LogoLogo
  • 🧇Team. WAFFLE
  • 개요
  • 개념
  • 설계
  • 구현
    • Infrastructure
    • Breadcrumbs
  • Adversary Simulation
    • Part 1. Victim Client
    • Part 2. AD FS
  • 로깅·탐지
    • 1. lsass dump
    • 2. impacket - psexec.py
    • 3. ADFSdump.exe
    • 4. Golden SAML 사용
  • 의의 및 한계
  • 참고자료
Powered by GitBook
On this page
  • 연구 필요성
  • 기만 기술
  • 기존 연구
  • 프로젝트 범위

개요

본 프로젝트는 서울여자대학교 정보보호학과 종단형 PBL V(2024.09 ~ 12)의 결과물로 한국정보보호학회 동계학술대회 CISC24’-W 에 투고된 “APT 공격 시나리오를 통한 AD 환경에서의 기만 기술 적용 연구”를 개인적으로 발전시킨 것이다.

연구 필요성

최근 APT(Advanced Persistent Threat) 을 중심으로 공격이 점점 정교해지고 있으며 심층 방어(Defense-In-Depth) 전략을 비롯한 전통적인 보안 시스템의 한계가 드러나고 있다. 여기에 공격자는 다양한 방법으로 목표에 대한 정보를 얻을 수 있지만, 방어자는 제한된 정보만 얻을 수 있는 비대칭성이 문제점으로 제기되고 있다 [2].

또한 APT 공격자들 사이에서 Windows 환경에서 조직의 자원, 정책을 중앙 집중하여 효율적으로 관리하기 위해 사용되는 AD(Active Directory)의 인증 과정을 노려 수평 이동이나 권한 상승에 사용하거나, 그 자체를 장악하려는 시도가 잇따르고 있어 이에 대한 공격을 예방, 탐지, 대응하기 위한 필요성이 강조되고 있다.

기만 기술

이에 기만 (Deception) 기술이 능동적인 방어 전략으로써 새롭게 주목받으며 허니-X를 적극적이고 새로운 방식으로 활용하고자 하는 수요가 늘고 있다.

방어자는 공격 표면을 난독화할 수 있으며 공격자 위치를 낮은 거짓 양성률로 탐지해낼 수 있고 수집된 행위를 위협 인텔리전스로 활용하여 방어 전략 수립에 참고하여 조직의 사이버 레질리언스를 강화시킬 수 있다.

Deception 기술을 적용할 경우, 전통적인 로깅 한계에 얽매이지 않아도 된다. 실환경에 적용된 로깅은 성능과 정상/공격을 구분해낼 수 있어야 하는 것이 가장 큰 문제이지만, Deception은 서비스를 제공하는 실환경과 거의 분리되어 동작하므로 성능을 고려하지 않아도 되며, 모든 행위를 공격자의 소행으로 직결시킬 수 있기 때문에 범위가 넓고, 정확도도 높아진다.

특히 Breadcrumbs는 실환경에도 적용하여 공격자를 Decoy를 유인시키는 역할을 할 수 있기 때문에, 이에 대한 필터링을 통해 전통적인 보안 시스템에서도 공격자를 탐지해낼 수 있는 부가적인 효과가 존재한다.

기존 연구

  • Xiao HAN[1]등은 기만 기술을 4개의 관점으로 분류하는 방법을 제시

  • Li ZHANG[2]등은 [1]에서 제시된 관점과 사이버 킬체인 모델을 통합하여 2차원으로 분류

  • Wiem TOUNSI[3]은 상용 플랫폼 2개를 시나리오 기반으로 3가지 운영 테스트를 수행하고 평가

  • Pedro BELTRÁN LÓPEZ[4]등은 기만 기술의 주요 구성요소를 정립 후 5개의 계층으로 분류하는 체계를 개발하고, 이전 연구들을 해당 방법으로 분석

⇒ 대부분 기존 연구를 새롭게 분류하고 체계를 정립하는 데 집중하였고 [1][2][4], 일부 기만 기술을 실제 운영 환경에서 쓰이는 경우를 연구하였으나 [3], 실제로 각 요소를 설계하고 구현하는 연구는 수행하지 않았다.

프로젝트 범위

  • 본 프로젝트에서 다루는 영역

    • 공격자 시뮬레이션(Adversary Simulation)

    • 모의 인프라 구성

    • 공격 탐지(Detection)

  • 본 프로젝트에서 다루지 않는 영역

    • 공격 차단(Protection)

    • 보안 강화(Hardening)

      • LSA Protection 활성화, SMB Signing 강제 적용 등

    • 작전 보안(Operation Security)

      • 보안 솔루션, Defender 우회 등

※ 실제 기업의 인프라, 보안 환경 및 구성과 상당한 차이가 있을 수 있음.

[1] HAN, Xiao; KHEIR, Nizar; BALZAROTTI, Davide. Deception techniques in computer security: A research perspective. ACM Computing Surveys (CSUR), 2018, 51.4: 1-36.

[2] ZHANG, Li; THING, Vrizlynn LL. Three decades of deception techniques in active cyber defense-retrospect and outlook. Computers & Security, 2021, 106: 102288.

[3] TOUNSI, Wiem. Cyber deception, the ultimate piece of a defensive strategy-proof of concept. In: 2022 6th Cyber Security in Networking Conference (CSNet). IEEE, 2022, p. 1-5.

[4] BELTRÁN LÓPEZ, Pedro; GIL PÉREZ, Manuel; NESPOLI, Pantaleone. Cyber Deception: State of the art, Trends and Open challenges. arXiv e-prints, 2024, arXiv: 2409.07194.

PreviousTeam. WAFFLENext개념

Last updated 1 month ago