 스크린샷을 캡처할 수 있습니다.
Octopus는 피해자의 기기 스크린샷을 캡처할 수 있습니다.
OilRig에는 사용자 데스크탑의 스크린샷을 캡처하는 CANDYKING이라는 도구가 있습니다.
PcShare는 손상된 시스템의 화면 캡처를 할 수 있습니다.
Peppy는 대상 시스템의 스크린샷을 찍을 수 있습니다.
PlugX를 사용하면 운영자가 스크린샷을 캡처할 수 있습니다.
PoetRAT에는 화면 캡처 기능이 있습니다.
POORAIM은 화면 캡처를 수행할 수 있습니다.
PowerSploit의 Get-TimedScreenshotExfiltration 모듈은 정기적으로 스크린샷을 찍을 수 있습니다.
POWERSTATS는 손상된 호스트의 스크린샷을 검색할 수 있습니다.
POWRUNER는 피해자의 스크린샷을 캡처할 수 있습니다.
Prikormka에는 피해자의 데스크탑 스크린샷을 캡처하는 모듈이 포함되어 있습니다.
Proton은 화면 캡처 바이너리로 데스크탑의 콘텐츠를 캡처합니다.
Pteranodon은 구성 가능한 간격으로 스크린샷을 캡처할 수 있습니다.
Pupy는 각 클릭 시 작은 스크린샷을 찍어 서버로 다시 보내는 마우스 로거를 삭제할 수 있습니다.
QuietSieve는 5분마다 스크린샷을 찍어 사용자의 로컬 애플리케이션 데이터 폴더에 저장합니다.
Raccoon Stealer는 피해자 시스템의 스크린샷을 캡처할 수 있습니다.
RainyDay에는 스크린샷을 캡처하는 기능이 있습니다.
Ramsay는 외부 이동식 저장 장치가 연결된 경우뿐만 아니라 30초마다 스크린샷을 찍을 수 있습니다.
RCSession은 손상된 호스트의 스크린샷을 캡처할 수 있습니다.
RDAT는 감염된 시스템의 스크린샷을 찍을 수 있습니다.
RedLeaves는 스크린샷을 캡처할 수 있습니다.
Remcos는 감염된 컴퓨터의 자동 스크린샷을 찍습니다.
Remexi는 관심 있는 창의 스크린샷을 찍습니다.
RemoteUtilities는 손상된 호스트에서 스크린샷을 찍을 수 있습니다.
Revenge RAT에는 화면 캡처 플러그인이 있습니다.
RogueRobin의 screenshot에는 피해자 컴퓨터의 스크린샷을 찍는 역할을 할 수 있는 명령이 있습니다.
ROKRAT은 라이브러리를 사용하여 감염된 시스템의 스크린샷을 캡처할 수 있습니다.
Rover는 60분마다 손상된 시스템의 데스크탑 스크린샷을 찍어 유출을 위해 저장합니다.
RTM은 스크린샷을 캡처할 수 있습니다.
SharpStage는 피해자의 화면을 캡처하는 기능을 가지고 있습니다.
SHUTTERSPEED는 스크린샷을 캡처할 수 있습니다.
Silence는 피해자의 화면 활동을 포착할 수 있습니다.
SILENTTRINITY는 현재 데스크탑의 스크린샷을 찍을 수 있습니다.
Sliver는 피해자의 활성 디스플레이의 스크린샷을 찍을 수 있습니다.
SLOTHFULMEDIA는 피해자의 데스크탑 스크린샷을 찍어 "Filter3.jpg"라는 이름을 붙인 후 로컬 디렉토리에 저장했습니다.
SMOKEDHAM은 피해자의 데스크탑 스크린샷을 캡처할 수 있습니다.
Socksbot은 스크린샷을 찍을 수 있습니다.
StoneDrill은 스크린샷을 찍을 수 있습니다.
StrifeWater에는 화면 캡처 기능이 있습니다.
T9000은 데스크톱과 대상 애플리케이션 창의 스크린샷을 찍어 사용자 디렉토리에 1바이트 XOR 암호화된 .dat 파일로 저장할 수 있습니다.
TajMahal은 인스턴트 메시징 애플리케이션 창에서 콘텐츠를 캡처하는 것을 포함하여 감염된 호스트에서 스크린샷을 찍는 기능을 가지고 있습니다.
TinyZBot에는 화면 캡처 기능이 포함되어 있습니다.
Trojan.Karagany는 데스크톱 스크린샷을 찍어 \ProgramData\Mail\MailAg\shot.png에 저장할 수 있습니다.
Turians는 스크린샷을 찍을 수 있는 능력을 가지고 있습니다.
TURNEDUP은 스크린샷을 찍을 수 있습니다.
UPPERCUT은 PNG 형식으로 데스크탑 스크린샷을 캡처하여 C2 서버로 보낼 수 있습니다.
Ursnif는 후크된 API를 사용하여 스크린샷을 찍었습니다.
Valak은 손상된 호스트에서 스크린샷을 찍을 수 있는 기능을 가지고 있습니다.
VERMIN은 피해자의 컴퓨터의 화면을 캡처할 수 있습니다.
Volt Typhoon은 gdi32.dll 및 gdiplus.dll 라이브러리를 사용하여 피해자 시스템의 스크린샷을 얻었습니다.
Winter Vivern은 피해자 컴퓨터의 스크린샷을 찍을 수 있는 PowerShell 스크립트를 제공했습니다.
Woody RAT는 Windows GDI+를 사용하여 감염된 호스트 데스크톱의 스크린샷을 찍을 수 있는 기능을 가지고 있습니다.
AgentOSX에는 CGGetActiveDisplayList, CGDisplayCreateImage 및 NSImage:initWithCGImage 메서드를 사용하여 스크린샷을 찍는 takeScreenShot 함수가 포함되어 있습니다.
XCSSET은 피해자 시스템의 화면 캡처를 번호가 매겨진 파일 이름과 .jpg 확장자로 저장합니다. 화면 캡처는 시스템에 따라 지정된 간격으로 수행됩니다.
yty는 피해자 머신의 스크린샷을 수집합니다.
Zebrocy의 변형은 피해자의 컴퓨터의 스크린샷을 JPEG 및 BMP 형식으로 캡처합니다.
Zeus Panda는 피해자의 컴퓨터의 스크린샷을 찍을 수 있습니다.
ZLib에는 손상된 시스템의 스크린샷을 얻을 수 있는 기능이 있습니다.
ZxShell은 스크린샷을 캡처할 수 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
작업 과정 전반에 걸쳐 정보를 수집하기 위해 데스크톱의 화면 캡처를 시도하는 실행된 명령과 인수를 모니터링합니다.
프러세스
- OS API실행
화면 캡처 동작에 대한 모니터링은 운영 체제에서 데이터를 얻고 출력 파일을 쓰는 데 사용된 방법에 따라 달라집니다. 탐지 방법에는 이미지 데이터를 얻는 데 사용된 API 호출을 사용하여 비정상적인 프로세스에서 정보를 수집하고, , 또는 와 같이 디스크에 쓰여진 이미지 파일을 모니터링하는 것이 포함될 CopyFromScreen수 xwd있습니다 screencapture. 센서 데이터는 주어진 네트워크 환경 내에서 이 동작의 적법성에 따라 악성 활동을 식별하기 위해 다른 이벤트와 상관 관계를 맺어야 할 수 있습니다.
비디오 캡처
적대자는 컴퓨터의 주변 장치(예: 통합 카메라 또는 웹캠) 또는 애플리케이션(예: 화상 통화 서비스)을 활용하여 정보를 수집하는 목적으로 비디오 녹화를 캡처할 수 있습니다. 비디오 파일 대신 지정된 간격으로 장치 또는 애플리케이션에서 이미지를 캡처할 수도 있습니다.
맬웨어나 스크립트는 운영 체제에서 제공하는 사용 가능한 API나 비디오나 이미지를 캡처하는 애플리케이션을 통해 장치와 상호 작용하는 데 사용될 수 있습니다. 비디오나 이미지 파일은 디스크에 기록되어 나중에 추출될 수 있습니다. 이 기술은 피해자의 화면을 캡처하는 대신 비디오 녹화를 위해 특정 장치나 애플리케이션을 사용하기 때문에 화면 캡처 와 다릅니다. macOS에는 FruitFly, Proton 등 사용자의 웹캠을 녹화하는 다양한 맬웨어 샘플이 있습니다.
절차
Tesla Agent는 피해자의 웹캠에 접속해 영상을 녹화할 수 있습니다.
AsyncRAT는 대상 시스템의 화면 콘텐츠를 기록할 수 있습니다.
Bandook에는 피해자의 웹캠에서 비디오를 캡처할 수 있는 모듈이 있습니다.
Clambling은 AVI 포맷으로 화면 내용을 녹화할 수 있습니다.
Cobian RAT에는 피해자의 컴퓨터에 있는 웹캠에 접근하는 기능이 있습니다.
ConnectWise는 원격 호스트에서 비디오를 녹화할 수 있습니다.
Crimson은 대상 시스템에서 웹캠 비디오를 캡처할 수 있습니다.
DarkComet은 피해자의 웹캠에 액세스하여 사진을 찍을 수 있습니다.
Derusbi는 비디오를 캡처할 수 있습니다.
Ember Bear는 손상된 IP 카메라에서 이미지를 빼냈습니다.
Empire는 Windows 및 macOS 시스템에서 웹캠 데이터를 캡처할 수 있습니다.
EvilGrab은 피해자의 컴퓨터에서 비디오를 캡처하는 기능을 가지고 있습니다.
FIN7은 피해자 환경에서 작업을 모니터링하는 데 사용할 수 있는 맞춤형 비디오 녹화 기능을 생성했습니다.
Imminent Monitor에는 원격 웹캠 모니터링 기능이 있습니다.
InvisiMole은 원격으로 피해자의 웹캠을 활성화하여 콘텐츠를 캡처할 수 있습니다.
jRAT에는 웹캠에서 비디오를 캡처하는 기능이 있습니다.
Kazuar는 웹캠에서 이미지를 캡처합니다.
Machete는 컴퓨터 웹캠으로 사진을 찍습니다.
NanoCore는 피해자의 웹캠에 액세스하여 데이터를 캡처할 수 있습니다.
njRAT는 피해자의 웹캠에 액세스할 수 있습니다.
ObliqueRAT는 손상된 호스트의 웹캠에서 이미지를 캡처할 수 있습니다.
PcShare는 수집 프로세스의 일부로 카메라 비디오를 캡처할 수 있습니다.
PoetRAT은 Bewmac이라는 Python 도구를 사용하여 손상된 호스트의 웹캠을 녹화했습니다.
Pupy는 연결된 웹캠에 접속하여 사진을 촬영할 수 있습니다.
QuasarRAT는 웹캠 보기를 수행할 수 있습니다.
Remcos는 시스템의 웹캠에 액세스하여 사진을 찍을 수 있습니다.
Revenge RAT는 웹캠에 접근할 수 있는 기능을 가지고 있습니다.
SDBbot은 손상된 호스트에서 비디오를 녹화할 수 있는 기능을 가지고 있습니다.
Silence는 은행 직원들의 일상 활동을 관찰하기 위해 피해자들의 영상을 만드는 것으로 관찰되었습니다.
T9000은 Skype API를 사용하여 오디오 및 비디오 통화를 녹음합니다. 암호화된 데이터는 %APPDATA%\Intel\Skype에 기록됩니다.
TajMahal은 웹캠 비디오를 캡처하는 기능을 가지고 있습니다.
WarzoneRAT는 피해자의 컴퓨터에 있는 웹캠에 액세스할 수 있습니다.
ZxShell에는 비디오 장치 감시를 수행하는 명령이 있습니다.
완화책
이러한 유형의 공격 기술은 시스템 기능을 남용하는 것을 기반으로 하기 때문에 예방적 통제로는 쉽게 완화할 수 없습니다.
발견
명령
- 명령 실행
정보 수집 목적으로 비디오 녹화를 캡처하는 데 컴퓨터의 주변 장치(예: 통합 카메라나 웹캠)나 애플리케이션(예: 화상 통화 서비스)을 활용할 수 있는 실행된 명령과 인수를 모니터링합니다.
프로세스
- OS API실행
이 기술을 탐지하는 것은 사용될 수 있는 다양한 API로 인해 어려울 수 있습니다. API 사용과 관련된 원격 측정 데이터는 시스템이 일반적으로 사용되는 방식에 따라 유용하지 않을 수 있지만 시스템에서 발생하는 다른 잠재적으로 악의적인 활동에 대한 맥락을 제공할 수 있습니다. 기술 사용을 나타낼 수 있는 동작에는 비디오 카메라, 녹화 장치 또는 녹화 소프트웨어와 상호 작용하는 장치 또는 소프트웨어와 관련된 API에 액세스하는 알려지지 않았거나 비정상적인 프로세스와 비디오 또는 카메라 이미지 데이터가 포함된 파일을 디스크에 주기적으로 쓰는 프로세스가 포함됩니다.