|
“공격과정 알아야 보안 정책 수립과 대응책 마련에도 도움”
 [보안뉴스 길민권] 기관이나 기업의 보안담당자라면 가장 골치 아픈 문제가 해킹공격에 의한 내부 정보 혹은 개인정보유출이 될 것이다. 이를 차단하기 위해서는 해커들이 어떤 프로세스로 공격작업을 진행하는지 알고 있어야 한다. 악의적인 해커들은 어떤 프로세스로 공격을 하는 것일까. 여러 가지 다양한 공격 방법들이 있겠지만 일반적인 공격 과정을 따라 가보자.
◇Foot Printing=가장 먼저 공격을 시도할 지역 혹은 사이트에 관한 정보를 수집하는 작업을 한다. 일반적인 수집정보는 Domain name, IP, Access control list, 침입탐지·방화벽 구축여부, 시스템 사용자 목록, 시스템 H/W 사양, 사용 중인 Network Protocol, 인증 메커니즘 등이 될 것이다.
◇SCANNING=스캐닝 작업은 공격을 시도할 표적들에 대해 진행 중인 서비스를 점검하는 단계다. 수집정보는 해당 지역에 활동중인 호스트들은 어떤 것들이 있는지. 그리고 공격하려는 호스트가 현재 열어놓고 서비스하고 있는 포트들은 어떤 것들이 있는지가 될 것이다. 여기에서 주로 사용되는 툴은 Nmap, Winscan, Superscan 등이다.
◇ENUMERATION=다음은 이전 단계를 통해 수집된 정보를 바탕으로 유효사용자 계정 수집 및 취약한 시스템의 자원공유를 정리 수집하는 단계라고 할 수 있다. 수집 정보는 주로 User, Group 이름, OS, Routing Table, SNMP 등에 대한 정보 수집이 이루어진다. 여기서 사용되는 주요 툴들은 Application 확인을 위한 ‘Banner 수집(Telnet,netcat,rpcinfo)’ SNMP 목록화를 위한 ‘solarwinds’ 툴들이 사용된다.
◇Gaining Access=다음 공격단계는 수집된 데이터를 통해 공격 목표에 접근을 시도해 접근권한을 취득하는 것이다. 주요 수집 정보로는 패스워드 도청, 패스워드 파일 취득 등이다. 여기서 사용되는 공격툴은 다음과 같다.
·패스워드 도청 : tcpdump, Lophtcrack readsmb,wireshark
·파일공유 Bruteforcing : Netbios Audit Tool Legion
·패스워드 파일 취득 : Pwdump2
◇Escalating Privilege=이 단계는 시스템 권한 상향을 조정하는 단계로 주로 Admin에 대한 정보 수집 및 탈취를 목적으로 하는 공격이다. 주요 사용툴은 패스워드 크래킹(Cracking)을 위한 john, Lophtcrack 등이 사용된다.
◇Pilfering=다음 단계는 서버의 접근 확보 후 신뢰된 시스템들에 대한 접근확보를 위해 필요한 정보 재수집 과정이다. 이때는 주로 구성원들에 대한 정보 재수집 과정이 이루어진다. 주요 사용툴은 Rhosts, Cain&Abel 등이다.
◇Covering Track=여기서는 공격 대상에 대한 제어 권한을 취득한 후 자취를 삭제하는 단계다. 흔적을 없애는 것이다. 주요 사용툴은 다음과 같다.
·로그 삭제: Zap, Event log
·Tool 감추기: Rootkits, File Streaming
·감사 불능화: Auditpol / disable
◇Creating Backdoor=마지막 단계로 공격 대상에 대해서 후속침입이 용이 하도록, 백도어(Backdoor)를 다양한 경로에 설치해 두는 일이다. 주요 사용툴은 Cron, At, Netcat 등이 사용된다.
이상과 같은 크래킹 프로세스는 활용 방법에 따라 큰 피해를 입히는 악의적 공격이 될 수도 있고, 이를 잘 알고 대비한다면 세밀한 보안성 검토 및 정책을 수렴하는데 큰 도움이 된다고 전문가들은 말하고 있다.
박용운 I2Sec(http://www.i2sec.co.kr/)기술연구 팀장은 “정보보안 업계 관련자들은 공격 프로세스를 크래커의 입장에서 테스트 해보고 보안 정책 수렴에 힘을 기울여야 한다”고 권고했다.
[길민권 기자(reporter21@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> | 
