다양한 기록

다양한 공격 방식(파밍, XSS, MitM 등) 본문

보안개론

다양한 공격 방식(파밍, XSS, MitM 등)

라구넹 2024. 3. 26. 21:16

Adversary (공격자)가 될 수 있는 사람

- 초보자

- 크래커, 해커

- 조직화된 범죄 조직

- 정부

- 테러리스트

 

피싱

개인을 속여 민감한 정보를 누설하게 하거나,

무단 접근 권한을 얻거나, 확신과 신뢰를 얻기 위해 개인과 교제하여 사기를 치는 행위

 

* 사회공학적 방법:

기술하고는 관계없는, 인간과의 관계, 친분 등을 악용하여 공격하는 것

가해자는 평판 좋은 사람으로 위장. 사회적 지위, 신분을 이용

 

멀웨어

바이러스와 웜, 웜은 숙주 없이 퍼질 수 있어서 더 강력

- 트로이목마, 키로거, 스파이웨어 등

 

스피어 피싱

작살. 타겟팅 공격, 회사 임원 등.

웨일 피싱이라고도 함

 

DoS

디나일 오브 서비스,

트래픽을 잔뜩 보내서 정상 작동이 안되도록 함

 

DDoS

분산 서비스 거부 공격

좀비 PC들을 조종하는 마스터, CnC(커맨드 앤 컨트롤) 서버가 있음

 

* DNS

도메인 네임 서버, 도메인 네임을 IP로 바꿔주는 건데 이걸 이용해서 공격

 

Man in the Middle

서버와 클라이언트, 혹은 송신자와 수신자 사이에 끼어들어 도청하거나 조작

IP 스푸핑, 세션 하이재킹 등

 

* CSP

크레덴셜 서비스 프로바이더. 자격 증명 서비스 제공자(금융결제원, 한국정보인증 등)

혹은 Common Service Provider, Cloud Service Provider. 문맥 보고 파악해야 한다.

 

SQL Injection

로그인 과정에서

~~~~or '1'  하고 뒤는 주석처리 해서 무시하는 등,

참으로 만들어버리는 기법. 간단하게는 특수문자 필터링으로 대처

 

파밍

가짜 웹사이트에 접속하도록 사용자를 리다이렉션 시킴.

합법적인 사이트를 가장.. DNS 공격으로 공격자의 서버로 오도록 하거나,

서버를 장악해서 코드를 심어도 된다.

 

중요한 것은 피싱과는 다르게, 내 의도와 다르게 리다이렉트되고

공격자가 내 이메일 주소를 몰라도 서비스를 이용하려는 사람들 한번에 공격이 됨

 

크로스 사이트 스크립팅(XSS)

권한이 없는 사용자가 클라이언트 측 스크립트를 주입하고,

다른 이용자에 의해 해당 스크립트가 실행되도록 만듦

 

예) 게시판에 스크립트 게시하고, 해당 게시글을 본 사람의 브라우저에서 스크립트가 실행됨.

이때 쿠키안의 ID, 패스워드 등 중요 정보들을 훔쳐감

 

패스워드 어택

키보드의 조합이니 일단 다 해보기

브루스 포트 궤싱

-> 캡쳐(비틀린 숫자 등), 문자 보내고 인증시키기

 

딕셔너리 어택

자주 사용되는 패스워드 사전

보통 영문자로 되어 있어 요즘 회원가입 시 특수문자를 끼우라고 시키는 것

-> 로그인 시도 횟수 제한

 

AI-Powered Attack

AI를 이용한 공격

 

드라이브 바이 다운로드

권한이 있는 드라이브 바이 다운로드:

엉터리 링크 등, 공격용 링크를 만들어 대상에게 보내고 대상이 속아서 누르면(권한) 악성 코드를 받게 됨

 

허락되지 않은 드라이브 바이 다운로드:

웹 사이트를 장악하고 누군가 들어오면 모르는 사이에 악성 코드 설치

 

피싱, 파밍과 굉장히 비슷해 보이지만,

피싱, 파밍은 꼭 다운로드를 거치진 않아서 같다고 볼 수는 없음

 

ART (Advanced Persistent Threat)

지능형 지속 위협

특정 타깃을 대상으로 장기간에 걸쳐 공격

공격에 저항하는 방어자에 적응하며 공격에 필요한 상호작용의 수준을 유지

대상 조직의 IT 인프라 내에 발판을 마련하고 확장(신뢰)하는 것이 포함

 

터널링

본래는 OSI 7 레이어에서 아래쪽 계층이 위쪽으로 정보를 올릴 때 쓰는 방식

그런데 DNS 터널링 같은 경우 공격에 악용 가능

 

네트워크 침입을 막기 위해 인바운드 트래픽은 보통 닫힘

아웃바운드 트래픽은 열린 경우가 많은데, DNS와 연동이 필요

이때 DNS를 이용해서 정보를 빼내감

 

제로데이 어택

이전에 알려지지 않은 하드웨어, 펌웨어, 소프트웨어 취약점을 이용한 공격

 

크립토재킹

남의 컴퓨터로 채굴하기

 

'보안개론' 카테고리의 다른 글

CVE, NVD, CWE  (0) 2024.04.07
보안, 위협, 공격 / 약점, 취약점  (0) 2024.04.07
위협의 종류, STRIDE  (0) 2024.03.26
Ransomware Attacks / Alice's Online Bank / CaaS  (0) 2024.03.18
Confidentiality, Integrity, Availability  (0) 2024.03.08