공격 단계 중 가장 어려웠던 부분과 어떻게 해결하였는지 설명.
가장 어려웠던 부분은 랜섬웨어 파일이 윈도우 디펜더에 탐지되어서 정상적으로 배포되지 않는 문제였습니다. 이 문제를 해결하기 위해 공격자는 각 하위 PC에서 디펜더를 하나씩 비활성화하는 것은 효율적이지 않다고 판단하였습니다. 대신, Active Directory (AD) 서버에서 정책 배포를 이용하여 일괄적으로 디펜더를 내리는 방법을 사용해 문제를 해결했습니다 이 방법을 통해 공격자는 모든 하위 PC에서 개별적으로 디펜더를 조작하는 수고를 덜 수 있었습니다. 대신에, 중앙에서 관리되는 AD 서버를 통해 정책을 일괄적으로 적용함으로써 보다 효율적이고 빠르게 디펜더를 비활성화할 수 있었습니다. 이러한 방식으로 디펜더의 탐지를 우회하고 랜섬웨어를 효과적으로 배포할 수 있었습니다.
[하위 PC에 랜섬웨어를 배포하는 과정에서 랜섬웨어 파일이 윈도우 디펜더에 탐지되어서 정상적으로 배포가 되지 않았습니다. 모든 하위 PC에서 디펜더를 하나씩 비활성 하는 것은 공격자 입장에서 비효율적이라고 판단해, AD서버에서 정책배포를 이용해 일괄적으로 디펜더를 내리는 방법을 사용해 해결했습니다.]
포렌식이라는 용어를 썼는데 법적인 증거 수집 절차에 대한 내용이 왜 없는지?
포렌식이라는 용어를 사용하였지만 법적인 증거 수집 절차에 대한 내용이 없는 이유는, 프로젝트의 방향성이 주로 기업의 침해사고 발생 시 초기의 빠른 대응과 추가적인 피해 방지에 중점을 두었기 때문입니다. 이러한 목표가 설정된 경우, 주로 침해사고 포렌식은 사고 발생 후에 법적인 증거 수집 및 분석에 활용되는 절차와 기술을 의미합니다.
따라서, 프로젝트의 초점이 초기 대응과 피해 방지에 있었다면, 법적인 증거 수집 단계는 일반적으로 그 단계보다 나중에 진행되기 때문에 해당 내용이 프로젝트에 반영되지 않았을 수 있습니다. 법적인 증거 수집은 주로 사건 조사와 관련이 있으며, 이는 보안 사고 대응의 일부분일 수 있지만 핵심적인 목표로 설정되지 않은 경우 법적인 측면에 대한 내용이 부족할 수 있습니다.
[저희 프로젝트의 방향성이 기업의 침해사고 발생 시 초기의 빠른 대처와 추가적인 피해가 `발생하지 않도록 대응방안 및 솔루션을 제공하는 뱡향으로 진행을 하였기때문에 법적인 증거 수집 절차에 관한 내용이 없었습니다.]
포렌식이라는 용어를 사용하였지만, 법적인 증거 수집 절차에 대한 내용이 포함되지 않은 이유는 저희 프로젝트 방향성이 기업에 침해사고 발생시 빠른 초기대응과 추가 피해 확산 방지에 중점을 두었기 때문입니다. 역량강화를 위한 2주간의 실습을 통해 저희는 사고 발생시 피해규모확인, 대응방안도출,추가피해 확산 방지 등을 중점으로 실습하였고 이를 바탕으로 프로젝트를 진행하여 말씀하신 사건조사와 같은 법적인 증거 수집 절차에 관한 내용이 프로젝트에 반영되지 않았던것 같습니다.
mimikatz의 경우 솔루션이나 장비에서 막히는 경우가 많은데, 우회방법등에 대해 찾아봤는지?,
대상 호스트에서 LSASS 프로세스의 메모리 덤프를 만들고 이를 컴퓨터에 복사하고 mimikatz를 사용하여 암호 해시를 추출해야한다.
다른 랜섬웨어는 변조 방식이 아닌 암호화 방식을 사용하기 때문에 복호화를 진행하기어렵습니다. 분석을 목적으로 하는 저희의 프로젝트 특성 상 복호화하여 피해대상PC에 분석을 진행해야 하기 때문에 MBR을 변조하여 공격하는 petya 랜섬웨어를 사용하였습니다
1) 정당성
2) 재현성
3) 신속성